1.1 概述 本国际标准描述了 ICT DR 服务提供商(无论是内部还是外包)应考虑的基本做法。
它涵盖了服务提供商应满足的要求,并认识到各个组织可能有特定于他们的其他要求(必须在与服务提供商的协议/合同中解决)。
此类组织要求的示例可能包括特殊加密软件和安全操作程序、设备、知识丰富的人员和应用文档。
如有必要,此类额外的组织特定要求通常根据具体情况进行协商,并且是组织与其 ICT DR 服务提供商之间详细合同谈判的主题,不属于本国际标准的范围。 1.2 排除 本国际标准不: a) 为组织提供关于业务连续性管理整体的任何指导; b) 优先于任何现有和未来的法律和法规; c) 对组织与服务提供商之间协商的合同中包含的服务级别协议 (SLA) 拥有任何法律权力; d) 解决服务提供商应遵守的管理正常业务运营的法律或其他要求。
此类要求的例子包括涵盖建筑和消防安全、职业健康和安全、版权法规和现行人力资源实践的详细法规; e) 提供详尽的清单,因此不包括技术安全控制。
读者应根据需要参阅 ISO/IEC 27001 和 ISO/IEC 27002、供应商文献和其他技术参考。 1.3 受众 本国际标准适用于: a) 所有需要 ICT DR 服务作为其业务一部分的组织(无论是内部和/或外包); b) ICT DR 服务提供商提供 ICT DR 服务; c) 具有互惠或相互安排的组织团体。