看到營運持續(business continuity)大家可能會想到舊版ISO27001:2013當中的A.17.1資訊安全持續,事實上在新版ISO27001:2022裡資訊安全持續被放到A.5.29服務中斷期間的資訊安全,強調的是確保資訊安全三面向(機密性、完整性、可用性)的持續性。
新控制項A.5.30營運持續之資通訊準備(ICT readiness for business continuity)即導入ISO27031營運持續之資通訊準備指引的精神,希望組織在進行營運衝擊分析(business impact analysis, BIA)時,將ICT回復服務所需的RTO及步驟納入考量,並發展出一套ICT持續性計畫(ICT continuity plans),確保關鍵營運項目在任何情況中斷時,ICT服務/基礎設施資訊與相關資產的可用性。
舉例,我們在建立ISMS時常設計一個情境:發現本機資料誤刪,從雲端喚起備份檔進行補救。在這個情境設定下,我們必須衍伸聯想:可能有哪些狀況會導致「雲端-本機」雙向網路中斷、需要多少RTO、需要採取哪些步驟…
這些內容要有完整的規劃、實施、維護、測試程序,即可符合A.5.30營運持續之資通訊準備這項新要求。
Comments