5.2.13  信息安全方面的業(yè)務連續(xù)性管理

信息安全方面的業(yè)務連續(xù)性管理包含2個控制目標4個控制措施。

　　組織應定期審核在業(yè)務連續(xù)性管理過程或災難恢復管理過程中是否包含了信息安全連續(xù)性要求。應在設計業(yè)務連續(xù)性和災難恢復要求時包含信息安全要求。

組織應建立、記錄、實施并維持文件化的信息安全連續(xù)性過程、規(guī)程和控制措施以確保在發(fā)生自然災害或其他意外事件時信息安全連續(xù)性滿足要求級別，即不會因為自然災害導致防火墻、日志審計系統(tǒng)等中斷或無法恢復。在業(yè)務連續(xù)性或災難恢復過程中，可能已定義特定的過程和規(guī)程。組織應保護在這些信息安全連續(xù)性過程和規(guī)程，并支持它們的特性，即保護信息系統(tǒng)中處理的信息。在發(fā)生自然災害或其他意外事件時，已實施的信息安全控制措施應繼續(xù)實行，即發(fā)生火災時不會導致應用服務器恢復而防火墻無法恢復運行。若安全控制措施不能保持信息安全，應建立、實施和維持其他控制措施以保持信息安全在可接受的水平， 例如發(fā)生火災時防火墻無法恢復但可以通過啟用三層交換機上的安全功能實現網絡訪問控制。

發(fā)生組織結構、技術、規(guī)程和過程變化都會能導致信息安全連續(xù)性要求的變化。在這些情況下，組織應針對這些變化審查信息安全連續(xù)性的過程、規(guī)程和控制措施是否還是有效。 如果失效則應該建立實施新的信息安全連續(xù)性措施。

　　組織應以文件形式明確信息系統(tǒng)可用性的業(yè)務要求。當使用現有系統(tǒng)體系結構不禽旨保證可用性時，宜考慮對網絡或核心服務器部署冗余組件或架構。若可行，應定期測試冗余信息系統(tǒng)以確保故障按預期從一個組件轉移到另一個組件。