8.7服务保障8.7.1服务可用性管理根据计划的时间间隔，应对服务可用性相关的风险进行评估和文档化。组织应确定服务可用性要求和目标，商定要求时应考虑相关的业务要求、服务要求、SLAs和风险。
服务可用性的要求和目标应保持文档化信息。
应对服务可用性进行监视，记录其结果并与目标进行比较。计划外不可用应进行调查并采取必要的行动。
注：6.1中的风险

8.7服务保障

8.7.1服务可用性管理

根据计划的时间间隔，应对服务可用性相关的风险进行评估和文档化。组织应确定服务可用性要求和目标，商定要求时应考虑相关的业务要求、服务要求、SLAs和风险。
服务可用性的要求和目标应保持文档化信息。
应对服务可用性进行监视，记录其结果并与目标进行比较。计划外不可用应进行调查并采取必要的行动。
注：6.1中的风险识别可以为服务可用性，服务连续性和信息安全风险提供输入。

8.7.2服务连续性管理

按照计划的时间间隔，服务连续性的风险应进行评估并文档化。组织应确定服务连续性要求。商定的要求应考虑相关业务要求，服务要求、SLAs和风险。
组织应创建、实施和保持一个或多个服务连续性计划。服务连续性计划应包含下列内容或相关内容的索引：
a）启动服务连续性的条件和责任；
b）服务重大损失情况下执行的程序；
c）服务连续性计划启用时的服务可用性目标；
d）服务恢复要求；
e）恢复到正常工作环境的方法.
当访问正常的服务地点受阻时，应能访问到服务连续性计划和联系人名单。
按照计划的时间间隔，服务连续性计划应进行测试以满足服务连续性要求。服务连续性计划应在服务环境重大变更后进行重新测试。测试的结果应进行记录，每次测试结束后服务连续性计划启用后应对其进行评审，如果发现缺陷，组织应采取的措施。
服务连续性计划启用后组织应报告起因、影响和恢复情况。

8.7.3信息安全管理

8.7.3.1信息安全方针
具有适当授权的管理者应批准一个与组织相关的信息安全方针，方针应文档化并考虑服务要求和6.3 c）的义务。
信息安全方针应在适当时可用，组织应与适当的相关方沟通满足信息安全方针的重要性以及方针对SMS的适宜性，适当人员包括：
a）组织；
b）客户和用户；
c）外部供应商、内部供应商和其它相关方。
8.7.3.2信息安全控制
在计划的时间间隔，SMS和服务的信息安全风险应进行评估和文档化。信息安全控制应得到确定、实施和运行以支持信息安全方针处置识别的信息安全风险。关于信息安全控制的决定应文档化。
组织应协商并实施信息安全控制以处置与外部组织相关的信息安全风险。
组织应监视和评审信息安全控制措施的有效性并采取必要的措施。
8.7.3.3信息安全事件
信息安全事件应：
a）记录和分类；
b）依据信息安全风险确定优先级；
c）必要时进行升级；
d）解决；
e）关闭。
组织应通过类型、数量和对服务管理体系、服务和相关方的影响分析信息安全事件。应对信息安全事件进行报告和评审，以识别改进的机会。
注：ISO/IEC 27000系列标准提出要求和提供指南以支持信息安全管理体系的实施和运行。ISO/IEC 27013提供ISO/IEC 27001和ISO/IEC 20000-1（本标准）的整合指南。