Formål med kontroll 8.14
En 'informasjonsbehandlingsanlegg' (IPF) er et bredt begrep som brukes for å beskrive enhver del av IKT-infrastruktur som er involvert i behandling av data, for eksempel IT-utstyr, programvare og fysiske fasiliteter og lokasjoner.
IPF-er spiller en nøkkelrolle i å opprettholde forretningskontinuitet og sikre jevn drift av en organisasjons IKT-nettverk. For å øke motstandskraften må organisasjoner implementere tiltak som øker redundansen til deres IPF-er – dvs. feilsikre metoder og prosesser som reduserer risikoen for systemer og data i tilfelle feil, misbruk eller inntrenging.
Attributttabell for kontroll 8.14
Kontroll 8.14 er en forebyggende kontroll Det opprettholder risiko ved å implementere planer og prosedyrer som opprettholder den kontinuerlige driften av informasjonsbehandlingsanlegg, og ved fullmektig, hele en organisasjons IKT-nettverk.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Tilgjengelighet | #Beskytte | #Kontinuitet | #Beskyttelse |
| # Asset Management | #Motstandsdyktighet |
Eierskap til kontroll 8.14
Kontroll 8.14 omhandler en organisasjons evne til å fortsette å gjøre forretninger i tilfelle kritiske eller mindre feil som har potensial til å påvirke motstandskraften. Som sådan bør eierskapet til 8.14 ligge hos Chief Operating Officer, eller tilsvarende organisatorisk.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Generell veiledning om samsvar
Det overordnede målet med Control 8.14 er å øke tilgjengeligheten til det ISO anser for å være forretningstjenester og informasjonssystemer, som kan tolkes som et hvilket som helst aspekt av et nettverk som lar organisasjonen drive virksomhet.
Kontroll 8.14 tar til orde for duplisering som den primære metoden for å oppnå redundans på tvers av de forskjellige IPF-ene, først og fremst gjennom å opprettholde en beholdning av reservedeler, dupliserte komponenter (maskinvare og programvare) og ekstra perifere enheter.
Et redundant system er bare så godt som det varsling anlegget. Som sådan bør organisasjoner sørge for at mislykkede IPF-er oppdages raskt, og utbedrende tiltak iverksettes for enten å svikte til standby-maskinvare, eller for å reparere den feilfungerende IPF-en på så raskt som mulig.
Når de designer og installerer redundanstiltak, bør organisasjoner vurdere følgende:
- Inngå et kommersielt forhold med to separate tjenesteleverandører, for å redusere risikoen for generell nedetid i tilfelle en kritisk hendelse (f.eks. en Internett-tjenesteleverandør eller VoIP-leverandør).
- Overholdelse av redundansprinsipper ved utforming datanettverk (sekundære DC-er, redundante BUDR-systemer etc).
- Benytter seg av geografisk adskilte steder ved utkontraktering av datatjenester, spesielt når det gjelder fillagring og/eller datasenterfasiliteter.
- Innkjøp kraftsystemer som har evnen til å oppnå redundans enten helt eller delvis, etter behov.
- Ved hjelp av lastbalansering og automatisk feil over mellom to identiske, redundante programvarekomponenter eller systemer, for å forbedre både sanntidsytelse og motstandskraft etter en kritisk hendelse. Dette er spesielt viktig når man vurderer en driftsmodell som omfatter både offentlige skytjenester og lokale tjenester. Redundante systemer bør testes regelmessig (der det er mulig) mens de er i produksjonsmodus for å sikre at feilsystemer fungerer som de skal.
- Duplisere fysiske IKT-komponenter både innenfor servere og fillagringsplasseringer (RAID-arrayer, CPUer), og alle som fungerer som en nettverksenhet (brannmurer, redundante svitsjer). Fastvareoppdateringer bør utføres på alle koblede og redundante enheter for å sikre kontinuitet.
Supplerende veiledning om kontroll 8.14
Kontroll 8.14 erkjenner den iboende koblingen mellom robuste, redundante systemer og planlegging av forretningskontinuitet (se Kontroll 5.30), og ber organisasjoner vurdere begge deler som en del av løsningen på det samme settet med utfordringer.
Det er viktig å merke seg at når det gjelder forretningsapplikasjoner, er det ekstremt vanskelig å håndtere kritiske feil i selve applikasjonen (spesielt når det gjelder administrerte applikasjoner).
Støttekontroller
- 5.30
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27002:2013
ISO 27002:2022-8.14 erstatter ISO 27002:2003-17.2.1 (Tilgjengelighet av informasjonsbehandlingsfasiliteter).
27002:2022-8.14 er et enormt operasjonelt sprang fra 27002:2003-17.2.1, der forskjellen mellom de to kontrollene representerer den største endringen gjennom hele ISO 27002:2022-oppdateringen.
27002:2003-17.2.1 inneholder bare noen få overfladiske avsnitt om behovet for å oppnå redundans, mens 27002:2022-8.14 inneholder omfattende veiledning om nøyaktig hvordan du oppnår dette på tvers av lokale, skybaserte, logiske og fysiske komponenter.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.online hjelper
Hos ISMS.online har vi bygget et omfattende og brukervennlig system som kan hjelpe deg med å implementere ISO 27002-kontroller og administrere hele ISMS.
ISMS.online gjør implementeringen av ISO 27002 enklere ved å tilby et sett med verktøy som hjelper deg med å administrere informasjonssikkerheten i organisasjonen din. Den vil hjelpe deg med å identifisere risikoer og utvikle kontroller for å redusere disse risikoene, og deretter vise deg hvordan du implementerer dem i organisasjonen.
Kontakt oss i dag for planlegg en demonstrasjon.
