为方便理解业务连续性管理过程,将采用分级的方式进行表述。业务连续性管理概要过程主要从整体上描述,不会体现具体的细节和涵盖所有的人员。
1) 制定业务连续性框架
通过对一系列应对方式(包括资源获取方式)的策略评估,确定业务连续性框架,为每一服务选择了合适的响应方式,使得组织可以在中断发生中或发生后能够按预定的条件持续提供服务。
2) 制定应急预案
开发具体的服务连续性应对措施,建立事故管理和业务连续性、业务恢复计划的管理框架,以详细描述在事故发生中或发生后维持和恢复运行的步骤。
3) 演练与维护
通过业务连续性的演练、维护和评审使得组织保证服务连续性策略和计划完成、更新和准确的程度。
对于内审、外审、管理评审、有效性测量、信息安全事件监控中的发现事项需填写《审核、检查发现事项通知单》,通知相关需改进部门。将发现事项记录在《体系改进记录表》中,对纠正和预防情况进行跟踪验证。
在对于非上述活动中的改进措施,按《信息安全交流控制制度》要求填写《信息安全管理体系意见表》,将发现事项记录在《体系改进记录表》中,对纠正和预防情况进行跟踪验证。
对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责。
1) 通过监测某控制的执行情况,告诉管理者该控制是否满足标准、信息安全管理体系和管理者的要求。关键性能指标是控制的性能指标,表现为控制的实际表现。通过测定,评价控制执行的好坏,通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定控制的性能,关键性能指标是控制执行程度的测定,预期将来成败的可能性,是先导性目标,面向控制过程,关注对于控制至关重要的资源。关键性能指标指出控制要完成到怎样的程度。
2) 信息安全工作小组分析确定每个测**类中的测量方法和关键性指标。
信息安全目标有效性测量方法
信息安全工作小组根据信息安全管理体系和公司及客户的要求,组织编制《信息安全目标及风险管理度有效性测量表》,经体系负责人审批后发布实施。
在信息安全管理体系有效性的测量中,使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。
关键目标指标
1) 识别测定信息安全管理体系控制的结果,控制的输出,关键目标指标体现的是控制的目标,指出哪些是必须做的,是控制实现其目标的可测指标,并且通常定义为需要实现的目标。
2) 关键目标指标是控制目标的一种表达,明确要取得什么目标,并描绘控制的结果,进行事后评判,即时体现控制的完成即成功与否。
3) 信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。
-/gbacfji/-
http://lsjsqd.b2b168.com