ISO 27001:2022 Vedlegg A Kontroll 8.14

Redundans av informasjonsbehandlingsfasiliteter

Bestill en demonstrasjon

blå, rent, glass, vegg, av, moderne, skyskraper
  • Se ISO 27002:2022 Kontroll 8.14 for mer informasjon.

  • Se ISO 27001:2013 vedlegg A 17.2.1 for mer informasjon.

    • Formål med ISO 27001:2022 vedlegg A 8.14

    An «informasjonsbehandlingsanlegg» (IPF) er et generelt begrep som brukes for å referere til all informasjons- og kommunikasjonsteknologi (IKT) infrastruktur som håndterer databehandling, for eksempel IT-utstyr, programvare og fysiske fasiliteter.

    IPF-er er avgjørende for å opprettholde forretningskontinuitet og garantere effektiv drift av en organisasjons IKT-nettverk. For å øke motstandskraften må organisasjoner sette inn handlingsstrategier som øker redundansen til deres IPF-er – for eksempel feilsikre teknikker og prosedyrer som reduserer risikoen for feil, misbruk eller inntrenging i systemer og data.

    Eierskap til vedlegg A 8.14

    ISO 27001:2022 vedlegg A 8.14 er opptatt av en organisasjons kapasitet til å fortsette driften i tilfelle kritiske eller mindre feil som kan påvirke motstandskraften. derfor Chief Operating Officer, eller tilsvarende, bør være ansvarlig for denne kontrollen.

Gå til emnet

Veiledning om ISO 27001:2022 vedlegg A 8.14 Samsvar

Hovedmålet med vedlegg A 8.14 er å øke tilgjengeligheten til forretningstjenester og informasjonssystemer, som kan tolkes som en hvilken som helst del av et nettverk som forenkler virksomhetens drift.

ISO 27001:2022 vedlegg A 8.14 anbefaler duplisering som den viktigste måten å skaffe redundans på tvers av de forskjellige IPF-ene, spesielt gjennom å holde et lager av reservedeler, dupliserte komponenter (maskinvare og programvare) og ekstra perifere enheter.

Organisasjoner bør sørge for at eventuelle mislykkede IPF-er raskt oppdages og utbedrende tiltak iverksettes raskt, enten ved å mislykkes med sikkerhetskopiering av maskinvare eller ved å fikse den feilfungerende IPF-en umiddelbart.

Organisasjoner bør ta hensyn til følgende når de designer og installerer redundanstiltak:

  • Å inngå kommersielle relasjoner med to forskjellige tjenesteleverandører kan bidra til å minimere risikoen for fullstendig strømbrudd i tilfelle en kritisk hendelse, for eksempel en ISP eller VoIP-leverandør.

  • Overholdelse av beste praksis for redundans ved utforming av datanettverk (som sekundære DC-er og redundante BUDR-systemer).

  • Det er viktig å utnytte geografisk forskjellige steder ved outsourcing av datatjenester, spesielt for fillagring og/eller datasenterfasiliteter.

  • Kjøp strømsystemer som leverer redundans enten helt eller delvis etter behov.

  • Bruk av lastbalansering og automatisk fail-over mellom dupliserte, redundante programvarekomponenter eller systemer øker sanntidsytelsen og motstandskraften etter en kritisk hendelse. Dette er spesielt relevant når man bruker en operasjonsmodell med både offentlige skytjenester og lokale tjenester. Å teste redundante systemer regelmessig i produksjonsmodus sikrer at fail-over-systemer fungerer etter hensikten.

  • Dupliser fysiske IKT-komponenter, både innenfor servere og fillagringsplasseringer (RAID-arrayer, CPUer) og enhver funksjon som en nettverksenhet (brannmurer, redundante svitsjer), for å sikre kontinuiteten i tjenesten. Fastvareoppdateringer bør utføres på alle koblede og redundante enheter.

Supplerende veiledning om vedlegg A 8.14

ISO 27001:2022 vedlegg A Kontroll 8.14 anerkjenner sammenhengen mellom pålitelige, redundante systemer og forretningskontinuitetsplanlegging (se ISO 27001:2022 vedlegg A 5.30), og oppmuntrer organisasjoner til å se dem som en del av svaret på vanlige problemer.

Det er viktig å tenke på at når det gjelder forretningsapplikasjoner, er det uhyre vanskelig å løse store feil i selve applikasjonen (spesielt når du bruker administrerte applikasjoner).

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.30

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.14 erstatter ISO 27001:2013 Vedlegg A 17.2.1 (Tilgjengelighet av informasjonsbehandlingsfasiliteter).

27001:2022 Annex A 8.14 markerer et stort fremskritt sammenlignet med 27001:2013 Annex A 17.2.1, med forskjellen mellom de to kontrollene som utgjør det viktigste skiftet i hele ISO 27001:2022-revisjonen.

27001:2013 Annex A 17.2.1 gir en kort oversikt over behovet for redundans, mens 27001:2022 Annex A 8.14 gir omfattende instruksjoner om hvordan du implementerer det på tvers av lokale, skybaserte, logiske og fysiske komponenter.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Hos ISMS.online har vi laget et grundig og enkelt system for å hjelpe deg å utføre ISO 27001: 2022 kontrollerer og håndterer hele ISMS.

ISMS.online forenkler vedtakelsen av ISO 27001:2022, og tilbyr et sett med instrumenter for å lette styringen av informasjonssikkerhet i organisasjonen din. Den vil identifisere risikoer, utarbeide kontroller for å redusere disse risikoene, og deretter demonstrere implementeringen av disse kontrollene i organisasjonen.

Ta kontakt i dag for å bestille en demonstrasjon.

Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Bestill demoen din

Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Mark Wightman
Chief Technical Officer Aluma
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer