信息安全认证：ISO27000标准“A.17.1 信息安全的连续性”条款讲解

【标准条款】

A.17.1 信息安全的连续性

目的∶应将信息安全连续性纳入组织业务连续性管理之中。

A.17.1.1 规划信息安全连续性

组织应确定在不利情况（如危机或灾难）下，对信息安全及信息安全管理连续性的要求。

【理解与应用】

组织宜确定在业务连续性管理过程或灾难恢复管理过程中是否包含了信息安全连续性。宜在计划业务连续性和灾难恢复时确定信息安全要求。

若没有正式的业务连续性和灾难恢复计划，信息安全管理宜假设与正常运行条件相比，不利情况下的信息安全要求仍保持不变。或者，组织能实施信息安全方面的业务影响分析以确定信息安全要求适用于不利情况。

为减少"额外的"信息安全方面的业务影响分析花费的时间和精力，建议从常规业务连续性管理或灾难恢复管理的业务影响分析中获取信息安全方面的信息。这可表明信息安全连续性要求在业务连续性管理或灾难恢复管理过程中已被明确制定。

【标准条款】

A.17.1.2 实现信息安全连续性

组织应建立、文件化、实现并维护过程、规程和控制，以确保在不利情况下信息安全连续性达到要求的级别。

【理解与应用】

组织宜确保：

（1）具有一个适当的管理架构通过具有必要权限、经验和能力的人员来准备、减轻和响应中断事态;

（2）指派事件响应人员，其具有管理事件和维护信息安全的必要责任、授权和能力;

（3）基于受到管理层批准的信息安全连续性目的（见A.17.1.1规划信息安全连续性），制定和批准文件化计划、响应和恢复规程，详细描述组织将如何管理中断事态，以及如何维护其信息安全达到一个预定的水平。

根据信息安全连续性要求，组织宜建立、记录、实现和维护∶

（1）在业务连续性或灾难恢复过程、规程、支持系统和工具中的的信息安全控制;

（2）在不利情况下维护现有信息安全控制的过程、规程和实现变更;

（3）在不利情况下不能维护的信息安全控制的补偿控制。

针对业务连续性或灾难恢复，可能已确定了专用的过程和规程。宜保护在这些过程和规程中或其支持性信息系统中处理的信息。因此组织在建立、实现和维护业务连续性或灾难恢复过程和规程时，宜需要信息安全专家。

在不利情况下，已实现的信息安全控制宜继续运行。若安全控制不能继续保护信息，宜建立、实现和维护其他控制来保持信息安全在可接受水平。

【标准条款】

A.17.1.3 验证、评审和评价信息安全连续性

组织应定期验证已建立和实现的信息安全连续性控制，以确保这些控制在不利情况下是正当和有效的。

【理解与应用】

无论是在运行还是连续性情况下，组织的、技术的、规程的和过程变更都可导致信息安全连续性要求的变化。在这些情况下，宜针对这些变化评审信息安全连续性的过程、规程和控制。

组织宜通过以下方面验证其信息安全管理的连续性：

（1）演练和测试信息安全连续性过程、规程和控制的功能以确保其符合信息安全连续性目的;

（2）演练和测试信息安全连续性过程、规程和控制的常识和常规操作以确保其性能符合信息安全连续性目的;

（3）当信息系统、信息安全过程、规程和控制或业务连续性管理/灾难恢复管理过程和解决方案变更时，评审信息安全连续性措施的正确性和有效性。

信息安全连续性控制的验证与一般信息安全测试和验证不同，宜在变更测试之外进行。如可能，信息安全连续性控制的验证宜与组织业务连续性或灾难恢复测试整合。

• 上一篇：ISO27000标准“A.17.2 冗余”条款讲解
• 下一篇：ISO27000标准“A.14.3 测试数据”条款讲解