5.2.8  操作安全

操作安全包含7個控制目標14個控制措施。

　　與信息處理和通信設施相關的系統(tǒng)活動應具備文件化的操作規(guī)程，例如計算機啟動和關機規(guī)程、備份、設備維護、介質(zhì)處理、計算機機房檢查、郵件處置管理和安全規(guī)程等。操作規(guī)程要詳細規(guī)定執(zhí)行每項工作的說明和步驟。操作規(guī)程要形成正式的文件，其變更由管理者授權，并隨時可供所需用戶查閱。

對信息處理設施和系統(tǒng)的變更缺乏控制是系統(tǒng)故障或安全失效的常見原因。應制定對信息安全有影響的組織、業(yè)務流程、信息處理設施和系統(tǒng)變更制度和變更流程，并留存所有變更記錄。在組織、業(yè)務流程、信息處理設施和系統(tǒng)有較大變更是及時開展風險評估，識別安全風險變化。

組織應根據(jù)組織業(yè)務發(fā)展的需求，考慮未來一定時間段內(nèi)（一般是三到五年）相關系統(tǒng)業(yè)務能力容量要求（例如并發(fā)用戶量、日新增數(shù)據(jù)容量、所需網(wǎng)絡帶寬），應對這些資源的使用進行監(jiān)控，調(diào)整和定期預測未來的容量需求，以確保信息系統(tǒng)具備所需的系統(tǒng)性能。對未來容量要求的推測應綜合考慮新業(yè)務、系統(tǒng)要求以及組織信息處理臺邑力的當前和預計的趨勢。

為防止組織業(yè)務生產(chǎn)系統(tǒng)故障，應將業(yè)務生產(chǎn)系統(tǒng)和其開發(fā)測試環(huán)境相隔離。