國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001標準附錄 A.14.1 業(yè)務(wù)連續(xù)性管理的信息安全方面
ISO27001標準附錄 A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全
【內(nèi)容解析】
為了保持組織在重大事件和災(zāi)害后的業(yè)務(wù)運行能力,,組織應(yīng)制定和保持一個業(yè)務(wù)連續(xù)性管理過程,其中包括業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃,。當業(yè)務(wù)運行中斷時,,按照業(yè)務(wù)連續(xù)性計劃恢復(fù)的運行環(huán)境應(yīng)能在某種程度上保持對原生產(chǎn)環(huán)境的保護和恢復(fù)。組織應(yīng)基于風險評估確立在業(yè)務(wù)系統(tǒng)恢復(fù)過程中以及在恢復(fù)的系統(tǒng)運行中對信息安全要求,,以便將所需的資源和措施納入計劃,。
ISO27001標準附錄 A.14.1.2 業(yè)務(wù)連續(xù)性和風險評估
【內(nèi)容解析】
風險評估是業(yè)務(wù)連續(xù)性管理的關(guān)鍵要素之一。
對業(yè)務(wù)連續(xù)性進行風險評估時,,需關(guān)聯(lián)與信息安全相關(guān)的風險,,如重大信息安全事件的發(fā)生及其后果等,作為策劃業(yè)務(wù)連續(xù)性計劃或恢復(fù)計劃的輸入,。
ISO27001標準附錄 A.14.1.3 制定和實施包含信息安全的連續(xù)性計劃,。
【內(nèi)容解析】
組織在制定業(yè)務(wù)連續(xù)性計劃時應(yīng)基于對信息安全的要求、安全風險及其后果,,并將相關(guān)的控制措施融入計劃,。在業(yè)務(wù)連續(xù)性計劃的落實活動中應(yīng)評估所實施的安全控制措施是否能確保恢復(fù)的系統(tǒng),、應(yīng)用和環(huán)境的安全運營,。
ISO27001標準附錄 A.14.1.4 業(yè)務(wù)連續(xù)性計劃框架
【內(nèi)容解析】
基于組織關(guān)鍵業(yè)務(wù)的規(guī)模和范圍,業(yè)務(wù)連續(xù)性計劃可以是一個綜合性的計劃,,包括多項業(yè)務(wù),、多個領(lǐng)域的恢復(fù)職責和工作計劃(如場所設(shè)施、系統(tǒng)環(huán)境,、數(shù)據(jù)和業(yè)務(wù)運行恢復(fù)等),。組織應(yīng)保持統(tǒng)一的業(yè)務(wù)連續(xù)性計劃架構(gòu),確保信息安全的要求和控制措施能在各項計劃的實施過程中保持協(xié)調(diào),。
ISO27001標準附錄 A.14.1.5 測試,、維護和再評估業(yè)務(wù)連續(xù)性計劃
【內(nèi)容解析】
為了確保在發(fā)生業(yè)務(wù)中斷時,信息處理環(huán)境和業(yè)務(wù)能有序地恢復(fù),組織應(yīng)定期對計劃進行演練和評審,,以測試計劃的有效性,,培訓(xùn)人員意識,發(fā)現(xiàn)實施能力和計劃的不足,,以便相應(yīng)地作出改進,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信