ISO 27001:2022 Vedlegg A Kontroll 8.6

Kapasitetsstyring

Bestill en demonstrasjon

moderne, arkitektur, bank, finans, kontor, tårn, bygning

Formål med ISO 27001:2022 vedlegg A 8.6

Kapasitetsstyring innen IKT er mer enn bare å sørge for at organisasjoner har nok plass til datatilgang og Backup and Disaster Recovery (BUDR). Det krever å sikre at det er tilstrekkelig datakraft og ressurser for å møte brukernes krav. Det innebærer også å designe og administrere nettverk, datasentre og annen IKT-infrastruktur for å møte organisasjonens behov.

Organisasjoner må garantere at de kan operere effektivt med et sett med ressurser som dekker en rekke forretningsbehov, inkludert Human Resources, datahåndtering, administrasjon av fysiske kontorer og tilhørende fasiliteter.

Disse funksjonene kan skade en organisasjons kontroll over informasjonen deres.

ISO 27001:2022 vedlegg A 8.6 er en kombinasjon av forebyggende og detektivkontroller til opprettholde risiko nivåer. Denne kontrollen sikrer at organisasjonen har tilstrekkelig kapasitet til å behandle informasjon.

Eierskap til vedlegg A 8.6

ISO 27001:2022 vedlegg A 8.6 tar for seg en organisasjons evne til å forbli en levedyktig virksomhet på lang sikt.

Eierskapet bør ligge hos Chief Operating Officer eller tilsvarende, ta ansvar for å opprettholde integriteten og effektiviteten til forretningsdriften daglig.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.6

ISO 27001:2022 vedlegg A Kontroll 8.6 gir 7 generelle råd:

  1. Organisasjoner bør se på forretningskontinuitet som en viktig bekymring når de skal sette på plass kapasitetsstyringskontroller, for eksempel full implementering av detektivkontroller som identifiserer mulige problemer før de oppstår.

  2. Kapasitetsstyring bør være basert på de proaktive funksjonene tuning og overvåking, og arbeider sammen for å garantere at systemer og forretningsdrift ikke blir svekket.

  3. Organisasjoner bør utføre regelmessig stresstester for å fastslå deres evne til å tilfredsstille deres generelle forretningsbehov. Disse testene bør skreddersys for hvert enkelt tilfelle og tilpasses det operasjonsområdet de er beregnet for.

  4. Kapasitetsstyring bør ikke bare vurdere en organisasjons eksisterende data og operasjonelle behov; de bør også planlegge for at potensiell kommersiell og teknisk vekst (både fysisk og digital) skal fremtidssikres så mye som mulig.

  5. Organisasjoner må ta hensyn til varierende ledetider og kostnader ved utvidelse av ressurser. Ressurser som er dyre og utfordrende å øke bør ha en grundigere vurdering for å sikre at forretningsdriften fortsetter.

  6. Seniorledelsen bør være klar over enhver risiko for avhengighet av nøkkelpersonell eller individuelle ressurser, da eventuelle problemer som oppstår fra dette kan føre til komplekse problemer.

  7. Konstruer en kapasitetsplanleggingsstrategi som spesifikt tar for seg sentrale forretningssystemer og prosesser.

Veiledning om håndtering av etterspørsel

ISO 27001:2022 vedlegg A 8.6 oppfordrer til en todelt strategi for kapasitetsstyring – enten å øke kapasiteten eller redusere etterspørselen etter et gitt sett med ressurser.

Når organisasjoner tar sikte på å øke kapasiteten, bør de:

  • Tenk på å ansette nytt personell til å utføre en arbeidsoppgave.

  • Skaff deg nye fasiliteter eller kontorlokaler gjennom kjøp, leasing eller utleie.

  • Skaff ekstra prosessering, datalagring og RAM (på stedet eller skybasert) enten ved kjøp, leasing eller leie.

  • Tenk på å bruke "elastiske" og "skalerbare" skyressurser som utvides i samsvar med organisasjonens beregningsbehov, med nesten ingen involvering.

Organisasjoner bør strebe etter å redusere etterspørselen ved å:

  • Eliminer utdatert informasjon for å frigjøre lagringskapasitet på servere og tilhørende medier.

  • Kast på en sikker måte alle papirkopier av informasjon som organisasjonen ikke trenger, og som ikke har mandat til å beholde via lover eller forskrifter.

  • Trekk tilbake alle IKT-ressurser, applikasjoner eller virtuelle innstillinger som ikke er nødvendig lenger.

  • Undersøk planlagte IKT-aktiviteter (inkludert kontoer, automatisk vedlikehold og batchaktiviteter) for å maksimere minnekapasiteten og redusere arealet som tas opp av opprettede data.

  • Maksimer applikasjonskode og databasespørringer som forekommer ofte nok til å påvirke selskapets operasjonelle evner.

  • Begrens mengden båndbredde som tildeles til ikke-essensielle aktiviteter på selskapets nettverk. Dette kan inkludere begrensning av Internett-tilgang og blokkering av video-/lydstrømming fra arbeidsenheter.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.6 erstatter ISO 27001:2013 Vedlegg A 12.1.3 (Kapasitetsstyring).

ISO 27001:2022 vedlegg A 8.6 gir et grundig sett med instruksjoner til organisasjoner om hvordan de kan utvide sin kapasitet eller redusere etterspørselen.

I motsetning til ISO 27001:2013 vedlegg A 12.1.3 er det ingen spesiell retning for hvordan man kan øke kapasiteten. Imidlertid gir ISO 27001:2022 vedlegg A 8.6 presise trinn for å skape mer operativt manøvreringsrom.

ISO 27001:2013 vedlegg A 12.1.3 gir ingen instruksjoner om hvordan man evaluerer operasjonell kapasitet eller reviderer en organisasjons evne til å håndtere kapasitet på lang sikt, bortsett fra å anbefale å ha en kapasitetsstyringsplan.

I tråd med den dramatiske økningen av cloud computing de siste ti årene, sier ISO 27001:2022 Annex A 8.6 tydelig at organisasjoner bør bruke skybaserte ressurser som tilpasser seg deres forretningsbehov.

ISO 27001:2013 vedlegg A 12.1.3 refererer ikke til ekstern lagring eller databehandlingsfasiliteter.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001: 2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår sjekkliste hjelper til forenkle gjennomføringen av ISO 27001:2022, og veileder deg gjennom hele prosessen. Vår helhetlig løsning sikrer at du overholder ISO/IEC 27001:2022.

Når du logger inn, vil du gjøre opptil 81 % fremgang.

En omfattende, enkel løsning for full overholdelse er gitt.

Kontakt oss nå for å planlegge en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer