ISO∕IEC 20000-1：2018《信息技術(shù)服務(wù)管理第一部分：服務(wù)管理體系要求》之23-“8.7　服務(wù)保證”理解與應(yīng)用指導(dǎo)材料

“8.7服務(wù)保證”理解與應(yīng)用指導(dǎo)材料ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理第一部分：服務(wù)管理體系要求》之23：“8.7服務(wù)保證”理解與應(yīng)用指導(dǎo)材料ISO∕IEC20000-1-2018《信息技術(shù)—服務(wù)管理第1部分服務(wù)管理體系ISO∕IEC20000-1-2018《信息技術(shù)—服務(wù)管理第1部分服務(wù)管理體系》8服務(wù)管理體系的運(yùn)行8.7服務(wù)保證8.7.1服務(wù)可用性管理組織應(yīng)按策劃的時間間隔評估和記錄服務(wù)可用性的風(fēng)險。組織應(yīng)確定服務(wù)可用性要求和目標(biāo)。商定服務(wù)可用性要求時應(yīng)考慮相關(guān)業(yè)務(wù)要求、服務(wù)要求、服務(wù)級別協(xié)議和風(fēng)險。應(yīng)記錄和保持服務(wù)的可用性要求和目標(biāo)。應(yīng)監(jiān)視服務(wù)可用性，記錄結(jié)果并與目標(biāo)進(jìn)行比較。并對非計(jì)劃的不可用性進(jìn)行調(diào)查，并采取必要措施。注：可以將6.1確定的風(fēng)險作為服務(wù)可用性、服務(wù)連續(xù)性和信息安全提供風(fēng)險的輸入。8.7.2服務(wù)連續(xù)性管理組織應(yīng)按策劃的時間間隔，評估和記錄服務(wù)連續(xù)性的風(fēng)險。組織應(yīng)確定服務(wù)連續(xù)性要求。商定服務(wù)連續(xù)性要求時應(yīng)考慮相關(guān)業(yè)務(wù)要求、服務(wù)要求、服務(wù)級別協(xié)議和風(fēng)險。組織應(yīng)創(chuàng)建、實(shí)施并維護(hù)一個或多個服務(wù)連續(xù)性計(jì)劃。服務(wù)連續(xù)性計(jì)劃應(yīng)包含以下內(nèi)容：a）啟動服務(wù)連續(xù)性的條件和職責(zé)；b）在發(fā)生重大服務(wù)缺失時執(zhí)行的程序或引用的程序；c）服務(wù)連續(xù)性計(jì)劃啟用時的服務(wù)可用性目標(biāo)；d）服務(wù)的恢復(fù)要求；e）恢復(fù)正常工作環(huán)境的程序。當(dāng)訪問正常的服務(wù)位置被阻止時，應(yīng)能訪問到服務(wù)連續(xù)性計(jì)劃和聯(lián)系人名單。應(yīng)按策劃的時間間隔，測試服務(wù)連續(xù)性計(jì)劃并與服務(wù)連續(xù)性要求進(jìn)行比較。在服務(wù)環(huán)境發(fā)生重大變更后，應(yīng)重新測試服務(wù)連續(xù)性計(jì)劃。并記錄測試結(jié)果。每次測試和啟用服務(wù)連續(xù)性計(jì)劃后均應(yīng)進(jìn)行評審。如果發(fā)現(xiàn)缺陷，組織應(yīng)采取必要的措施并報(bào)告所采取的行動。啟用服務(wù)連續(xù)性計(jì)劃時，組織應(yīng)報(bào)告原因、影響和恢復(fù)措施。8.7.3信息安全管理8.7.3.1信息安全方針具有適當(dāng)授權(quán)的管理者應(yīng)考慮了服務(wù)要求、法律法規(guī)要求和合同義務(wù)要求的基礎(chǔ)上批準(zhǔn)組織的信息安全方針。適用時，組織應(yīng)提供信息安全方針。組織應(yīng)向以下范圍的有關(guān)人員傳達(dá)遵守信息安全方針的重要性及其對服務(wù)管理體系和服務(wù)的適用性：a）組織；b）客戶和用戶；c）外部供方、內(nèi)部供方和其他相關(guān)方。8.7.3.2信息安全控制措施應(yīng)按策劃的時間間隔評估服務(wù)管理體系和服務(wù)的信息安全風(fēng)險并進(jìn)行記錄。應(yīng)制定、實(shí)施和運(yùn)行信息安全控制措施，落實(shí)信息安全方針，處理已確定的信息安全風(fēng)險。應(yīng)記錄有關(guān)信息安全控制措施的決定。組織應(yīng)商定并實(shí)施信息安全控制措施，處理與外部組織有關(guān)的信息安全風(fēng)險。組織應(yīng)監(jiān)視并評審信息安全控制的有效性并采取必要措施。8.7.3.3信息安全事件對于信息安全事件，應(yīng)采取以下措施：a）記錄并分類；b）根據(jù)信息安全風(fēng)險分配優(yōu)先順序；c）必要時升級；d）解決；e）關(guān)閉。組織應(yīng)按類型、數(shù)量和對服務(wù)管理體系、服務(wù)和相關(guān)方的影響來分析信息安全事件。應(yīng)報(bào)告并評審信息安全事件，識別改進(jìn)機(jī)會。注：ISO/IEC27000系列標(biāo)準(zhǔn)規(guī)定了相關(guān)要求并提供了指南以支持信息安全管理體系的實(shí)施和運(yùn)行。ISO/IEC27013提供了有關(guān)ISO/IEC27001和ISO/IEC20000-1（本標(biāo)準(zhǔn)）整合的指南。服務(wù)管理體系的運(yùn)行服務(wù)保證服務(wù)可用性管理服務(wù)可用性管理的風(fēng)險評估與目標(biāo)設(shè)定；組織應(yīng)按策劃的時間間隔評估和記錄服務(wù)可用性的風(fēng)險；風(fēng)險評估的重要性：服務(wù)可用性管理首先要進(jìn)行風(fēng)險評估，這是確保服務(wù)穩(wěn)定性和可靠性的基礎(chǔ)。通過定期評估，組織能夠及時發(fā)現(xiàn)潛在的服務(wù)中斷風(fēng)險，從而采取相應(yīng)的預(yù)防措施；策劃的時間間隔：組織應(yīng)根據(jù)自身業(yè)務(wù)特點(diǎn)和服務(wù)需求，策劃合理的時間間隔進(jìn)行風(fēng)險評估。這個間隔可以是固定的，如每季度或每年，也可以是動態(tài)的，根據(jù)服務(wù)運(yùn)行狀況和外部環(huán)境變化靈活調(diào)整；風(fēng)險評估的內(nèi)容：風(fēng)險評估應(yīng)全面覆蓋可能影響服務(wù)可用性的各種因素，包括但不限于技術(shù)故障、人為錯誤、自然災(zāi)害、供應(yīng)鏈問題等。同時，評估過程中應(yīng)收集相關(guān)數(shù)據(jù)和信息，為后續(xù)的風(fēng)險管理提供依據(jù)；記錄要求：評估結(jié)果應(yīng)及時、準(zhǔn)確地記錄在案，以便后續(xù)跟蹤和分析。記錄內(nèi)容應(yīng)包括風(fēng)險評估的方法、過程、結(jié)果以及任何相關(guān)的改進(jìn)措施或建議。組織應(yīng)確定服務(wù)可用性要求和目標(biāo)；服務(wù)可用性要求的確定：服務(wù)可用性要求是衡量服務(wù)穩(wěn)定性和可靠性的重要指標(biāo)。組織應(yīng)根據(jù)自身業(yè)務(wù)需求和客戶需求，結(jié)合服務(wù)級別協(xié)議（SLA）和相關(guān)法律法規(guī)要求，確定合理的服務(wù)可用性要求。這些要求應(yīng)具體、明確、可衡量，以便后續(xù)的實(shí)施和監(jiān)控；考慮因素：在確定服務(wù)可用性要求時，組織應(yīng)充分考慮相關(guān)業(yè)務(wù)要求、服務(wù)要求、服務(wù)級別協(xié)議和風(fēng)險。例如，對于關(guān)鍵業(yè)務(wù)服務(wù)，其可用性要求可能更高；而對于非關(guān)鍵業(yè)務(wù)服務(wù)，則可以適當(dāng)降低要求。同時，組織還應(yīng)關(guān)注潛在的風(fēng)險因素，如技術(shù)依賴度、供應(yīng)商穩(wěn)定性等，以制定更加合理、可行的可用性目標(biāo)；目標(biāo)設(shè)定：基于上述考慮因素，組織應(yīng)設(shè)定明確的服務(wù)可用性目標(biāo)。這些目標(biāo)應(yīng)與服務(wù)管理方針和戰(zhàn)略方向相一致，同時能夠支持組織的業(yè)務(wù)目標(biāo)和客戶需求。通過設(shè)定明確的目標(biāo)，組織可以更加有針對性地開展服務(wù)可用性管理工作，提高服務(wù)質(zhì)量和客戶滿意度。商定服務(wù)可用性要求時應(yīng)考慮相關(guān)業(yè)務(wù)要求、服務(wù)要求、服務(wù)級別協(xié)議和風(fēng)險。風(fēng)險納入考慮：在商定服務(wù)可用性要求時，組織應(yīng)充分考慮潛在的風(fēng)險因素。這些風(fēng)險可能來源于技術(shù)、人員、環(huán)境、供應(yīng)鏈等多個方面。組織應(yīng)對這些風(fēng)險進(jìn)行識別、分析和評估，以確定其對服務(wù)可用性的影響程度和可能性；可以將“6.1應(yīng)對風(fēng)險和機(jī)遇的措施”確定的風(fēng)險作為服務(wù)可用性、服務(wù)連續(xù)性和信息安全提供風(fēng)險的輸入；風(fēng)險的跨領(lǐng)域應(yīng)用：強(qiáng)調(diào)服務(wù)管理體系中不同部分之間的緊密關(guān)聯(lián)，特別是風(fēng)險管理在服務(wù)可用性、服務(wù)連續(xù)性和信息安全方面的作用。組織在制定服務(wù)可用性管理策略時，應(yīng)充分考慮和整合“6.1應(yīng)對風(fēng)險和機(jī)遇的措施”中已識別的風(fēng)險；服務(wù)可用性的風(fēng)險視角：通過風(fēng)險管理的視角，組織可以系統(tǒng)地識別和分析可能影響服務(wù)可用性的潛在威脅和機(jī)會。這些風(fēng)險可能源于內(nèi)部因素（如技術(shù)故障、人員變動）或外部因素（如自然災(zāi)害、供應(yīng)商問題）；服務(wù)連續(xù)性與信息安全的風(fēng)險整合：同樣地，服務(wù)連續(xù)性和信息安全也是服務(wù)管理體系中至關(guān)重要的方面，它們的風(fēng)險也應(yīng)被視為服務(wù)可用性風(fēng)險的輸入。這意味著組織在制定風(fēng)險管理策略時，需要綜合考慮這三個領(lǐng)域的風(fēng)險，以確保全面的風(fēng)險覆蓋和應(yīng)對。風(fēng)險應(yīng)對措施：針對基于“6.1應(yīng)對風(fēng)險和機(jī)遇的措施”識別出的風(fēng)險，組織應(yīng)進(jìn)一步評估這些風(fēng)險對服務(wù)可用性的影響程度，并制定相應(yīng)的風(fēng)險應(yīng)對措施。這些措施可能包括預(yù)防性措施（如加強(qiáng)監(jiān)控、定期維護(hù)）、緩解性措施（如備份方案、冗余設(shè)計(jì)）以及應(yīng)急性措施（如快速響應(yīng)機(jī)制、災(zāi)難恢復(fù)計(jì)劃）。這些措施和預(yù)案應(yīng)旨在降低風(fēng)險發(fā)生的可能性、減輕風(fēng)險對服務(wù)可用性的影響以及快速恢復(fù)服務(wù)運(yùn)行。同時，組織還應(yīng)定期對這些措施和預(yù)案進(jìn)行審查和更新，以確保其有效性和適用性。應(yīng)記錄和保持服務(wù)的可用性要求和目標(biāo)；記錄和保持的重要性：為了確保服務(wù)始終符合既定的可用性要求，組織必須將這些要求明確地記錄下來，并持續(xù)跟蹤其實(shí)現(xiàn)情況。這一步驟是服務(wù)可用性管理的關(guān)鍵環(huán)節(jié)，有助于組織在日常運(yùn)營中始終保持對服務(wù)可用性的高度關(guān)注；可用性要求的記錄：組織應(yīng)詳細(xì)記錄服務(wù)可用性的具體要求，包括但不限于服務(wù)運(yùn)行的連續(xù)性、響應(yīng)時間、故障恢復(fù)時間等關(guān)鍵指標(biāo)。這些要求應(yīng)基于業(yè)務(wù)需求、客戶需求以及服務(wù)級別協(xié)議（SLA）中的相關(guān)條款進(jìn)行制定，確保既符合實(shí)際運(yùn)營情況，又能夠滿足客戶的期望；目標(biāo)的明確性：與可用性要求相對應(yīng)，組織還應(yīng)設(shè)定明確的服務(wù)可用性目標(biāo)。這些目標(biāo)應(yīng)具體、可衡量，以便組織能夠?qū)ζ鋵?shí)現(xiàn)情況進(jìn)行有效的監(jiān)控和評估。同時，目標(biāo)設(shè)定應(yīng)與組織的服務(wù)管理方針和戰(zhàn)略方向相一致，確保其在整體運(yùn)營中的協(xié)調(diào)性和一致性；保持記錄的持續(xù)性：記錄的保持是一個持續(xù)的過程，組織應(yīng)定期對記錄的準(zhǔn)確性和完整性進(jìn)行審查，并根據(jù)實(shí)際情況進(jìn)行必要的更新和修訂。通過保持記錄的持續(xù)性，組織可以確保服務(wù)可用性要求和目標(biāo)的始終如一，為服務(wù)質(zhì)量的持續(xù)提升提供有力支持。應(yīng)監(jiān)視服務(wù)可用性，記錄結(jié)果并與目標(biāo)進(jìn)行比較。并對非計(jì)劃的不可用性進(jìn)行調(diào)查，并采取必要措施。應(yīng)監(jiān)視服務(wù)可用性，記錄結(jié)果并與目標(biāo)進(jìn)行比較；監(jiān)視服務(wù)可用性的必要性：為了確保服務(wù)能夠滿足既定的可用性要求，組織必須對其進(jìn)行持續(xù)的監(jiān)視。監(jiān)視活動應(yīng)覆蓋服務(wù)的所有關(guān)鍵方面，包括但不限于服務(wù)響應(yīng)時間、故障恢復(fù)時間、服務(wù)中斷次數(shù)等；記錄監(jiān)視結(jié)果：監(jiān)視過程中收集的數(shù)據(jù)和信息應(yīng)及時、準(zhǔn)確地記錄下來。這些記錄不僅是后續(xù)分析和改進(jìn)的依據(jù)，也是組織向客戶展示其服務(wù)管理水平的重要證據(jù)；與目標(biāo)進(jìn)行比較：記錄的監(jiān)視結(jié)果應(yīng)與預(yù)先設(shè)定的服務(wù)可用性目標(biāo)進(jìn)行比較。通過比較，組織可以清楚地了解當(dāng)前服務(wù)性能與期望目標(biāo)之間的差距，從而有針對性地采取措施進(jìn)行改進(jìn)。對非計(jì)劃的不可用性進(jìn)行調(diào)查，并采取必要措施：非計(jì)劃不可用性的定義：非計(jì)劃不可用性是指由于意外事件或故障導(dǎo)致的服務(wù)中斷，這些中斷事先并未被計(jì)劃或預(yù)測到；調(diào)查非計(jì)劃不可用性的原因：每當(dāng)發(fā)生非計(jì)劃不可用性時，組織應(yīng)立即啟動調(diào)查程序，查明導(dǎo)致服務(wù)中斷的具體原因。調(diào)查過程應(yīng)詳細(xì)、全面，確保能夠找到問題的根源；采取必要措施：基于調(diào)查結(jié)果，組織應(yīng)采取必要的措施來恢復(fù)服務(wù)運(yùn)行并防止類似問題再次發(fā)生。這些措施可能包括修復(fù)故障、優(yōu)化系統(tǒng)配置、加強(qiáng)監(jiān)控等。同時，組織還應(yīng)關(guān)注客戶的反饋和需求，確保在恢復(fù)服務(wù)的同時能夠滿足客戶的期望。服務(wù)連續(xù)性管理服務(wù)連續(xù)性管理的風(fēng)險評估、計(jì)劃制定與實(shí)施；組織應(yīng)按策劃的時間間隔，評估和記錄服務(wù)連續(xù)性的風(fēng)險；定期評估的重要性：為了確保服務(wù)在面臨潛在中斷時能夠迅速恢復(fù)，組織需要定期進(jìn)行服務(wù)連續(xù)性的風(fēng)險評估。這種定期評估有助于及時發(fā)現(xiàn)并應(yīng)對可能影響服務(wù)連續(xù)性的各種風(fēng)險因素；風(fēng)險評估的全面性：風(fēng)險評估應(yīng)涵蓋所有可能影響服務(wù)連續(xù)性的因素，包括但不限于技術(shù)故障、人為錯誤、自然災(zāi)害等。通過全面的風(fēng)險評估，組織可以更準(zhǔn)確地了解潛在風(fēng)險及其可能帶來的影響；記錄風(fēng)險的要求：評估結(jié)果應(yīng)以適當(dāng)?shù)男问接涗浵聛?，以便組織在制定服務(wù)連續(xù)性計(jì)劃時參考。這些記錄不僅有助于組織內(nèi)部溝通，也是向外部相關(guān)方展示組織對服務(wù)連續(xù)性重視程度的證據(jù)。組織應(yīng)確定服務(wù)連續(xù)性要求；業(yè)務(wù)要求的考慮：服務(wù)連續(xù)性要求的確定應(yīng)基于組織的業(yè)務(wù)需求和戰(zhàn)略目標(biāo)。這些要求應(yīng)確保在發(fā)生服務(wù)中斷時，關(guān)鍵業(yè)務(wù)功能能夠得到持續(xù)保障；服務(wù)要求和服務(wù)級別協(xié)議的參照：服務(wù)連續(xù)性要求還應(yīng)與服務(wù)要求和服務(wù)級別協(xié)議中的相關(guān)條款保持一致。這有助于確保服務(wù)連續(xù)性計(jì)劃能夠滿足客戶期望并維護(hù)組織信譽(yù)；風(fēng)險的考慮：在商定服務(wù)連續(xù)性要求時，組織應(yīng)充分考慮已識別的風(fēng)險因素及其潛在影響。這有助于組織制定更具針對性的服務(wù)連續(xù)性計(jì)劃，以應(yīng)對各種潛在風(fēng)險。組織應(yīng)創(chuàng)建、實(shí)施并保持一個或多個服務(wù)連續(xù)性計(jì)劃。計(jì)劃的內(nèi)容要求：服務(wù)連續(xù)性計(jì)劃應(yīng)包含啟動條件、職責(zé)分配、執(zhí)行程序、可用性目標(biāo)、恢復(fù)要求以及恢復(fù)正常工作環(huán)境的程序等關(guān)鍵要素。這些要素共同構(gòu)成了服務(wù)連續(xù)性計(jì)劃的核心內(nèi)容，確保組織在發(fā)生服務(wù)中斷時能夠迅速、有序地恢復(fù)服務(wù)；啟動條件和職責(zé)分配：服務(wù)連續(xù)性計(jì)劃應(yīng)明確啟動服務(wù)連續(xù)性的具體條件和職責(zé)分配情況。這有助于確保在發(fā)生服務(wù)中斷時，相關(guān)人員能夠迅速響應(yīng)并履行職責(zé)；執(zhí)行程序與可用性目標(biāo)：計(jì)劃應(yīng)詳細(xì)規(guī)定在發(fā)生重大服務(wù)缺失時應(yīng)執(zhí)行的程序或引用的程序，并設(shè)定服務(wù)連續(xù)性計(jì)劃啟用時的服務(wù)可用性目標(biāo)。這些程序和目標(biāo)的設(shè)定有助于組織在恢復(fù)服務(wù)過程中保持高效、有序；恢復(fù)要求與程序：服務(wù)連續(xù)性計(jì)劃還應(yīng)明確服務(wù)的恢復(fù)要求以及恢復(fù)正常工作環(huán)境的程序。這有助于組織在恢復(fù)服務(wù)后迅速恢復(fù)正常運(yùn)營狀態(tài)，減少因服務(wù)中斷帶來的損失；計(jì)劃的持續(xù)維護(hù)與更新：服務(wù)連續(xù)性計(jì)劃不是一次性的工作成果，而是需要組織持續(xù)維護(hù)和更新的重要文檔。隨著業(yè)務(wù)環(huán)境的變化和風(fēng)險因素的演變，組織應(yīng)定期對服務(wù)連續(xù)性計(jì)劃進(jìn)行審查和更新，確保其始終符合實(shí)際需求并保持有效性。當(dāng)訪問正常的服務(wù)位置被阻止時，應(yīng)能訪問到服務(wù)連續(xù)性計(jì)劃和聯(lián)系人名單；災(zāi)難恢復(fù)準(zhǔn)備的關(guān)鍵性：組織應(yīng)確保在災(zāi)難發(fā)生時，關(guān)鍵的服務(wù)連續(xù)性計(jì)劃和必要的聯(lián)系人信息仍然可訪問，以便及時啟動和執(zhí)行災(zāi)難恢復(fù)程序；服務(wù)連續(xù)性計(jì)劃的遠(yuǎn)程訪問能力：組織應(yīng)確保服務(wù)連續(xù)性計(jì)劃不僅存儲在正常服務(wù)位置，還應(yīng)有備份或遠(yuǎn)程存儲機(jī)制。這樣，即使主服務(wù)位置遭受損害，關(guān)鍵人員仍能從其他地方訪問到這些計(jì)劃，并據(jù)此采取行動；聯(lián)系人名單的備份與更新：聯(lián)系人名單是災(zāi)難恢復(fù)過程中至關(guān)重要的資源，它包含了在緊急情況下需要聯(lián)系的關(guān)鍵人員信息。組織應(yīng)定期更新這份名單，并確保其有多個備份版本，這些備份應(yīng)存放在與主服務(wù)位置不同的安全地點(diǎn)，以便在需要時能夠迅速獲取。服務(wù)連續(xù)性計(jì)劃的定期測試與評審。應(yīng)按策劃的時間間隔，測試服務(wù)連續(xù)性計(jì)劃并與服務(wù)連續(xù)性要求進(jìn)行比較；定期測試的重要性：為了確保服務(wù)連續(xù)性計(jì)劃在實(shí)際應(yīng)用中的有效性和可靠性，組織需要按照策劃的時間間隔對其進(jìn)行測試。這種定期測試有助于及時發(fā)現(xiàn)計(jì)劃中的潛在問題，并評估其是否滿足既定的服務(wù)連續(xù)性要求。與服務(wù)連續(xù)性要求的比較：測試過程中，組織應(yīng)將服務(wù)連續(xù)性計(jì)劃的執(zhí)行結(jié)果與既定的服務(wù)連續(xù)性要求進(jìn)行比較。這種比較有助于評估計(jì)劃的符合性和有效性，并為后續(xù)的改進(jìn)提供依據(jù)。在服務(wù)環(huán)境發(fā)生重大變更后，應(yīng)重新測試服務(wù)連續(xù)性計(jì)劃。并記錄測試結(jié)果；應(yīng)對服務(wù)環(huán)境變更：當(dāng)服務(wù)環(huán)境發(fā)生重大變更時，如技術(shù)升級、業(yè)務(wù)流程調(diào)整等，這些變更可能對服務(wù)連續(xù)性計(jì)劃產(chǎn)生影響。因此，組織需要重新測試服務(wù)連續(xù)性計(jì)劃，以確保其在新的服務(wù)環(huán)境下仍然有效；確保計(jì)劃的適應(yīng)性：重新測試有助于組織評估服務(wù)連續(xù)性計(jì)劃對服務(wù)環(huán)境變更的適應(yīng)性，并根據(jù)測試結(jié)果對計(jì)劃進(jìn)行相應(yīng)的調(diào)整和優(yōu)化；測試結(jié)果記錄：測試過程中，組織應(yīng)詳細(xì)記錄測試結(jié)果，包括測試的具體內(nèi)容、方法、過程以及發(fā)現(xiàn)的問題等。這些記錄有助于組織內(nèi)部溝通和后續(xù)分析，并為計(jì)劃的持續(xù)改進(jìn)提供數(shù)據(jù)支持。每次測試和啟用服務(wù)連續(xù)性計(jì)劃后均應(yīng)進(jìn)行評審；評審的必要性：無論是定期測試還是緊急啟用，每次測試和啟用服務(wù)連續(xù)性計(jì)劃后，組織都應(yīng)進(jìn)行評審。評審的目的是對測試過程和結(jié)果進(jìn)行總結(jié)和分析，評估計(jì)劃的執(zhí)行效果和潛在改進(jìn)空間；評審的內(nèi)容：評審應(yīng)涵蓋測試結(jié)果的符合性、發(fā)現(xiàn)的問題及其解決方案、計(jì)劃的適應(yīng)性和有效性等方面。通過評審，組織可以不斷優(yōu)化和完善服務(wù)連續(xù)性計(jì)劃，提高其在實(shí)際應(yīng)用中的效果。如果發(fā)現(xiàn)缺陷，組織應(yīng)采取必要的措施并報(bào)告所采取的行動。缺陷應(yīng)對：在評審過程中，如果發(fā)現(xiàn)服務(wù)連續(xù)性計(jì)劃存在缺陷或不足，組織應(yīng)立即采取必要的措施進(jìn)行整改和完善。這些措施可能包括修改計(jì)劃內(nèi)容、優(yōu)化執(zhí)行流程、加強(qiáng)人員培訓(xùn)等；行動報(bào)告：組織應(yīng)將所采取的行動及其結(jié)果記錄在案，并向相關(guān)方進(jìn)行報(bào)告。這有助于增強(qiáng)組織內(nèi)部溝通和外部透明度，提高服務(wù)連續(xù)性管理的公信力和效果。同時，通過行動報(bào)告，組織還可以總結(jié)經(jīng)驗(yàn)教訓(xùn)，為未來的服務(wù)連續(xù)性管理提供參考和借鑒。啟用服務(wù)連續(xù)性計(jì)劃時，組織應(yīng)報(bào)告原因、影響和恢復(fù)措施。報(bào)告原因：當(dāng)組織決定啟用服務(wù)連續(xù)性計(jì)劃時，必須首先明確并記錄啟用計(jì)劃的具體原因。這些原因可能包括自然災(zāi)害、人為錯誤、系統(tǒng)故障等導(dǎo)致服務(wù)中斷或可能中斷的情況。明確報(bào)告原因有助于組織內(nèi)部和外部相關(guān)方了解事件的背景和緊急性，為后續(xù)的應(yīng)急響應(yīng)和恢復(fù)工作提供必要的背景信息；報(bào)告影響：除了報(bào)告原因外，組織還應(yīng)詳細(xì)評估并報(bào)告服務(wù)中斷或可能中斷對業(yè)務(wù)、客戶和其他相關(guān)方的影響。這些影響可能包括財(cái)務(wù)損失、客戶流失、信譽(yù)損害等。通過全面評估并報(bào)告影響，組織可以更準(zhǔn)確地把握事件的嚴(yán)重性和緊迫性，為制定有效的恢復(fù)措施提供依據(jù)；報(bào)告恢復(fù)措施：在啟用服務(wù)連續(xù)性計(jì)劃的同時，組織應(yīng)明確并報(bào)告將采取的恢復(fù)措施。這些措施應(yīng)針對事件的具體原因和影響制定，旨在盡快恢復(fù)服務(wù)的正常運(yùn)作并減少損失?；謴?fù)措施可能包括啟動備用系統(tǒng)、調(diào)配人力資源、與客戶溝通等。通過明確報(bào)告恢復(fù)措施，組織可以確保內(nèi)部和外部相關(guān)方對恢復(fù)工作有清晰的了解和預(yù)期。信息安全管理信息安全方針具有適當(dāng)授權(quán)的管理者應(yīng)考慮了服務(wù)要求、法律法規(guī)要求和合同義務(wù)要求的基礎(chǔ)上批準(zhǔn)組織的信息安全方針。適當(dāng)授權(quán)的管理者：組織內(nèi)負(fù)責(zé)信息安全工作的管理者需具備足夠的權(quán)限和專業(yè)知識，以確保信息安全方針的制定和批準(zhǔn)過程嚴(yán)謹(jǐn)、科學(xué)。這些管理者通常是組織高層或信息安全部門的核心成員，他們具備對組織整體信息安全需求和外部環(huán)境變化的深刻洞察。多維度考慮：在批準(zhǔn)信息安全方針之前，管理者需從多個維度進(jìn)行綜合考慮，確保方針的全面性和適用性。具體而言，這些維度包括：服務(wù)要求：管理者需了解組織提供的信息技術(shù)服務(wù)的特點(diǎn)和需求，確保信息安全方針能夠滿足這些服務(wù)的特定安全要求。例如，對于處理敏感客戶數(shù)據(jù)的服務(wù)，信息安全方針應(yīng)包含更為嚴(yán)格的數(shù)據(jù)保護(hù)措施；法律法規(guī)要求：管理者需關(guān)注國內(nèi)外與信息安全相關(guān)的法律法規(guī)要求，確保信息安全方針的合規(guī)性。這包括數(shù)據(jù)保護(hù)法、網(wǎng)絡(luò)安全法等對信息安全有明確規(guī)定的法律法規(guī)；合同義務(wù)要求：組織與客戶、合作伙伴等之間簽訂的合同往往包含對信息安全的具體要求。管理者需仔細(xì)審閱這些合同條款，確保信息安全方針能夠滿足合同義務(wù)要求，避免因違反合同而導(dǎo)致的法律風(fēng)險和經(jīng)濟(jì)損失。方針的批準(zhǔn)：在綜合考慮上述多維度要求的基礎(chǔ)上，管理者應(yīng)正式批準(zhǔn)組織的信息安全方針。批準(zhǔn)過程應(yīng)記錄在案，以備后續(xù)審查和追溯。批準(zhǔn)后的信息安全方針將成為組織信息安全管理工作的指導(dǎo)性文件，對組織全體員工和相關(guān)方具有約束力。信息安全方針的提供與全范圍傳達(dá)。適用時，組織應(yīng)提供信息安全方針；提供方針的必要性：組織在制定完成信息安全方針后，應(yīng)及時將其提供給所有相關(guān)方。這一步驟是確保信息安全方針得以有效實(shí)施和遵循的前提；方針的適用性：組織在提供信息安全方針時，需確保其內(nèi)容與組織的實(shí)際情況和業(yè)務(wù)需求相匹配，避免空洞無物或過于理想化的內(nèi)容。組織應(yīng)向以下范圍的有關(guān)人員傳達(dá)遵守信息安全方針的重要性及其對服務(wù)管理體系和服務(wù)的適用性：組織；組織內(nèi)部的傳達(dá)：信息安全方針應(yīng)首先被組織內(nèi)部的所有員工所知曉和理解。這要求組織通過內(nèi)部培訓(xùn)、會議、公告等多種方式，確保員工明確信息安全方針的具體內(nèi)容和要求，以及自己在信息安全管理工作中的角色和責(zé)任；全員參與：信息安全不僅僅是IT部門或安全部門的責(zé)任，而是組織全員的共同責(zé)任。因此，組織在傳達(dá)信息安全方針時，應(yīng)強(qiáng)調(diào)全員參與的重要性，鼓勵員工積極參與信息安全管理工作?？蛻艉陀脩簦粚ν獠靠蛻舻膫鬟_(dá)：組織應(yīng)向客戶明確傳達(dá)其信息安全方針，特別是那些涉及客戶數(shù)據(jù)和服務(wù)的信息安全要求。這有助于增強(qiáng)客戶對組織信息安全能力的信任，提升客戶滿意度和忠誠度；用戶教育和意識提升：對于使用組織服務(wù)的用戶，組織也應(yīng)通過用戶手冊、在線幫助等方式，向用戶傳達(dá)遵守信息安全方針的重要性，提升用戶的信息安全意識。外部供方、內(nèi)部供方和其他相關(guān)方。對外部供方的傳達(dá)：組織應(yīng)與外部供方（如供應(yīng)商、合作伙伴等）建立明確的溝通機(jī)制，確保外部供方了解并遵守組織的信息安全方針。這有助于構(gòu)建穩(wěn)固的供應(yīng)鏈信息安全防線，降低外部風(fēng)險；對內(nèi)部供方的傳達(dá)：對于組織內(nèi)部的其他部門或團(tuán)隊(duì)（如財(cái)務(wù)部門、人力資源部門等），組織也應(yīng)通過內(nèi)部協(xié)調(diào)會議、跨部門溝通等方式，確保這些內(nèi)部供方了解信息安全方針的相關(guān)要求，并在日常工作中予以遵循；全范圍覆蓋：除了上述明確的對象外，組織還應(yīng)確保其他所有相關(guān)方（如監(jiān)管機(jī)構(gòu)、審計(jì)機(jī)構(gòu)等）也了解并遵守信息安全方針。這有助于組織在面臨外部審查或評估時，能夠順利通過并保持良好的聲譽(yù)。信息安全控制措施信息安全風(fēng)險評估與控制措施的實(shí)施與記錄；應(yīng)按策劃的時間間隔評估服務(wù)管理體系和服務(wù)的信息安全風(fēng)險并進(jìn)行記錄；定期風(fēng)險評估：組織需要設(shè)定固定的時間間隔，對服務(wù)管理體系及其服務(wù)進(jìn)行全面的信息安全風(fēng)險評估。這有助于及時發(fā)現(xiàn)潛在的信息安全風(fēng)險，并采取相應(yīng)的預(yù)防措施；風(fēng)險評估記錄：每次風(fēng)險評估的結(jié)果應(yīng)詳細(xì)記錄，包括識別出的風(fēng)險類型、影響范圍、潛在后果等關(guān)鍵信息。這些記錄是后續(xù)制定控制措施和監(jiān)控風(fēng)險的重要依據(jù)。應(yīng)制定、實(shí)施和運(yùn)行信息安全控制措施，落實(shí)信息安全方針，處理已確定的信息安全風(fēng)險；制定控制措施：基于風(fēng)險評估的結(jié)果，組織應(yīng)針對性地制定信息安全控制措施。這些措施應(yīng)具體、可行，能夠有效降低或消除已識別的信息安全風(fēng)險；控制措施的實(shí)施與運(yùn)行：控制措施制定后，應(yīng)及時組織實(shí)施，并確保其在實(shí)際業(yè)務(wù)環(huán)境中得到有效運(yùn)行。這需要組織內(nèi)部各相關(guān)部門和人員的密切配合與協(xié)作；落實(shí)信息安全方針：制定和實(shí)施信息安全控制措施的目的是落實(shí)組織的信息安全方針，確保服務(wù)管理體系和服務(wù)的安全性符合既定要求。應(yīng)記錄有關(guān)信息安全控制措施的決定。控制措施決定的記錄：組織在制定信息安全控制措施的過程中，所有重要的決策和依據(jù)都應(yīng)詳細(xì)記錄。這包括控制措施的選擇、實(shí)施計(jì)劃、預(yù)期效果等方面的內(nèi)容；記錄的完整性與可追溯性：記錄應(yīng)保持完整性和可追溯性，以便在后續(xù)審查、審計(jì)或風(fēng)險發(fā)生時能夠迅速定位問題原因，并采取相應(yīng)的補(bǔ)救措施。外部信息安全風(fēng)險處理與控制措施有效性持續(xù)評審。組織應(yīng)商定并實(shí)施信息安全控制措施，處理與外部組織有關(guān)的信息安全風(fēng)險。外部組織的信息安全風(fēng)險：組織在運(yùn)營過程中，不可避免地與外部組織（如供應(yīng)商、合作伙伴、客戶等）進(jìn)行信息交換和共享。這些外部組織可能帶來潛在的信息安全風(fēng)險，如數(shù)據(jù)泄露、惡意攻擊等；商定控制措施：針對這些外部風(fēng)險，組織需要與外部組織進(jìn)行充分溝通和協(xié)商，共同商定并實(shí)施適當(dāng)?shù)男畔踩刂拼胧?。這些措施可能包括數(shù)據(jù)加密、訪問控制、安全協(xié)議等；實(shí)施控制措施：商定措施后，組織應(yīng)確保其得到有效實(shí)施。這可能需要雙方共同投入資源和技術(shù)支持，建立安全的信息交換機(jī)制，并定期對控制措施的執(zhí)行情況進(jìn)行檢查和驗(yàn)證。組織應(yīng)監(jiān)視并評審信息安全控制的有效性并采取必要措施。監(jiān)視控制有效性：為了確保信息安全控制措施持續(xù)有效，組織需要建立監(jiān)視機(jī)制，對控制措施的執(zhí)行情況和效果進(jìn)行實(shí)時監(jiān)控。這包括定期審查安全日志、監(jiān)控網(wǎng)絡(luò)流量、評估系統(tǒng)漏洞等；評審控制效果：在監(jiān)視的基礎(chǔ)上，組織應(yīng)定期對信息安全控制的有效性進(jìn)行評審。評審內(nèi)容包括控制措施是否達(dá)到預(yù)期目標(biāo)、是否存在新的安全風(fēng)險、是否需要調(diào)整控制措施等；采取必要措施：根據(jù)評審結(jié)果，組織應(yīng)及時采取必要的措施。如果控制措施未能達(dá)到預(yù)期效果或存在新的安全風(fēng)險，組織需要調(diào)整或升級控制措施；如果控制措施有效且無需調(diào)整，組織應(yīng)繼續(xù)保持并優(yōu)化其實(shí)施效果。信息安全事件對于信息安全事件，應(yīng)采取以下措施：記錄并分類；記錄信息安全事件：當(dāng)發(fā)生信息安全事件時，首要任務(wù)是詳細(xì)記錄事件的相關(guān)信息，包括事件發(fā)生的時間、地點(diǎn)、影響范圍、初步原因分析等。記錄是后續(xù)處理、分析和預(yù)防的重要依據(jù)；分類信息安全事件：對記錄的事件進(jìn)行分類，有助于快速識別事件的性質(zhì)和嚴(yán)重程度。分類可以根據(jù)事件的類型（如數(shù)據(jù)泄露、惡意攻擊、系統(tǒng)故障等）、影響范圍（如局部影響、全局影響）等因素進(jìn)行。根據(jù)信息安全風(fēng)險分配優(yōu)先順序；評估風(fēng)險：在事件分類的基礎(chǔ)上，進(jìn)一步評估事件對組織信息安全的風(fēng)險程度。評估內(nèi)容包括但不限于事件的潛在影響、緊急程度、擴(kuò)散速度等；分配處理優(yōu)先順序：根據(jù)風(fēng)險評估結(jié)果，為不同的事件分配處理優(yōu)先順序。優(yōu)先處理高風(fēng)險事件，確保關(guān)鍵業(yè)務(wù)和數(shù)據(jù)安全不受威脅。必要時升級；升級處理機(jī)制：對于超出當(dāng)前處理能力或緊急程度極高的事件，應(yīng)及時升級處理機(jī)制。這可能包括向