En 'informasjonsbehandlingsanlegg' (IPF) er et bredt begrep som brukes for å beskrive enhver del av IKT-infrastruktur som er involvert i behandling av data, for eksempel IT-utstyr, programvare og fysiske fasiliteter og lokasjoner.
IPF-er spiller en nøkkelrolle i å opprettholde forretningskontinuitet og sikre jevn drift av en organisasjons IKT-nettverk. For å øke motstandskraften må organisasjoner implementere tiltak som øker redundansen til deres IPF-er – dvs. feilsikre metoder og prosesser som reduserer risikoen for systemer og data i tilfelle feil, misbruk eller inntrenging.
Kontroll 8.14 er en forebyggende kontroll Det opprettholder risiko ved å implementere planer og prosedyrer som opprettholder den kontinuerlige driften av informasjonsbehandlingsanlegg, og ved fullmektig, hele en organisasjons IKT-nettverk.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Tilgjengelighet | #Beskytte | #Kontinuitet # Asset Management | #Beskyttelse #Motstandsdyktighet |
Kontroll 8.14 omhandler en organisasjons evne til å fortsette å gjøre forretninger i tilfelle kritiske eller mindre feil som har potensial til å påvirke motstandskraften. Som sådan bør eierskapet til 8.14 ligge hos Chief Operating Officer, eller tilsvarende organisatorisk.
Det overordnede målet med Control 8.14 er å øke tilgjengeligheten til det ISO anser for å være forretningstjenester og informasjonssystemer, som kan tolkes som et hvilket som helst aspekt av et nettverk som lar organisasjonen drive virksomhet.
Kontroll 8.14 tar til orde for duplisering som den primære metoden for å oppnå redundans på tvers av de forskjellige IPF-ene, først og fremst gjennom å opprettholde en beholdning av reservedeler, dupliserte komponenter (maskinvare og programvare) og ekstra perifere enheter.
Et redundant system er bare så godt som det varsling anlegget. Som sådan bør organisasjoner sørge for at mislykkede IPF-er oppdages raskt, og utbedrende tiltak iverksettes for enten å svikte til standby-maskinvare, eller for å reparere den feilfungerende IPF-en på så raskt som mulig.
Når de designer og installerer redundanstiltak, bør organisasjoner vurdere følgende:
Kontroll 8.14 erkjenner den iboende koblingen mellom robuste, redundante systemer og planlegging av forretningskontinuitet (se Kontroll 5.30), og ber organisasjoner vurdere begge deler som en del av løsningen på det samme settet med utfordringer.
Det er viktig å merke seg at når det gjelder forretningsapplikasjoner, er det ekstremt vanskelig å håndtere kritiske feil i selve applikasjonen (spesielt når det gjelder administrerte applikasjoner).
ISO 27002:2022-8.14 erstatter ISO 27002:2003-17.2.1 (Tilgjengelighet av informasjonsbehandlingsfasiliteter).
27002:2022-8.14 er et enormt operasjonelt sprang fra 27002:2003-17.2.1, der forskjellen mellom de to kontrollene representerer den største endringen gjennom hele ISO 27002:2022-oppdateringen.
27002:2003-17.2.1 inneholder bare noen få overfladiske avsnitt om behovet for å oppnå redundans, mens 27002:2022-8.14 inneholder omfattende veiledning om nøyaktig hvordan du oppnår dette på tvers av lokale, skybaserte, logiske og fysiske komponenter.
Hos ISMS.online har vi bygget et omfattende og brukervennlig system som kan hjelpe deg med å implementere ISO 27002-kontroller og administrere hele ISMS.
ISMS.online gjør implementeringen av ISO 27002 enklere ved å tilby et sett med verktøy som hjelper deg med å administrere informasjonssikkerheten i organisasjonen din. Den vil hjelpe deg med å identifisere risikoer og utvikle kontroller for å redusere disse risikoene, og deretter vise deg hvordan du implementerer dem i organisasjonen.
Kontakt oss i dag for planlegg en demonstrasjon.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
