5.2.8  操作安全

操作安全包含7個控制目標(biāo)14個控制措施。

　　與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動應(yīng)具備文件化的操作規(guī)程，例如計算機啟動和關(guān)機規(guī)程、備份、設(shè)備維護、介質(zhì)處理、計算機機房檢查、郵件處置管理和安全規(guī)程等。操作規(guī)程要詳細規(guī)定執(zhí)行每項工作的說明和步驟。操作規(guī)程要形成正式的文件，其變更由管理者授權(quán)，并隨時可供所需用戶查閱。

對信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因。應(yīng)制定對信息安全有影響的組織、業(yè)務(wù)流程、信息處理設(shè)施和系統(tǒng)變更制度和變更流程，并留存所有變更記錄。在組織、業(yè)務(wù)流程、信息處理設(shè)施和系統(tǒng)有較大變更是及時開展風(fēng)險評估，識別安全風(fēng)險變化。

組織應(yīng)根據(jù)組織業(yè)務(wù)發(fā)展的需求，考慮未來一定時間段內(nèi)（一般是三到五年）相關(guān)系統(tǒng)業(yè)務(wù)能力容量要求（例如并發(fā)用戶量、日新增數(shù)據(jù)容量、所需網(wǎng)絡(luò)帶寬），應(yīng)對這些資源的使用進行監(jiān)控，調(diào)整和定期預(yù)測未來的容量需求，以確保信息系統(tǒng)具備所需的系統(tǒng)性能。對未來容量要求的推測應(yīng)綜合考慮新業(yè)務(wù)、系統(tǒng)要求以及組織信息處理臺邑力的當(dāng)前和預(yù)計的趨勢。

為防止組織業(yè)務(wù)生產(chǎn)系統(tǒng)故障，應(yīng)將業(yè)務(wù)生產(chǎn)系統(tǒng)和其開發(fā)測試環(huán)境相隔離。