三、ISO27001信息安全管理體系 業務連續性審核
風險管理存在不確定性，通過風險管理只能將組織的風險盡量控制在組織可接受范圍之內。要想保證組織的業務達到組織所期望的正常運營目標，還需要依賴具有確定性的管理措施——業務連續性管理做補充。信息安全連續性管理是業務連續性管理的重要方面，業務連續性/信息安全連續性審核也是ISO27001信息安全管理體系審核的重要脈絡。
業務連續性/信息安全連續性審核目的是評價組織是否進行了關鍵業務分析，是否分析了關鍵業務對信息資產的依賴程度，是否建立了業務連續性計劃框架，是否針對關鍵業務/依賴度高的信息資產制定了業務連續性/信息安全連續性計劃，信息安全連續性的管理流程是否完整，是否針對業務連續性/信息安全連續性計劃制定了演練計劃，是否組織了演練，是否對演練進行了分析，是否依據分析結果對業務連續性/信息安全連續性計劃、演練計劃、管理流程進行改進，是否發生過引起關鍵業務中斷的信息安全事件，如發生過，是否依據信息安全連續性計劃實現了關鍵業務恢復目標，有沒有連續性計劃外的信息資產影響恢復目標實現。
業務連續性/信息安全連續性審核主要在第二階段審核進行。審核組應重點關注組織業務連續性管理中的信息安全連續性管理，并結合業務連續性的其他方面(例如人員、材料、運輸、設施等)，但是注意不要用對組織整個業務連續性管理的泛泛檢查來代替對業務連續性的信息安全方面的審核。
業務連續性/信息安全連續性審核主要包括：
1．業務連續性管理程序檢查
評價程序的可執行性和完備性，可采用查閱記錄、與有關工作人員面談相結合的方式。
2．計劃和演練情況檢查
檢查組織的關鍵業務影響分析報告、業務連續性計劃框架、信息安全連續性計劃，評價組織的業務連續性/信息安全連續性策劃；抽樣已進行的演練項目，通過人員、演練記錄和演練分析報告的檢查進一步評價業務連續性/信息安全連續性管理的有效陛等。
3．事件管理檢查
信息安全事件管理是信息安全管理的基礎工作，沿著四條脈絡的審核都可能涉及事件管理。發生嚴重事件時往往會啟動業務連續性計劃，另外還應根據對事件及其處理情況的分析來改進風險評估和業務連續性管理。因此有必要結合事件管理進一步驗證業務連續性管理的有效性。


如何申請cnas認證?cnas認證資質辦理需要什么?
到哪辦理綠色環保推廣產品費用得多少錢
哪些企業適合辦理ISO27001認證？
ISO9001:2015質量管理體系認證需要準備什么資料？
上海高新企業申請具體流程和要求
如何申報ISO14001環境管理體系要多少費用
涉密信息系統集成資質申請單位應當依法,涉密信息系統集成資質年檢要求
美國FDA注冊產品分類