ISO27001標(biāo)準(zhǔn)附錄“A.14業(yè)務(wù)連續(xù)性管理”解析

2019/3/8 15:21:59 次

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1　業(yè)務(wù)連續(xù)性管理的信息安全方面

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1.1　在業(yè)務(wù)連續(xù)性管理過程中包含信息安全

　　【內(nèi)容解析】

　　為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運(yùn)行能力，組織應(yīng)制定和保持一個(gè)業(yè)務(wù)連續(xù)性管理過程，其中包括業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃。當(dāng)業(yè)務(wù)運(yùn)行中斷時(shí)，按照業(yè)務(wù)連續(xù)性計(jì)劃恢復(fù)的運(yùn)行環(huán)境應(yīng)能在某種程度上保持對(duì)原生產(chǎn)環(huán)境的保護(hù)和恢復(fù)。組織應(yīng)基于風(fēng)險(xiǎn)評(píng)估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運(yùn)行中對(duì)信息安全要求，以便將所需的資源和措施納入計(jì)劃。

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1.2　業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估

　　【內(nèi)容解析】

　　風(fēng)險(xiǎn)評(píng)估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。

　　對(duì)業(yè)務(wù)連續(xù)性進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，需關(guān)聯(lián)與信息安全相關(guān)的風(fēng)險(xiǎn)，如重大信息安全事件的發(fā)生及其后果等，作為策劃業(yè)務(wù)連續(xù)性計(jì)劃或恢復(fù)計(jì)劃的輸入。

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1.3　制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃

　　【內(nèi)容解析】

　　組織在制定業(yè)務(wù)連續(xù)性計(jì)劃時(shí)應(yīng)基于對(duì)信息安全的要求、安全風(fēng)險(xiǎn)及其后果，并將相關(guān)的控制措施融入計(jì)劃。在業(yè)務(wù)連續(xù)性計(jì)劃的落實(shí)活動(dòng)中應(yīng)評(píng)估所實(shí)施的安全控制措施是否能確保恢復(fù)的系統(tǒng)、應(yīng)用和環(huán)境的安全運(yùn)營(yíng)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1.4　業(yè)務(wù)連續(xù)性計(jì)劃框架

　　【內(nèi)容解析】

　　基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍，業(yè)務(wù)連續(xù)性計(jì)劃可以是一個(gè)綜合性的計(jì)劃，包括多項(xiàng)業(yè)務(wù)、多個(gè)領(lǐng)域的恢復(fù)職責(zé)和工作計(jì)劃(如場(chǎng)所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運(yùn)行恢復(fù)等)。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃架構(gòu)，確保信息安全的要求和控制措施能在各項(xiàng)計(jì)劃的實(shí)施過程中保持協(xié)調(diào)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.14.1.5　測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

　　【內(nèi)容解析】

　　為了確保在發(fā)生業(yè)務(wù)中斷時(shí)，信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù)，組織應(yīng)定期對(duì)計(jì)劃進(jìn)行演練和評(píng)審，以測(cè)試計(jì)劃的有效性，培訓(xùn)人員意識(shí)，發(fā)現(xiàn)實(shí)施能力和計(jì)劃的不足，以便相應(yīng)地作出改進(jìn)。