19.1 信息和通信技術運行管理策略和流程（MCO_PPP）

組織機構應建立完善的信息和通信技術運行管理體系，確保信息處理設施正確、安全地運行。
圖17描述了信息和通信技術運行管理管理保障控制類的組成結構。

19.1.1　安全保障管理目的

組織機構應建立完善的信息和通信技術運行體系，以規劃和指導組織機構的信息安全保障工作。
信息和通信技術運行管理策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核系統信息和通信技術運行工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。
信息和通信技術運行管理應基于組織機構的業務要求和風險管理的要求，它包括系統運行流程和職責、第三方提供服務管理、審計和監控、惡意和移動代碼的防護、備份、邏輯訪問控制、網絡安全管理、介質管理、信息交換。

19.1.2　MCO_PPP.1 信息和通信技術運行管理策略和流程

19.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的信息和通信技術運行策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施信息和通信技術運行策略和相關的信息和通信技術運行控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

19.1.2.2　管理保障控制組件注解

信息和通信技術運行策略應作為組織機構信息安全策略體系的一個有機組成部分。組織機構在建立其信息和通信技術運行策略時，可根據業務要求和風險管理要求，為某個特定的信息系統或信息系統的一部分建立信息和通信技術運行流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。