5.2.8  操作安全

操作安全包含7個(gè)控制目標(biāo)14個(gè)控制措施。

　　與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)應(yīng)具備文件化的操作規(guī)程，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)規(guī)程、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房檢查、郵件處置管理和安全規(guī)程等。操作規(guī)程要詳細(xì)規(guī)定執(zhí)行每項(xiàng)工作的說明和步驟。操作規(guī)程要形成正式的文件，其變更由管理者授權(quán)，并隨時(shí)可供所需用戶查閱。

對(duì)信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因。應(yīng)制定對(duì)信息安全有影響的組織、業(yè)務(wù)流程、信息處理設(shè)施和系統(tǒng)變更制度和變更流程，并留存所有變更記錄。在組織、業(yè)務(wù)流程、信息處理設(shè)施和系統(tǒng)有較大變更是及時(shí)開展風(fēng)險(xiǎn)評(píng)估，識(shí)別安全風(fēng)險(xiǎn)變化。

組織應(yīng)根據(jù)組織業(yè)務(wù)發(fā)展的需求，考慮未來一定時(shí)間段內(nèi)（一般是三到五年）相關(guān)系統(tǒng)業(yè)務(wù)能力容量要求（例如并發(fā)用戶量、日新增數(shù)據(jù)容量、所需網(wǎng)絡(luò)帶寬），應(yīng)對(duì)這些資源的使用進(jìn)行監(jiān)控，調(diào)整和定期預(yù)測(cè)未來的容量需求，以確保信息系統(tǒng)具備所需的系統(tǒng)性能。對(duì)未來容量要求的推測(cè)應(yīng)綜合考慮新業(yè)務(wù)、系統(tǒng)要求以及組織信息處理臺(tái)邑力的當(dāng)前和預(yù)計(jì)的趨勢(shì)。

為防止組織業(yè)務(wù)生產(chǎn)系統(tǒng)故障，應(yīng)將業(yè)務(wù)生產(chǎn)系統(tǒng)和其開發(fā)測(cè)試環(huán)境相隔離。