信息安全方面的业务连续性管理

5.2.13  信息安全方面的业务连续性管理

信息安全方面的业务连续性管理包含2个控制目标4个控制措施。

　　组织应定期审核在业务连续性管理过程或灾难恢复管理过程中是否包含了信息安全连续性要求。应在设计业务连续性和灾难恢复要求时包含信息安全要求。

组织应建立、记录、实施并维持文件化的信息安全连续性过程、规程和控制措施以确保在发生自然灾害或其他意外事件时信息安全连续性满足要求级别，即不会因为自然灾害导致防火墙、日志审计系统等中断或无法恢复。在业务连续性或灾难恢复过程中，可能已定义特定的过程和规程。组织应保护在这些信息安全连续性过程和规程，并支持它们的特性，即保护信息系统中处理的信息。在发生自然灾害或其他意外事件时，已实施的信息安全控制措施应继续实行，即发生火灾时不会导致应用服务器恢复而防火墙无法恢复运行。若安全控制措施不能保持信息安全，应建立、实施和维持其他控制措施以保持信息安全在可接受的水平， 例如发生火灾时防火墙无法恢复但可以通过启用三层交换机上的安全功能实现网络访问控制。

发生组织结构、技术、规程和过程变化都会能导致信息安全连续性要求的变化。在这些情况下，组织应针对这些变化审查信息安全连续性的过程、规程和控制措施是否还是有效。 如果失效则应该建立实施新的信息安全连续性措施。

　　组织应以文件形式明确信息系统可用性的业务要求。当使用现有系统体系结构不禽旨保证可用性时，宜考虑对网络或核心服务器部署冗余组件或架构。若可行，应定期测试冗余信息系统以确保故障按预期从一个组件转移到另一个组件。