ISO 27002, iş sürekliliği sürecinize bilgi güvenliği kontrollerini nasıl dahil edeceğiniz konusunda bazı yararlı tavsiyeler ve kılavuzlar içerir. İş sürekliliği yönetimi BS 25999 standardında daha ayrıntılı olarak ele alınmaktadır, ancak ISO 27002 yine de genel iş sürekliliği yönetimi sürecinizi kesinlikle güçlendirecek ek yapısal yaklaşımlar içerir.
Bölüm 14.1.1, "Kuruluşun iş sürekliliği için ihtiyaç duyulan bilgi güvenliği gereksinimlerini ele alan, kuruluş genelinde iş sürekliliği için yönetilen bir sürecin geliştirilmesi ve sürdürülmesi gerektiğini" belirtir.
Bu gereklilik, özünde, bilgi güvenliği süreçlerinin genel sürecinin ayrılmaz bir parçasını oluşturması gerektiği anlamına gelir. Güvenlik standardı, bilgi güvenliği yönetim sisteminizin temel alanlarını nasıl dahil edeceğiniz konusunda daha fazla bilgi sağlamaya devam eder. Bunlar aşağıdaki şekilde özetlenmiştir:
- Olasılık ve kritik iş süreçleri üzerindeki etki dahil olmak üzere ciddi bir olayın ardından risklerin belirlenmesi ve analiz edilmesi;
- bilgi güvenliği olaylarının işteki kesintiler açısından etkisini anlamak;
- sigorta ve risk aktarımı dahil olmak üzere risk azaltma seçeneklerini değerlendirmek;
- diğer önleyici ve hafifletici önlemlerin belirlenmesi;
- tanımlanan bilgi güvenliği eksikliklerini gidermek için kaynakların kullanılabilirliğini sağlamak;
- personelin güvenliğini ve tesislerin, varlıkların ve süreçlerin korunmasını sağlamak;
- bilgi güvenliği gereksinimlerinin iş sürekliliği planlarına dahil edilmesi
- planların ve süreçlerin düzenli olarak test edilmesi ve güncellenmesi;
- iş sürekliliği sorumluluğunun kuruluşun süreçlerine ve yönetim yapısına dahil edilmesini sağlamak;
Kuruluşun bilgi güvenliği eksikliklerinin neden olduğu ciddi iş süreci kesintilerine karşı savunmasızlıkları belirlenmeli ve ele alınmalıdır. Bu güvenlik açıklarını bir bilgi güvenliği perspektifinden incelemek, iş sürekliliği planlarınızın kapsamlı olmasını ve genel bilgi güvenliği stratejik hedeflerini karşılamasını sağlamalıdır.