ISO 27002:2022, Kontroll 8.6 – Kapasitetsstyring

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

oppnår,beste,resultater.,to,sikker,unge,menn,ser,på,bærbar

Formål med kontroll 8.6

Kapasitetsstyring, i sammenheng med IKT, er ikke begrenset til å sikre at organisasjoner har tilstrekkelig plass på servere og tilhørende lagringsmedier for datatilgang og sikkerhetskopiering og katastrofegjenoppretting (BUDR).

Organisasjoner må sikre at de har evnen til å operere med et sett med ressurser som dekker et bredt spekter av forretningsfunksjoner, inkludert HR, informasjonsbehandling, administrasjon av fysiske kontorplasser og tilknyttede fasiliteter.

Alle disse funksjonene har evnen til å påvirke en organisasjons informasjonsstyringskontroller negativt.

Kontroll 8.6 har to formål forebyggende og detektiv kontroll Det opprettholder risiko ved å implementere detektivkontroller som identifiserer og opprettholder tilstrekkelig kapasitet for å behandle informasjon på tvers av organisasjonen.

Attributttabell

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende
#Detektiv 		#Integritet
#Tilgjengelighet 		#Beskytte
#Identifisere
#Oppdag		#Kontinuitet#Governance og økosystem
#Beskyttelse
Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Eierskap til kontroll 8.6

Kontroll 8.6 omhandler en organisasjons evne til å drive virksomhet på løpende basis.

Som sådan bør eierskapet ligge hos Chief Operating Officer (eller tilsvarende organisatorisk), med ansvar for den daglige integriteten og effektiviteten til en organisasjons forretningsfunksjoner.

Generell veiledning om kontroll 8.6

I grove trekk som ikke er unike for én bestemt type ressurs, inneholder Control 8.6 7 generelle veiledningspunkter:

  1. Organisasjoner bør vurdere forretningskontinuitet som en topp prioritet ved implementering av kapasitetsstyringskontroller, inkludert engrosimplementering av detektivkontroller som flagger opp potensielle problemer før de oppstår.

  2. Kapasitetsstyring bør være basert på de proaktive funksjonene til tuning og overvåking. Begge disse elementene bør fungere i harmoni for å sikre at systemer og forretningsfunksjoner ikke kompromitteres.

  3. I operasjonelle termer bør organisasjoner utføre regelmessig stresstester som avhører en systemevne for å imøtekomme generelle forretningsbehov. Slike tester bør formuleres fra sak til sak og være relevante for det virksomhetsområdet de er rettet mot.

  4. Kapasitet ledelseskontroller bør ikke begrenses til en organisasjons nåværende data eller operasjonelle behov, og bør inkludere eventuelle planer for kommersiell og teknisk utvidelse (både fra et fysisk og digitalt perspektiv) for å forbli så fremtidssikret som det er realistisk mulig.

  5. Utvidelse av organisasjonsressurser er underlagt varierende ledetider og kostnader, avhengig av systemet eller forretningsfunksjonen det gjelder. Ressurser som er dyrere og vanskeligere å bygge ut bør underkastes en høyere grad av gransking, for å ivareta Forretnings kontinuitet.

  6. Seniorledelsen bør være oppmerksom på enkelte feilpunkter knyttet til avhengighet av nøkkelpersonell eller individuelle ressurser. Skulle det oppstå vanskeligheter med en av disse faktorene, kan det ofte føre til komplikasjoner som er betydelig vanskeligere å rette opp.

  7. Formuler a kapasitet styringsplan som omhandler spesielt forretningskritiske systemer og forretningsfunksjoner.

Veiledning – Håndtering av etterspørsel

27002:2022-8.6 tar til orde for en tofronts tilnærming til kapasitetsstyring som enten øker kapasiteteneller reduserer etterspørselen på en ressurs, eller sett med ressurser.

Når de forsøker å øke kapasiteten, bør organisasjoner:

  1. Vurder å ansette nye medarbeidere for å utføre en forretningsfunksjon.

  2. Kjøpe, leie eller leie nye lokaler eller kontorlokaler.

  3. Kjøp, leas eller lei tilleggsbehandling, datalagring og RAM (enten på stedet eller nettsky).

  4. Vurder å bruke elastisk og skalerbar skyressurser som utvides med beregningene organisasjonens behov, med minimal intervensjon.

Når de prøver å redusere etterspørselen, bør organisasjoner:

  1. Slett foreldede data for å frigjøre lagringsplass på servere og tilknyttede medier.

  2. Kast eventuelle papirkopier på en sikker måte informasjon som organisasjonen ikke lenger trenger, og er ikke lovpålagt å skaffe, verken ved lov eller via et reguleringsorgan.

  3. Ta ut IKT-ressurser, applikasjoner eller virtuelle miljøer som ikke lenger er nødvendige.

  4. Granske planlagte IKT-oppgaver (inkludert rapporter, automatiserte vedlikeholdsfunksjoner og batchprosesser) for å optimalisere minneressurser og redusere lagringsplassen som tas opp av utdata.

  5. Optimaliser enhver applikasjonskode eller databasespørringer som kjøres regelmessig nok til å ha en effekt på organisasjonens operasjonelle kapasitet.

  6. Begrens mengden båndbredde som allokeres til ikke-kritiske aktiviteter innenfor grensene til organisasjonens nettverk. Dette kan inkludere å begrense Internett-tilgang og forhindre video-/lydstrømming fra arbeidsenheter.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.6 erstatter 27002:2013-12.1.3 (Kapasitetsstyring).

27002:2022-8.6 inneholder et langt mer omfattende sett med retningslinjer som instruerer organisasjoner om hvordan de enten kan øke kapasiteten eller redusere etterspørselen.

Utover dette inneholder 27002:2013-12.1.3 ingen spesifikk veiledning om hvordan man kan øke kapasiteten, i motsetning til 27002:2022-8.6 som skisserer spesifikke handlingsforløp som fører til mer operativt pusterom.

27002:2013-12.1.3 inneholder heller ingen veiledning om hvordan man stresstester operativ kapasitet, eller ellers revidere en organisasjons evner å administrere kapasitet på løpende basis, utenom å anbefale en kapasitetsstyringsplan.

I samsvar med den voldsomme økningen av cloud computing det siste tiåret, er 27002:2022-8.6 eksplisitt i sine råd til organisasjoner om å bruke skybaserte ressurser som automatisk skaleres med forretningskrav.

27002:2013-12.1.3 nevner ikke lagring utenfor stedet eller databehandlingsfasiliteter.

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO / IEC 27002: 2022.

  • Opptil 81 % fremgang fra du logger på
  • Enkel og total overholdelsesløsning

Ta kontakt i dag for å bestill en demo.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer