Kontroll 5.30 - IKT-beredskap for forretningskontinuitet

Formål med kontroll 5.30

Kontroll 5.30 anerkjenner den viktige rollen som IKT-plattformer og tjenester spiller i opprettholde forretningskontinuitet, etter avbrudd eller en kritisk hendelse.

Kontroll 5.30 skisserer hvordan IKT-tjenester samhandler med ulike nøkkeltall og støttekontroller, inkludert en organisasjons mål for gjenopprettingstid (RTO) og helheten forretningskonsekvensanalyse (BIA).

Sluttmålet er å sikre at informasjonsintegritet og tilgjengelighet opprettholdes før, under og etter en periode med forretningsavbrudd.

Attributttabell for kontroll 5.30

5.30 er en korrigerende kontroll som opprettholder risiko ved å skape IKT-kontinuitetsplaner som bidrar til organisasjonens samlede nivå av operasjonell motstandskraft.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Korrigerende	#Tilgjengelighet	#Svar	#Kontinuitet	#Motstandsdyktighet

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning for kontroll 5.30

Prosesser og prosedyrer opprettet gjennom kontroll 5.30 bør utarbeides etter en grundig BIA, som vurderer hvordan en organisasjonens behov å reagere når man opplever driftsforstyrrelser.

En BIA bør benytte seg av ulike påvirkningstyper og organisasjonsspesifikke variabler for å måle hvordan forretningskontinuiteten vil bli påvirket, dersom noen eller alle produkter og tjenester skulle gjøres utilgjengelige eller ubrukelige på grunn av forstyrrelser.

Organisasjoner bør bruke to nøkkelvariabler for å formulere en avtalt RTO, som setter klare mål for gjenopptakelse av normal drift:

a) den størrelsesorden av forstyrrelsen

b) den typen av forstyrrelser som er opplevd

Innenfor deres BIA bør organisasjoner kunne spesifisere nøyaktig hvilke IKT-tjenester og funksjoner som kreves for å oppnå utvinning, inkludert individuelle ytelse og kapasitet krav.

Organisasjoner bør gjennomgå en risikovurdering som evaluerer deres IKT-systemer og danner grunnlaget for en IKT-kontinuitetsstrategi (eller -strategier) som styrker utvinning før, under og etter en periode med avbrudd.

Når en strategi er vedtatt, bør spesifikke prosesser og planer settes på plass for å sikre at IKT-tjenestene er robuste og tilstrekkelige nok til å bidra til gjenoppretting av kritiske prosesser og systemer, før, under og etter avbrudd.

Innenfor rammen av IKT-kontinuitetsplaner, skisserer Kontroll 5.30 tre hovedveiledningspunkter:

IKT-hendelser krever ofte raske beslutninger knyttet til informasjonssikkerhet av ledende ansatte, for å fremskynde gjenoppretting.

Organisasjoner må opprettholde en robust kommandokjede som inkluderer kompetente personer med evne til å ta autoritative beslutninger om tekniske spørsmål knyttet til forretningskontinuitet og RTO-overholdelse.

Organisasjonsstrukturer må være oppdatert og kommunisert bredt, for å lette tilstrekkelig kommunikasjon og raskere gjenopprettingstider.

IKT-kontinuitetsplaner bør vies stor oppmerksomhet, inkludert regelmessig testing og evalueringer, og godkjenning av toppledelsen.

Organisasjoner bør gjennomføre testkjøringer for å måle effektiviteten deres, og måle nøkkeltall som respons- og løsningstider.

IKT-kontinuitetsplaner bør inneholde følgende informasjon:

a) ytelses- og kapasitetskrav til alle systemer eller prosesser som brukes i gjenopprettingsarbeid

b) en tydelig RTO for hver aktuelle IKT-tjeneste, og hvordan organisasjonen tar sikte på å gjenopprette dem

c) et gjenopprettingspunktmål (RPO) er utpekt for hver IKT-ressurs, og det opprettes prosedyrer som sikrer at informasjon kan gjenopprettes.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Endringer fra ISO 27002:2013

ISO 27002: 2022, kontroll 5.30 er en ny kontroll uten prioritet i ISO 27002:2013.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med bygge din ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt