14.2 業務持續性和災難恢復管理的信息安全考慮（MBP_BIS）

14.2.1　安全保障管理目的

防止業務中斷，保護重要業務過程免受信息系統重大故障的影響，確保系統中斷后能及時地重新運行。
應該實施業務持續性管理過程，最小化故障對組織機構造成的影響并能恢復運行。綜合使用預防及恢復控制措施，把因災難或安全故障（例如，來自于自然災害、意外事件、設備故障及故意破壞行為）造成的業務中斷降低到可接受的程度。這個過程應識別關鍵業務過程，并將信息安全管理的業務持續性需求與其他如運行、人員、材料、運輸和設施等持續性需求結合在一起。
應對災難、安全故障、業務中斷的后果進行業務影響分析。應開發和實施持續性計劃以保證關鍵業務過程能夠及時恢復。信息安全應作為整體業務持續性過程和其他管理過程不可分割的一部分。
業務持續性管理應該包括識別和降低風險的控制措施。除了一般的風險評估過程，應該限制破壞事故的后果，確保業務過程所需要的信息可用。

14.2.2　MBP_BIS.1 業務持續性和管理中的信息安全考慮

14.2.2.1　管理保障控制組件控制

應該在組織機構內部針對業務持續性建立和維護一個管理過程，以解決組織的業務持續性需求。

14.2.2.2　管理保障控制組件注解

下面是業務持續性管理的重點：
a) 了解組織機構所面臨的風險、風險發生的概率及影響，包括標識關鍵業務過程并為業務過程劃分優先級；
b) 標識與關鍵業務相關的所有資產；
c) 了解哪些中斷可能影響業務（重要的是制訂既能處理較小的事故，又能處理威脅到組織機構生存能力的嚴重事故的方案），并確定信息處理設備的業務目的；
d) 考慮將購置適當的保險作為業務持續性計劃的一部分，也可以作為風險管理的一部分；
e) 識別并考慮阻止和緩減控制措施的實施情況；
f) 充分標識在經濟、組織、技術和環境方面的資源以滿足信息安全需求；
g) 確保人員、信息處理設施和組織的財產安全；
h) 明確闡述與總體戰略一致的業務持續性計劃，并將其文檔化；
i) 定期測試及更新正在推行的計劃與過程；
j) 保證對業務持續性的管理被整合到組織的流程和結構中。應指定組織機構的適當級別員工負責聯系業務持續性的管理。

14.2.3　MBP_BIS.2 業務持續性和災難恢復管理中的組織機構和職責

14.2.3.1　管理保障控制組件控制

單位應結合其日常組織結構的具體情況建立災難恢復的組織機構，并明確其職責。其中一些人可負責兩種或多種職責，一些職位可由多人擔任（災難恢復預案中明確它們的替代順序）。

14.2.3.2　管理保障控制組件注解

災難恢復的組織機構由管理、業務、技術和行政后勤等人員組成，分為災難恢復領導小組、災難恢復計劃實施組合災難恢復日常運行組。其中，實施組的人員在人物完成后可成為日常運行組。其中，實施組的人員在任務完成后可成為日常運行組的成員。
組織機構的職責：
A）災難恢復領導小組
災難恢復領導小組是信息系統災難恢復工作的組織領導機構，組長應由單位高層領導擔任，領導和決策信息系統災難恢復的重大事宜，其主要職責如下：
審核并批準經費預算；
審核并批準災難恢復策略；
審核并批準災難恢復預案；
組織災難恢復預案的測試和演練；
批準災難恢復預案的執行。
B）災難恢復規劃實施組
災難恢復規劃實施組的主要職責是負責：
災難恢復的需求分析；
提出災難恢復策略和等級；
災難恢復策略的實現；
制定災難恢復預案；
C）災難恢復日常運行組
災難恢復日常運行組的主要職責是負責：
災難備份中心日常管理；
災難備份系統的運行和維護；
災難恢復的技術支持；
災難恢復預案的教育、培訓和演練；
維護和管理災難恢復預案；
突發事件發生時的損失控制和損害評估；
災難發生后信息系統和業務功能的恢復；
災難發生后的外部協作。

14.2.4　MBP_BIS.3 業務持續性和災難恢復管理中的需求分析

14.2.4.1　管理保障控制組件控制

14.2.4.2　管理保障控制組件注解

14.2.5　MBP_BIS.4 業務持續性和災難恢復計劃

14.2.5.1　管理保障控制組件控制

14.2.5.2　管理保障控制組件注解

14.2.6　MBP_BIS.5 業務持續性和災難恢復框架

14.2.6.1　管理保障控制組件控制

14.2.6.2　管理保障控制組件注解

14.2.7　MBP_BIS.6 測試、維護和再評估業務持續性和災難恢復管理

14.2.7.1　管理保障控制組件控制

14.2.7.2　管理保障控制組件注解

14.2.8　MBP_BIS.7 業務持續性和災難恢復的指標和等級

14.2.8.1　管理保障控制組件控制

組織機構應根據其自身的業務持續性和災難恢復需求分析的結果以及相關的規定指南確定自己的恢復時間目標（RTO）和恢復點目標（RPO）指標和災難恢復的等級。

14.2.8.2　管理保障控制組件注解