Skip to main content

5.37 Dokumentowane procedury operacyjne

Cel

Zapewnienie prawidłowego i bezpiecznego działania systemów przetwarzania informacji poprzez dokumentowanie i udostępnianie procedur operacyjnych personelowi, który ich potrzebuje.

Wymagania

Organizacja powinna:

  • Opracować i utrzymywać dokumentowane procedury operacyjne dotyczące bezpieczeństwa informacji.
  • Zapewnić dostęp do procedur dla osób odpowiedzialnych za operacyjne zarządzanie systemami.
  • Regularnie przeglądać i aktualizować procedury, aby odzwierciedlały zmieniające się wymagania operacyjne i technologiczne.
  • Autoryzować wszelkie zmiany w dokumentowanych procedurach przed ich wdrożeniem.

Wdrożenie

  • Procedury operacyjne powinny być dokumentowane dla działań związanych z bezpieczeństwem informacji, w szczególności gdy:
    • czynność wymaga jednolitego wykonania przez wielu użytkowników,
    • czynność jest wykonywana rzadko, co może prowadzić do jej zapomnienia,
    • czynność jest nowa i niesie ryzyko, jeśli zostanie wykonana nieprawidłowo,
    • czynność jest przekazywana nowemu personelowi.
  • Dokumentacja powinna zawierać:
    • osoby odpowiedzialne za procesy operacyjne,
    • zasady bezpiecznej instalacji i konfiguracji systemów,
    • procedury przetwarzania i obsługi informacji (zarówno automatyczne, jak i manualne),
    • procedury tworzenia kopii zapasowych i zapewnienia odporności systemów (8.13),
    • harmonogramy operacyjne i zależności między systemami,
    • instrukcje dotyczące obsługi błędów i wyjątków,
    • dane kontaktowe wsparcia i procedury eskalacyjne,
    • zasady postępowania z nośnikami danych (7.10, 7.14),
    • procedury restartu i odzyskiwania systemów po awarii,
    • zarządzanie dziennikami audytowymi i systemowymi (8.15, 8.17),
    • monitorowanie wydajności, pojemności i bezpieczeństwa (8.6, 8.16),
    • instrukcje konserwacji systemów.
  • Gdzie to możliwe, systemy informacyjne powinny być zarządzane w sposób spójny, przy użyciu tych samych procedur, narzędzi i mechanizmów.

Przegląd i aktualizacja

  • Procedury operacyjne powinny być regularnie przeglądane i aktualizowane w odpowiedzi na zmiany technologiczne, organizacyjne i regulacyjne.
  • Wszelkie zmiany w procedurach powinny być formalnie zatwierdzane przed wdrożeniem.
  • Organizacja powinna przeprowadzać okresowe audyty, aby upewnić się, że dokumentowane procedury są stosowane i skuteczne.

Dokumentowane procedury operacyjne zapewniają spójność i bezpieczeństwo w zarządzaniu systemami informacyjnymi, minimalizując ryzyko operacyjne oraz poprawiając skuteczność reagowania na awarie i incydenty.