ISO27001认证审核 三、业务连续性审核
三、ISO27001信息安全管理体系 业务连续性审核
风险管理存在不确定性,通过风险管理只能将组织的风险尽量控制在组织可接受范围之内。要想保证组织的业务达到组织所期望的正常运营目标,还需要依赖具有确定性的管理措施——业务连续性管理做补充。信息安全连续性管理是业务连续性管理的重要方面,业务连续性/信息安全连续性审核也是ISO27001信息安全管理体系审核的重要脉络。
业务连续性/信息安全连续性审核目的是评价组织是否进行了关键业务分析,是否分析了关键业务对信息资产的依赖程度,是否建立了业务连续性计划框架,是否针对关键业务/依赖度高的信息资产制定了业务连续性/信息安全连续性计划,信息安全连续性的管理流程是否完整,是否针对业务连续性/信息安全连续性计划制定了演练计划,是否组织了演练,是否对演练进行了分析,是否依据分析结果对业务连续性/信息安全连续性计划、演练计划、管理流程进行改进,是否发生过引起关键业务中断的信息安全事件,如发生过,是否依据信息安全连续性计划实现了关键业务恢复目标,有没有连续性计划外的信息资产影响恢复目标实现。
业务连续性/信息安全连续性审核主要在第二阶段审核进行。审核组应重点关注组织业务连续性管理中的信息安全连续性管理,并结合业务连续性的其他方面(例如人员、材料、运输、设施等),但是注意不要用对组织整个业务连续性管理的泛泛检查来代替对业务连续性的信息安全方面的审核。
业务连续性/信息安全连续性审核主要包括:
1.业务连续性管理程序检查
评价程序的可执行性和完备性,可采用查阅记录、与有关工作人员面谈相结合的方式。
2.计划和演练情况检查
检查组织的关键业务影响分析报告、业务连续性计划框架、信息安全连续性计划,评价组织的业务连续性/信息安全连续性策划;抽样已进行的演练项目,通过人员、演练记录和演练分析报告的检查进一步评价业务连续性/信息安全连续性管理的有效陛等。
3.事件管理检查
信息安全事件管理是信息安全管理的基础工作,沿着四条脉络的审核都可能涉及事件管理。发生严重事件时往往会启动业务连续性计划,另外还应根据对事件及其处理情况的分析来改进风险评估和业务连续性管理。因此有必要结合事件管理进一步验证业务连续性管理的有效性。
