組織持續交付產品及服務的能力，不會與身俱來，需要培養、維持與持續改善。
所以會從先前的內外部環境分析，讓產品與服務交付不要中斷：

• 事前：做好準備
• 事中：做好因應
• 事後：做好快速復原

A.17 營運持續管理之資訊安全層面

A.17.1 資訊安全持續

目標：資訊安全持續應嵌入組織之營運持續管理系統中。

A.17.1.1 規劃資訊安全持續

組織應決定其對資訊安全之要求事項，以及於不利情況下(例：危機或災難期間)，對資訊安全管理之持續性要求事項。

• 營運持續的政策與計畫，常見有 BIA 營運衝擊分析書，以識別相關的風險，並依其風險做其規劃及控管。
  常見的情境是針對核心業務設備或系統，並沒有列入營運衝擊分析書中；僅列入近期要演練的內容。

A.17.1.2 實作資訊安全持續

組織應建立、文件化、實作及維持過程、程序及控制措施，以確保不利情況期間所要求之資訊安全持續等級。

• 是否有相關演練實作記錄？
• 依計畫進行演練實做，要有演練的紀錄，且要看演練的情境是否足夠，如：實作時專責人員已在場，但核心系統失效的時，需要供應商才能進行回復，但與供應商簽定的合約是 5x8 4hr on-site，所以未加上最差的情境如加上4hr廠商到場的時間，演練的計畫是RTO 4hr的要求，未有考量廠商到場的所需時間。

A.17.1.3 查證、審查並評估資訊安全持續

組織應定期查證所建立及實作之資訊安全持續控制措施，以確保其於不良情況期間係生效及有效。

• 演練後的檢討紀錄，如有不符合的項目，要提出改善的作法，如：增加資源、調整執行流程、或是接受未來恢復時間延長決定

A.17.2 多重備援

目標：確保資訊處理設施之可用性。

A.17.2.1 資訊處理設施之可用性

應對資訊處理設施實作充分之多重備援，以符合可用性要求。

• 資訊系統或是設備一旦喪失可用性，針對各種風險有什麼備援機制呢？
• 這裡要注意的是備援不是備份！這裡指的是多重備援的機制。如：雲服務、備援機、重啟資料倒回的虛擬機

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

恐怖！廃病院からの脫出：無影燈

無影燈：真相

恐怖美術館からの脱出

《恐怖！廢棄醫院逃脫：無影燈》講述一個大三的學生，在暑假期間被朋友邀請去試驗膽量。而試驗的地點卻在一個叫做「山下醫院」的廢棄醫院，在來的途中，他的朋友向他講述了這間醫院發生的事情：據說曾傳出有醫生殺害護士和病人的事件，最後自殺，從此醫院就開始出現一連串奇怪的事情，因而被廢棄掉了。就在學生們進入醫院後，入口的門卻自動關上了…
原文網址：https://kknews.cc/game/rerelrv.html

這 3 款在 iOS / Android 平臺上都可以下載：)
唯一的問題就是只有日文，手機擷圖後丟 Google 翻譯囉…