ISO/IEC 27001:2022 版标准 业务连续性的ICT准备
控制
宜根据业务连续性目标和ICT连续性要求,策划、实施、保持和测试ICT准备情况。
目标
确保中断期间组织信息和其他相关资产的可用性。
指南
业务连续性的ICT准备是业务连续性管理和信息安全管理的一个重要组成部分,以确保在中断期间可以继续达成组织的目标。
ICT连续性要求是业务影响分析(BIA)的输出。BIA过程宜使用影响类型和标准来评估因交付产品和服务的业务活动中断而造成的长期影响。宜使用所产生影响的大小和持续的时间来确定宜分配恢复时间目标(RTO)的优先活动。然后BIA应确定需要哪些资源来支持优先活动。还宜为这些资源指定RTO。这些资源的一个子集应包括ICT服务。
涉及ICT服务的BIA可以进行扩展,以定义ICT系统的性能和容量要求,以及中断期间支持活动所需的信息恢复点目标(RPO)。
根据涉及ICT服务的BIA和风险评估的输出,组织宜确定并选择ICT连续性战略,这些战略考虑了中断前、中断期间和中断后的备选方案。业务连续性战略可以包括一个或多个解决方案。基于这些战略,宜制定、实施和测试计划,以便在关键过程中断或出现故障后,在所需的时间范围内满足ICT服务所需的可用性水平。
组织宜确保:
a)建立适当的组织结构,在具有必要责任、权限和能力的员工支持下,准备、缓解和响应中断;
b)ICT连续性计划,包括详细说明组织计划如何管理ICT服务中断的响应和恢复程序,包括:
1) 通过演练和测试进行定期评估;
2)经管理层批准:
c)ICT连续性计划包括以下ICT连续性信息:
1)满足BIA中指明的业务连续性要求和目标的性能和容量规格;
2) 每项优先ICT服务的RT0以及恢复这些组成部分的程序;
3)被定义为信息的优先ICT资源的P0以及恢复这些信息的程序。
其他信息
管理ICT连续性是业务连续性要求的一个关键部分,涉及可用性,以便能够:
a)响应ICT服务中断并从中恢复,无论其原因为何;
b)确保优先活动的连续性得到所需ICT服务的支持;
c)在ICT服务中断发生之前,以及在检测到至少一个可能导致ICT服务中断的事件时,做出响应。
有关ICT业务连续性准备情况的进一步指南,请参见IS0/IEC27031。
有关业务连续性管理体系的进一步指南,请参见IS022301和IS022313。
有关BIA的进一步指南,请参见IS0/TS22317。
