ISO27001標準附錄 A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面
ISO27001標準附錄 A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全
【內(nèi)容解析】
為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運行能力,組織應(yīng)制定和保持一個業(yè)務(wù)連續(xù)性管理過程,其中包括業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃。當(dāng)業(yè)務(wù)運行中斷時,按照業(yè)務(wù)連續(xù)性計劃恢復(fù)的運行環(huán)境應(yīng)能在某種程度上保持對原生產(chǎn)環(huán)境的保護和恢復(fù)。組織應(yīng)基于風(fēng)險評估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運行中對信息安全要求,以便將所需的資源和措施納入計劃。
ISO27001標準附錄 A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險評估
【內(nèi)容解析】
風(fēng)險評估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。
對業(yè)務(wù)連續(xù)性進行風(fēng)險評估時,需關(guān)聯(lián)與信息安全相關(guān)的風(fēng)險,如重大信息安全事件的發(fā)生及其后果等,作為策劃業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃的輸入。
ISO27001標準附錄 A.14.1.3 制定和實施包含信息安全的連續(xù)性計劃
【內(nèi)容解析】
組織在制定業(yè)務(wù)連續(xù)性計劃時應(yīng)基于對信息安全的要求、安全風(fēng)險及其后果,并將相關(guān)的控制措施融入計劃。在業(yè)務(wù)連續(xù)性計劃的落實活動中應(yīng)評估所實施的安全控制措施是否能確保恢復(fù)的系統(tǒng)、應(yīng)用和環(huán)境的安全運營。
ISO27001標準附錄 A.14.1.4 業(yè)務(wù)連續(xù)性計劃框架
【內(nèi)容解析】
基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍,業(yè)務(wù)連續(xù)性計劃可以是一個綜合性的計劃,包括多項業(yè)務(wù)、多個領(lǐng)域的恢復(fù)職責(zé)和工作計劃(如場所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運行恢復(fù)等)。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計劃架構(gòu),確保信息安全的要求和控制措施能在各項計劃的實施過程中保持協(xié)調(diào)。
ISO27001標準附錄 A.14.1.5 測試、維護和再評估業(yè)務(wù)連續(xù)性計劃
【內(nèi)容解析】
為了確保在發(fā)生業(yè)務(wù)中斷時,信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù),組織應(yīng)定期對計劃進行演練和評審,以測試計劃的有效性,培訓(xùn)人員意識,發(fā)現(xiàn)實施能力和計劃的不足,以便相應(yīng)地作出改進。
共有條評論 網(wǎng)友評論