ISO/IEC 27001 : 2022 附录 A 5.30 ICT为业务连续性做好准备
ISO 27001:2022 附录 A 5.30 的目的是什么?
ISO 27001 附录 A 控制 5.30 承认 ICT 平台和服务在中断或具有重要意义的事件期间在保持业务连续性方面发挥的重要作用。
一个组织的恢复时间目标(RTO)和业务影响分析(BIA)在附件控制5.30中定义,其中讨论了ICT服务如何与这些指标和支持控制相互作用。
在业务中断之前、期间和之后,目标是保持信息的完整性和可用性。
关于附件A 5.30的一般性指导意见
要根据附件 A 控制 5.30 创建流程和程序,必须进行彻底的 BIA,以确定组织在发生运营中断时应如何应对。
业务影响分析旨在确定任何形式的中断如何影响业务连续性,无论所涉及的影响类型和组织变量如何。
为了制定商定的 RTO,为恢复正常运营设定明确的目标,组织应考虑两个关键变量:
对中断程度的评估。
中断的性质。
组织应该能够确定恢复所需的精确ICT服务和功能,以及其BIA中的性能和容量要求。
对于组织来说,必须进行风险评估,以评估其ICT系统,并为可以在中断之前、期间和之后启动的ICT连续性战略奠定基础。
在战略达成一致后,有必要制定具体流程,以确保ICT服务具有弹性,足以在中断期间和之后支持关键流程和系统。
以下是附件A控制5.30中关于ICT连续性计划的主要指导点:
为了加快从ICT事件中恢复的过程,高级工作人员通常必须就信息安全做出快速决策。
业务连续性和 RTO 合规性需要强大的指挥链,其中包括能够做出权威决策的有能力的个人。
为了促进充分的沟通并加快恢复时间,组织结构必须与时俱进并广泛沟通。
定期测试和评估以及高级管理层的批准是信息和通信技术连续性计划的重要组成部分。
应进行测试运行以衡量系统的有效性,并应衡量关键指标,例如响应和解决时间。
ICT连续性计划中应包括以下信息:
作为恢复工作的一部分使用的任何系统或进程的性能和容量要求。
对每项有问题的ICT服务进行明确的RTO,以及组织打算如何恢复它们。
对于每个 ICT 资源,都定义了一个恢复点目标 (RPO),并创建了过程以确保可以恢复信息。