ISO 27001 – Vedlegg A.17: Informasjonssikkerhetsaspekter ved Business Continuity Management

Hva er formålet med vedlegg A.17.1?

Vedlegg A.17.1 handler om informasjonssikkerhetskontinuitet. Målet i denne vedlegg A-kontrollen er at informasjonssikkerhetskontinuitet skal være innebygd i organisasjonens styringssystemer for forretningskontinuitet. Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.17.1.1 Planlegging av informasjonssikkerhetskontinuitet

Organisasjonen må fastsette sine krav til informasjonssikkerhet og kontinuitet i informasjonssikkerhetsstyringen i ugunstige situasjoner, for eksempel under en krise eller katastrofe. De beste ISMS-ene vil allerede ha bredere vedlegg A-kontroller som reduserer behovet for å implementere en gjenopprettingsprosess eller forretningskontinuitetsplan i tråd med A.17.

Til tross for denne innsatsen kan det fortsatt skje flere betydelige forstyrrende hendelser, så det er viktig å planlegge for dem. Hva skjer når et større datasenter med din informasjon og applikasjoner i blir utilgjengelig? Hva skjer når et større datainnbrudd oppstår, et løsepenge-angrep blir utført eller en nøkkelperson i virksomheten er ute av drift, eller kanskje hovedkontoret lider av en stor oversvømmelse..?

Etter å ha vurdert de ulike hendelsene og scenariene som må planlegges for, kan organisasjonen dokumentere planen i alle detaljer som kreves for å demonstrere at den forstår disse problemene og trinnene som kreves for å løse dem.

ISO 22301 tilbyr en mer strukturert tilnærming til forretningskontinuitet som samsvarer veldig elegant med hovedkravene i ISO 27001.

A.17.1.2 Implementering av informasjonssikkerhetskontinuitet

Organisasjonen må etablere, dokumentere, implementere og vedlikeholde prosesser, prosedyrer og kontroller for å sikre nødvendig nivå av kontinuitet for informasjonssikkerhet under en forstyrrende situasjon. Når kravene er identifisert, må organisasjonen implementere retningslinjer, prosedyrer og andre fysiske eller tekniske kontroller som er tilstrekkelige og forholdsmessige for å oppfylle disse kravene.

Beskrivelse av ansvar, aktiviteter, eiere, tidsplaner, avbøtende arbeid som skal utføres (utover risikoer og retningslinjer som allerede er i drift, f.eks. krisekommunikasjon). En styringsstruktur og relevante utløsningspunkter for eskalering bør identifiseres for å sikre at hvis og når en hendelse øker i alvorlighetsgrad, gjøres den relevante eskaleringen til riktig myndighet effektivt og til rett tid. Det bør også gjøres klart når det er en retur til business as usual og eventuelle BCP-prosesser stopper.

A.17.1.3 Verifisere, gjennomgå og evaluere kontinuitet for informasjonssikkerhet

Organisasjonen må verifisere de etablerte og implementerte kontrollene for informasjonssikkerhetskontinuitet med jevne mellomrom for å sikre at de er gyldige og effektive i disse situasjonene. Kontrollene implementert for informasjonssikkerhetskontinuitet må testes, gjennomgås og evalueres med jevne mellomrom for å sikre at de opprettholdes mot endringer i virksomheten, teknologier og risikonivåer.

Revisor vil ønske å se at det er bevis på; Periodisk testing av planer og kontroller; Logger over planpåkallelser og handlingene som er tatt til løsning og erfaringer; og periodisk gjennomgang og endringsledelse for å sikre at planene opprettholdes mot endringer.

Hva er formålet med vedlegg A.17.2?

Vedlegg A.17.2 handler om oppsigelser. Målet i denne vedlegg A-kontrollen er å sikre tilgjengeligheten av informasjonsbehandlingsfasiliteter.

A.17.2.1 Tilgjengelighet av informasjonsbehandlingsfasiliteter

En god kontroll beskriver hvordan informasjonsbehandlingsfasiliteter implementeres med redundans nok for å møte tilgjengelighetskrav. Redundans refererer til å implementere, typisk, duplikatmaskinvare for å sikre tilgjengeligheten av informasjonsbehandlingssystemer. Prinsippet er at dersom en eller flere varer svikter, så er det overflødige varer som vil ta over.

Kritisk for dette er testing av redundante komponenter og systemer med jevne mellomrom for å sikre at fail-over vil bli oppnådd innen en rimelig tidsramme. Redundante komponenter må beskyttes på samme nivå eller høyere enn primærkomponentene.

Mange organisasjoner bruker skybaserte leverandører, så de vil ønske å sikre at redundans håndteres effektivt i kontraktene deres med leverandører og som en del av policyen i A.15.

Revisor vil forvente å se at testing utføres med jevne mellomrom, der redundante komponenter og systemer er på plass og under kontroll av organisasjonen.