Hva er formålet med vedlegg A.17.1?
Vedlegg A.17.1 handler om informasjonssikkerhetskontinuitet. Målet i denne vedlegg A-kontrollen er at informasjonssikkerhetskontinuitet skal være innebygd i organisasjonens styringssystemer for forretningskontinuitet. Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.
A.17.1.1 Planlegging av informasjonssikkerhetskontinuitet
Organisasjonen må fastsette sine krav til informasjonssikkerhet og kontinuitet i informasjonssikkerhetsstyringen i ugunstige situasjoner, for eksempel under en krise eller katastrofe. De beste ISMS-ene vil allerede ha bredere vedlegg A-kontroller som reduserer behovet for å implementere en gjenopprettingsprosess eller forretningskontinuitetsplan i tråd med A.17.
Til tross for denne innsatsen kan det fortsatt skje mer betydelige, forstyrrende hendelser, så det er viktig å planlegge for dem. Hva skjer når et stort datasenter med informasjonen og applikasjonene dine blir utilgjengelig? Hva skjer når et større datainnbrudd inntreffer, et ransomware-angrep utføres, en nøkkelperson i virksomheten er ute av spill, eller kanskje hovedkontoret opplever en større oversvømmelse?
Etter å ha vurdert de ulike hendelsene og scenariene som må planlegges for, kan organisasjonen dokumentere planen i alle detaljer som kreves for å demonstrere at den forstår disse problemene og trinnene som kreves for å løse dem.
ISO 22301 tilbyr en mer strukturert tilnærming til forretningskontinuitet som samsvarer veldig elegant med hovedkravene i ISO 27001.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
A.17.1.2 Implementering av informasjonssikkerhetskontinuitet
Organisasjonen må etablere, dokumentere, implementere og vedlikeholde prosesser, prosedyrer og kontroller for å sikre nødvendig nivå av kontinuitet for informasjonssikkerhet under en forstyrrende situasjon. Når kravene er identifisert, må organisasjonen implementere retningslinjer, prosedyrer og andre fysiske eller tekniske kontroller som er tilstrekkelige og forholdsmessige for å oppfylle disse kravene.
Beskrivelse av ansvar, aktiviteter, eiere, tidsplaner, avbøtende arbeid som skal utføres (utover risikoer og retningslinjer som allerede er i drift, f.eks. krisekommunikasjon). En styringsstruktur og relevante utløsningspunkter for eskalering bør identifiseres for å sikre at hvis og når en hendelse øker i alvorlighetsgrad, gjøres den relevante eskaleringen til riktig myndighet effektivt og til rett tid. Det bør også gjøres klart når det er en retur til business as usual og eventuelle BCP-prosesser stopper.
A.17.1.3 Verifisere, gjennomgå og evaluere kontinuitet for informasjonssikkerhet
Organisasjonen må verifisere de etablerte og implementerte kontrollene for informasjonssikkerhetskontinuitet med jevne mellomrom for å sikre at de er gyldige og effektive i disse situasjonene. Kontrollene implementert for informasjonssikkerhetskontinuitet må testes, gjennomgås og evalueres med jevne mellomrom for å sikre at de opprettholdes mot endringer i virksomheten, teknologier og risikonivåer.
Revisor vil ønske å se at det er bevis på; Periodisk testing av planer og kontroller; Logger over planpåkallelser og handlingene som er tatt til løsning og erfaringer; og periodisk gjennomgang og endringsledelse for å sikre at planene opprettholdes mot endringer.
Hva er formålet med vedlegg A.17.2?
Vedlegg A.17.2 handler om oppsigelser. Målet i denne vedlegg A-kontrollen er å sikre tilgjengeligheten av informasjonsbehandlingsfasiliteter.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
A.17.2.1 Tilgjengelighet av informasjonsbehandlingsfasiliteter
En god kontroll beskriver hvordan informasjonsbehandlingsfasiliteter implementeres med redundans nok for å møte tilgjengelighetskrav. Redundans refererer til å implementere, typisk, duplikatmaskinvare for å sikre tilgjengeligheten av informasjonsbehandlingssystemer. Prinsippet er at dersom en eller flere varer svikter, så er det overflødige varer som vil ta over.
Kritisk for dette er testing av redundante komponenter og systemer med jevne mellomrom for å sikre at fail-over vil bli oppnådd innen en rimelig tidsramme. Redundante komponenter må beskyttes på samme nivå eller høyere enn primærkomponentene.
Mange organisasjoner bruker skybaserte leverandører, så de vil ønske å sikre at redundans håndteres effektivt i kontraktene deres med leverandører og som en del av policyen i A.15.
Revisor vil forvente å se at testing utføres med jevne mellomrom, der redundante komponenter og systemer er på plass og under kontroll av organisasjonen.
