ISO27001標(biāo)準(zhǔn)附錄 A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全
【內(nèi)容解析】
為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運(yùn)行能力,組織應(yīng)制定和保持一個業(yè)務(wù)連續(xù)性管理過程,其中包括業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃。當(dāng)業(yè)務(wù)運(yùn)行中斷時,按照業(yè)務(wù)連續(xù)性計(jì)劃恢復(fù)的運(yùn)行環(huán)境應(yīng)能在某種程度上保持對原生產(chǎn)環(huán)境的保護(hù)和恢復(fù)。組織應(yīng)基于風(fēng)險評估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運(yùn)行中對信息安全要求,以便將所需的資源和措施納入計(jì)劃。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險評估
【內(nèi)容解析】
風(fēng)險評估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。
對業(yè)務(wù)連續(xù)性進(jìn)行風(fēng)險評估時,需關(guān)聯(lián)與信息安全相關(guān)的風(fēng)險,如重大信息安全事件的發(fā)生及其后果等,作為策劃業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃的輸入。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃
【內(nèi)容解析】
組織在制定業(yè)務(wù)連續(xù)性計(jì)劃時應(yīng)基于對信息安全的要求、安全風(fēng)險及其后果,并將相關(guān)的控制措施融入計(jì)劃。在業(yè)務(wù)連續(xù)性計(jì)劃的落實(shí)活動中應(yīng)評估所實(shí)施的安全控制措施是否能確保恢復(fù)的系統(tǒng)、應(yīng)用和環(huán)境的安全運(yùn)營。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架
【內(nèi)容解析】
基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍,業(yè)務(wù)連續(xù)性計(jì)劃可以是一個綜合性的計(jì)劃,包括多項(xiàng)業(yè)務(wù)、多個領(lǐng)域的恢復(fù)職責(zé)和工作計(jì)劃(如場所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運(yùn)行恢復(fù)等)。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃架構(gòu),確保信息安全的要求和控制措施能在各項(xiàng)計(jì)劃的實(shí)施過程中保持協(xié)調(diào)。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.5 測試、維護(hù)和再評估業(yè)務(wù)連續(xù)性計(jì)劃
【內(nèi)容解析】
為了確保在發(fā)生業(yè)務(wù)中斷時,信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù),組織應(yīng)定期對計(jì)劃進(jìn)行演練和評審,以測試計(jì)劃的有效性,培訓(xùn)人員意識,發(fā)現(xiàn)實(shí)施能力和計(jì)劃的不足,以便相應(yīng)地作出改進(jìn)。
共有條評論 網(wǎng)友評論