國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001標(biāo)準(zhǔn)附錄 A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全
【內(nèi)容解析】
為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運(yùn)行能力,組織應(yīng)制定和保持一個業(yè)務(wù)連續(xù)性管理過程,其中包括業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃。當(dāng)業(yè)務(wù)運(yùn)行中斷時,按照業(yè)務(wù)連續(xù)性計劃恢復(fù)的運(yùn)行環(huán)境應(yīng)能在某種程度上保持對原生產(chǎn)環(huán)境的保護(hù)和恢復(fù)。組織應(yīng)基于風(fēng)險評估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運(yùn)行中對信息安全要求,以便將所需的資源和措施納入計劃。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.2 業(yè)務(wù)連續(xù)性和風(fēng)險評估
【內(nèi)容解析】
風(fēng)險評估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。
對業(yè)務(wù)連續(xù)性進(jìn)行風(fēng)險評估時,需關(guān)聯(lián)與信息安全相關(guān)的風(fēng)險,如重大信息安全事件的發(fā)生及其后果等,作為策劃業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃的輸入。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.3 制定和實(shí)施包含信息安全的連續(xù)性計劃。
【內(nèi)容解析】
組織在制定業(yè)務(wù)連續(xù)性計劃時應(yīng)基于對信息安全的要求、安全風(fēng)險及其后果,并將相關(guān)的控制措施融入計劃。在業(yè)務(wù)連續(xù)性計劃的落實(shí)活動中應(yīng)評估所實(shí)施的安全控制措施是否能確保恢復(fù)的系統(tǒng)、應(yīng)用和環(huán)境的安全運(yùn)營。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.4 業(yè)務(wù)連續(xù)性計劃框架
【內(nèi)容解析】
基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍,業(yè)務(wù)連續(xù)性計劃可以是一個綜合性的計劃,包括多項(xiàng)業(yè)務(wù)、多個領(lǐng)域的恢復(fù)職責(zé)和工作計劃(如場所設(shè)施、系統(tǒng)環(huán)境、數(shù)據(jù)和業(yè)務(wù)運(yùn)行恢復(fù)等)。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計劃架構(gòu),確保信息安全的要求和控制措施能在各項(xiàng)計劃的實(shí)施過程中保持協(xié)調(diào)。
ISO27001標(biāo)準(zhǔn)附錄 A.14.1.5 測試、維護(hù)和再評估業(yè)務(wù)連續(xù)性計劃
【內(nèi)容解析】
為了確保在發(fā)生業(yè)務(wù)中斷時,信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù),組織應(yīng)定期對計劃進(jìn)行演練和評審,以測試計劃的有效性,培訓(xùn)人員意識,發(fā)現(xiàn)實(shí)施能力和計劃的不足,以便相應(yīng)地作出改進(jìn)。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信