| A.17 业务连续性管理的信息安全方面 | ||
| A.17.1 信息安全的连续性 | ||
| 目标:应将信息安全连续性纳入组织业务连续性管理之中。 | ||
| A.17.1.1 | 规划信息安全连续性 | 控制 组织应确定在不利情况(如危机或灾难)下,对信息安全及信息安全管理连续性的要求。 |
| A.17.1.2 | 实现信息安全连续性 | 控制 组织应建立、文件化、实现并维护过程、规程和控制,以确保在不利情况下信息安全连续性达到要求的级别。 |
| A.17.1.3 | 验证、评审和评价信息安全连续性 | 控制 组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的。 |
| A.17.2 冗余 | ||
| 目标:确保信息处理设施的可用性。 | ||
| A.17.2.1 | 信息处理设施的可用性 | 控制 信息处理设施应当实现冗余,以满足可用性要求。 |
控制解析:
- 应建立书面的《信息安全连续性管理程序》,明确信息安全连续性管理流程和职责等。
- 如果组织有实施ISO 22301,建立业务连续性管理体系,仅需将信息安全的连续性部分嵌入其中即可。如果没有实施ISO 22301,可以根据信息安全风险评估的结果,对于完整性和可用性要求高,且风险较高的信息资产(如工业控制系统、核心交换机、机房供电设施等),规划信息安全连续性计划(如项目计划、资源等)。
- 应按照前期的项目规划实现信息安全的业务连续性,如连续性组织架构的建立、风险与业务影响分析(可以结合信息安全风险评估的结果)、连续性目标、连续性策略的制定、连续性应急计划的编制、认知和培训等。
- 应定期进行信息安全连续性进行演练,并对演练结果进行评价。
- 关键信息处理设施(如组织核心交换机、内外边界防火墙等)应做到冗余设计(如双机热备)。
实施本控制应输出的文档:
- 《信息安全连续性管理程序》。
- 信息安全连续性项目计划、资源需求记录等。
- 实现信息安全连续性的相关文档,如组织架构、风险与业务影响分析、连续性目标、连续性策略、连续性应急计划、认知和培训记录等。
- 信息安全连续性进行演练和评价记录。
本控制审核要点:
- 能否提供关键信息处理设施的风险与业务影响分析报告。
- 是否建立连续性目标、连续性策略、连续性应急计划等。
- 是否有进行信息安全连续性进行演练和评价,并提供记录。
