[Day29]ISO 27001 附录 A.17 营运持续管理之资讯安全层面

组织持续交付产品及服务的能力，不会与身俱来，需要培养、维持与持续改善。
所以会从先前的内外部环境分析，让产品与服务交付不要中断：

• 事前：做好准备
• 事中：做好因应
• 事後：做好快速复原

A.17 营运持续管理之资讯安全层面

A.17.1 资讯安全持续

目标：资讯安全持续应嵌入组织之营运持续管理系统中。

A.17.1.1 规划资讯安全持续

组织应决定其对资讯安全之要求事项，以及於不利情况下(例：危机或灾难期间)，对资讯安全管理之持续性要求事项。

• 营运持续的政策与计画，常见有 BIA 营运冲击分析书，以识别相关的风险，并依其风险做其规划及控管。
  常见的情境是针对核心业务设备或系统，并没有列入营运冲击分析书中；仅列入近期要演练的内容。

A.17.1.2 实作资讯安全持续

组织应建立、文件化、实作及维持过程、程序及控制措施，以确保不利情况期间所要求之资讯安全持续等级。

• 是否有相关演练实作记录？
• 依计画进行演练实做，要有演练的纪录，且要看演练的情境是否足够，如：实作时专责人员已在场，但核心系统失效的时，需要供应商才能进行回复，但与供应商签定的合约是 5x8 4hr on-site，所以未加上最差的情境如加上4hr厂商到场的时间，演练的计画是RTO 4hr的要求，未有考量厂商到场的所需时间。

A.17.1.3 查证、审查并评估资讯安全持续

组织应定期查证所建立及实作之资讯安全持续控制措施，以确保其於不良情况期间系生效及有效。

• 演练後的检讨纪录，如有不符合的项目，要提出改善的作法，如：增加资源、调整执行流程、或是接受未来恢复时间延长决定

A.17.2 多重备援

目标：确保资讯处理设施之可用性。

A.17.2.1 资讯处理设施之可用性

应对资讯处理设施实作充分之多重备援，以符合可用性要求。

• 资讯系统或是设备一旦丧失可用性，针对各种风险有什麽备援机制呢？
• 这里要注意的是备援不是备份！这里指的是多重备援的机制。如：云服务、备援机、重启资料倒回的虚拟机

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

恐怖！廃病院からの脱出：无影灯

无影灯：真相

恐怖美术馆からの脱出

《恐怖！废弃医院逃脱：无影灯》讲述一个大三的学生，在暑假期间被朋友邀请去试验胆量。而试验的地点却在一个叫做「山下医院」的废弃医院，在来的途中，他的朋友向他讲述了这间医院发生的事情：据说曾传出有医生杀害护士和病人的事件，最後自杀，从此医院就开始出现一连串奇怪的事情，因而被废弃掉了。就在学生们进入医院後，入口的门却自动关上了…
原文网址：https://kknews.cc/game/rerelrv.html

这 3 款在 iOS / Android 平台上都可以下载：)
唯一的问题就是只有日文，手机撷图後丢 Google 翻译罗…