5.2.13  信息安全方面的業(yè)務(wù)連續(xù)性管理

信息安全方面的業(yè)務(wù)連續(xù)性管理包含2個控制目標(biāo)4個控制措施。

　　組織應(yīng)定期審核在業(yè)務(wù)連續(xù)性管理過程或災(zāi)難恢復(fù)管理過程中是否包含了信息安全連續(xù)性要求。應(yīng)在設(shè)計業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)要求時包含信息安全要求。

組織應(yīng)建立、記錄、實施并維持文件化的信息安全連續(xù)性過程、規(guī)程和控制措施以確保在發(fā)生自然災(zāi)害或其他意外事件時信息安全連續(xù)性滿足要求級別，即不會因為自然災(zāi)害導(dǎo)致防火墻、日志審計系統(tǒng)等中斷或無法恢復(fù)。在業(yè)務(wù)連續(xù)性或災(zāi)難恢復(fù)過程中，可能已定義特定的過程和規(guī)程。組織應(yīng)保護在這些信息安全連續(xù)性過程和規(guī)程，并支持它們的特性，即保護信息系統(tǒng)中處理的信息。在發(fā)生自然災(zāi)害或其他意外事件時，已實施的信息安全控制措施應(yīng)繼續(xù)實行，即發(fā)生火災(zāi)時不會導(dǎo)致應(yīng)用服務(wù)器恢復(fù)而防火墻無法恢復(fù)運行。若安全控制措施不能保持信息安全，應(yīng)建立、實施和維持其他控制措施以保持信息安全在可接受的水平， 例如發(fā)生火災(zāi)時防火墻無法恢復(fù)但可以通過啟用三層交換機上的安全功能實現(xiàn)網(wǎng)絡(luò)訪問控制。

發(fā)生組織結(jié)構(gòu)、技術(shù)、規(guī)程和過程變化都會能導(dǎo)致信息安全連續(xù)性要求的變化。在這些情況下，組織應(yīng)針對這些變化審查信息安全連續(xù)性的過程、規(guī)程和控制措施是否還是有效。 如果失效則應(yīng)該建立實施新的信息安全連續(xù)性措施。

　　組織應(yīng)以文件形式明確信息系統(tǒng)可用性的業(yè)務(wù)要求。當(dāng)使用現(xiàn)有系統(tǒng)體系結(jié)構(gòu)不禽旨保證可用性時，宜考慮對網(wǎng)絡(luò)或核心服務(wù)器部署冗余組件或架構(gòu)。若可行，應(yīng)定期測試冗余信息系統(tǒng)以確保故障按預(yù)期從一個組件轉(zhuǎn)移到另一個組件。