17.1信息安全的連續性

17.1信息安全的連續性

17.1.1規劃信息安全連續性

控制
組織宜確定在不利情況（如危機或災難）下，對信息安全及信息安全管理連續性的要求。
實現指南
組織宜確定在業務連續性管理過程或災難恢復管理過程中是否包含了信息安全連續性。宜在計劃業務連續性和災難恢復時確定信息安全要求。
若沒有正式的業務連續性和災難恢復計劃，信息安全管理宜假設與正常運行條件相比，不利情況下的信息安全要求仍保持不變。或者，組織能實施信息安全方面的業務影響分析以確定信息安全要求適用于不利情況。
其他信息
為減少“額外的”信息安全方面的業務影響分析花費的時間和精力，建議從常規業務連續性管理或災難恢復管理的業務影響分析中獲取信息安全方面的信息。這可表明信息安全連續性要求在業務連續性管理或災難恢復管理過程中已被明確制定。

17.1.2實現信息安全連續性

控制
組織宜建立、文件化、實現并維護過程、規程和控制，以確保在不利情況下信息安全連續性達到要求的級別。
實現指南
組織宜確保：
a) 具有一個適當的管理架構通過具有必要權限、經驗和能力的人員來準備、減輕和響應中斷事態；
b) 指派事件響應人員，其具有管理事件和維護信息安全的必要責任、授權和能力；
c) 基于受到管理層批準的信息安全連續性目標（見17.1.1），制定和批準文件化計劃、響應和恢復規程，詳細描述組織將如何管理中斷事態，以及如何維護其信息安全達到一個預定的水平。
根據信息安全連續性要求，組織宜建立、記錄、實現和維護：
a) 在業務連續性或災難恢復過程、規程、支持系統和工具中的的信息安全控制；
b) 在不利情況下維護現有信息安全控制的過程、規程和實現變更；
c) 在不利情況下不能維護的信息安全控制的補償控制。
其他信息
針對業務連續性或災難恢復，可能已確定了專用的過程和規程。宜保護在這些過程和規程中或其支持性信息系統中處理的信息。因此組織在建立、實現和維護業務連續性或災難恢復過程和規程時，宜需要信息安全專家

17.1.3驗證、評審和評價信息安全連續性

控制
組織宜定期驗證已建立和實現的信息安全連續性控制，以確保這些控制在不利情況下是正當和有效的。
實現指南
無論是在運行還是連續性情況下，組織的、技術的、規程的和過程變更都可導致信息安全連續性要求的變化。在這些情況下，宜針對這些變化評審信息安全連續性的過程、規程和控制。
組織宜通過以下方面驗證其信息安全管理的連續性：
a) 演練和測試信息安全連續性過程、規程和控制的功能以確保其符合信息安全連續性目標；
b) 演練和測試信息安全連續性過程、規程和控制的常識和常規操作以確保其性能符合信息安全連續性目標；
c) 當信息系統、信息安全過程、規程和控制或業務連續性管理/災難恢復管理過程和解決方案變更時，評審信息安全連續性措施的正確性和有效性。
其他信息