17.3.28 運用管理

17.3.28.1 事業継続計画
情報資産管理責任者及びOIST ITは、OIST情報資産及びリソースの可用性を保証する事業継続計画を策定するものとします。
事業継続計画は、その有効性を検証し、スタッフの訓練が適切に遂行されることを確実にするために、少なくとも年１回は試験されなければなりません。

17.3.28.2 バックアップ
情報資産管理責任者及びITディビジョンは、情報資産が資産の価値に見合った頻度と冗長性をもってバックアップされることを徹底します。情報資産管理責任者は、情報資産の保存期間を指定し、それを管理します。
「クリティカル」と格付けされる情報資産や、急速に増加する情報資産については、年に一度以上の頻度で、復元テストを実施することを推奨します。
情報資産管理責任者は、ITディビジョンに対し、保存期間を超過した又は必要でなくなった情報資産のバックアップデータを、削除、取り消し又は物理的に破棄するよう要請します。

17.3.28.3 変更管理
変更管理は、ITリソースに対するあらゆる変更が文書化され、レビュー、承認されることを保証するプロセスです。

この変更管理プロセスは、プロジェクト等の計画された大規模な変更と、ソフトウェアパッチや予定外のサーバーメンテナンスなどの必要に迫られた小規模な変更の両方を網羅しています。

変更管理プロセスと手順は、文書化され、全てのOIST ITリソースに対して適切に実施されなければなりません。

監督責任と手順は、機器、ソフトウェア又は手順の全ての変更を適切に管理するために定義されます。これらの手順は、SLAで定義されます。