5.2.13  信息安全方面的業(yè)務(wù)連續(xù)性管理

信息安全方面的業(yè)務(wù)連續(xù)性管理包含2個(gè)控制目標(biāo)4個(gè)控制措施。

　　組織應(yīng)定期審核在業(yè)務(wù)連續(xù)性管理過(guò)程或?yàn)?zāi)難恢復(fù)管理過(guò)程中是否包含了信息安全連續(xù)性要求。應(yīng)在設(shè)計(jì)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)要求時(shí)包含信息安全要求。

組織應(yīng)建立、記錄、實(shí)施并維持文件化的信息安全連續(xù)性過(guò)程、規(guī)程和控制措施以確保在發(fā)生自然災(zāi)害或其他意外事件時(shí)信息安全連續(xù)性滿足要求級(jí)別，即不會(huì)因?yàn)樽匀粸?zāi)害導(dǎo)致防火墻、日志審計(jì)系統(tǒng)等中斷或無(wú)法恢復(fù)。在業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)過(guò)程中，可能已定義特定的過(guò)程和規(guī)程。組織應(yīng)保護(hù)在這些信息安全連續(xù)性過(guò)程和規(guī)程，并支持它們的特性，即保護(hù)信息系統(tǒng)中處理的信息。在發(fā)生自然災(zāi)害或其他意外事件時(shí)，已實(shí)施的信息安全控制措施應(yīng)繼續(xù)實(shí)行，即發(fā)生火災(zāi)時(shí)不會(huì)導(dǎo)致應(yīng)用服務(wù)器恢復(fù)而防火墻無(wú)法恢復(fù)運(yùn)行。若安全控制措施不能保持信息安全，應(yīng)建立、實(shí)施和維持其他控制措施以保持信息安全在可接受的水平， 例如發(fā)生火災(zāi)時(shí)防火墻無(wú)法恢復(fù)但可以通過(guò)啟用三層交換機(jī)上的安全功能實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。

發(fā)生組織結(jié)構(gòu)、技術(shù)、規(guī)程和過(guò)程變化都會(huì)能導(dǎo)致信息安全連續(xù)性要求的變化。在這些情況下，組織應(yīng)針對(duì)這些變化審查信息安全連續(xù)性的過(guò)程、規(guī)程和控制措施是否還是有效。 如果失效則應(yīng)該建立實(shí)施新的信息安全連續(xù)性措施。

　　組織應(yīng)以文件形式明確信息系統(tǒng)可用性的業(yè)務(wù)要求。當(dāng)使用現(xiàn)有系統(tǒng)體系結(jié)構(gòu)不禽旨保證可用性時(shí)，宜考慮對(duì)網(wǎng)絡(luò)或核心服務(wù)器部署冗余組件或架構(gòu)。若可行，應(yīng)定期測(cè)試冗余信息系統(tǒng)以確保故障按預(yù)期從一個(gè)組件轉(zhuǎn)移到另一個(gè)組件。