ISO27001标准附录 A.14.1 业务连续性管理的信息安全方面
ISO27001标准附录 A.14.1.1 在业务连续性管理过程中包含信息安全
【内容解析】
为了保持组织在重大事件和灾害后的业务运行能力,组织应制定和保持一个业务连续性管理过程,其中包括业务连续性计划或恢复计划。当业务运行中断时,按照业务连续性计划恢复的运行环境应能在某种程度上保持对原生产环境的保护和恢复。组织应基于风险评估确立在业务系统恢复过程中以及在恢复的系统运行中对信息安全要求,以便将所需的资源和措施纳入计划。
ISO27001标准附录 A.14.1.2 业务连续性和风险评估
【内容解析】
风险评估是业务连续性管理的关键要素之一。
对业务连续性进行风险评估时,需关联与信息安全相关的风险,如重大信息安全事件的发生及其后果等,作为策划业务连续性计划或恢复计划的输入。
ISO27001标准附录 A.14.1.3 制定和实施包含信息安全的连续性计划
【内容解析】
组织在制定业务连续性计划时应基于对信息安全的要求、安全风险及其后果,并将相关的控制措施融入计划。在业务连续性计划的落实活动中应评估所实施的安全控制措施是否能确保恢复的系统、应用和环境的安全运营。
ISO27001标准附录 A.14.1.4 业务连续性计划框架
【内容解析】
基于组织关键业务的规模和范围,业务连续性计划可以是一个综合性的计划,包括多项业务、多个领域的恢复职责和工作计划(如场所设施、系统环境、数据和业务运行恢复等)。组织应保持统一的业务连续性计划架构,确保信息安全的要求和控制措施能在各项计划的实施过程中保持协调。
ISO27001标准附录 A.14.1.5 测试、维护和再评估业务连续性计划
【内容解析】
为了确保在发生业务中断时,信息处理环境和业务能有序地恢复,组织应定期对计划进行演练和评审,以测试计划的有效性,培训人员意识,发现实施能力和计划的不足,以便相应地作出改进。