5.2.8  操作安全

操作安全包含7個控制目標14個控制措施。

　　與信息處理和通信設施相關的系統活動應具備文件化的操作規程，例如計算機啟動和關機規程、備份、設備維護、介質處理、計算機機房檢查、郵件處置管理和安全規程等。操作規程要詳細規定執行每項工作的說明和步驟。操作規程要形成正式的文件，其變更由管理者授權，并隨時可供所需用戶查閱。

對信息處理設施和系統的變更缺乏控制是系統故障或安全失效的常見原因。應制定對信息安全有影響的組織、業務流程、信息處理設施和系統變更制度和變更流程，并留存所有變更記錄。在組織、業務流程、信息處理設施和系統有較大變更是及時開展風險評估，識別安全風險變化。

組織應根據組織業務發展的需求，考慮未來一定時間段內（一般是三到五年）相關系統業務能力容量要求（例如并發用戶量、日新增數據容量、所需網絡帶寬），應對這些資源的使用進行監控，調整和定期預測未來的容量需求，以確保信息系統具備所需的系統性能。對未來容量要求的推測應綜合考慮新業務、系統要求以及組織信息處理臺邑力的當前和預計的趨勢。

為防止組織業務生產系統故障，應將業務生產系統和其開發測試環境相隔離。