5.2.13  信息安全方面的業務連續性管理

信息安全方面的業務連續性管理包含2個控制目標4個控制措施。

　　組織應定期審核在業務連續性管理過程或災難恢復管理過程中是否包含了信息安全連續性要求。應在設計業務連續性和災難恢復要求時包含信息安全要求。

組織應建立、記錄、實施并維持文件化的信息安全連續性過程、規程和控制措施以確保在發生自然災害或其他意外事件時信息安全連續性滿足要求級別，即不會因為自然災害導致防火墻、日志審計系統等中斷或無法恢復。在業務連續性或災難恢復過程中，可能已定義特定的過程和規程。組織應保護在這些信息安全連續性過程和規程，并支持它們的特性，即保護信息系統中處理的信息。在發生自然災害或其他意外事件時，已實施的信息安全控制措施應繼續實行，即發生火災時不會導致應用服務器恢復而防火墻無法恢復運行。若安全控制措施不能保持信息安全，應建立、實施和維持其他控制措施以保持信息安全在可接受的水平， 例如發生火災時防火墻無法恢復但可以通過啟用三層交換機上的安全功能實現網絡訪問控制。

發生組織結構、技術、規程和過程變化都會能導致信息安全連續性要求的變化。在這些情況下，組織應針對這些變化審查信息安全連續性的過程、規程和控制措施是否還是有效。 如果失效則應該建立實施新的信息安全連續性措施。

　　組織應以文件形式明確信息系統可用性的業務要求。當使用現有系統體系結構不禽旨保證可用性時，宜考慮對網絡或核心服務器部署冗余組件或架構。若可行，應定期測試冗余信息系統以確保故障按預期從一個組件轉移到另一個組件。