Kapasitetsstyring, i sammenheng med IKT, er ikke begrenset til å sikre at organisasjoner har tilstrekkelig plass på servere og tilhørende lagringsmedier for datatilgang og sikkerhetskopiering og katastrofegjenoppretting (BUDR).
Organisasjoner må sikre at de har evnen til å operere med et sett med ressurser som dekker et bredt spekter av forretningsfunksjoner, inkludert HR, informasjonsbehandling, administrasjon av fysiske kontorplasser og tilknyttede fasiliteter.
Alle disse funksjonene har evnen til å påvirke en organisasjons informasjonsstyringskontroller negativt.
Kontroll 8.6 har to formål forebyggende og detektiv kontroll Det opprettholder risiko ved å implementere detektivkontroller som identifiserer og opprettholder tilstrekkelig kapasitet for å behandle informasjon på tvers av organisasjonen.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende #Detektiv | #Integritet #Tilgjengelighet | #Beskytte #Identifisere #Oppdag | #Kontinuitet | #Governance og økosystem #Beskyttelse |
Kontroll 8.6 omhandler en organisasjons evne til å drive virksomhet på løpende basis.
Som sådan bør eierskapet ligge hos Chief Operating Officer (eller tilsvarende organisatorisk), med ansvar for den daglige integriteten og effektiviteten til en organisasjons forretningsfunksjoner.
I grove trekk som ikke er unike for én bestemt type ressurs, inneholder Control 8.6 7 generelle veiledningspunkter:
27002:2022-8.6 tar til orde for en tofronts tilnærming til kapasitetsstyring som enten øker kapasiteteneller reduserer etterspørselen på en ressurs, eller sett med ressurser.
Når de forsøker å øke kapasiteten, bør organisasjoner:
Når de prøver å redusere etterspørselen, bør organisasjoner:
27002:2022-8.6 erstatter 27002:2013-12.1.3 (Kapasitetsstyring).
27002:2022-8.6 inneholder et langt mer omfattende sett med retningslinjer som instruerer organisasjoner om hvordan de enten kan øke kapasiteten eller redusere etterspørselen.
Utover dette inneholder 27002:2013-12.1.3 ingen spesifikk veiledning om hvordan man kan øke kapasiteten, i motsetning til 27002:2022-8.6 som skisserer spesifikke handlingsforløp som fører til mer operativt pusterom.
27002:2013-12.1.3 inneholder heller ingen veiledning om hvordan man stresstester operativ kapasitet, eller ellers revidere en organisasjons evner å administrere kapasitet på løpende basis, utenom å anbefale en kapasitetsstyringsplan.
I samsvar med den voldsomme økningen av cloud computing det siste tiåret, er 27002:2022-8.6 eksplisitt i sine råd til organisasjoner om å bruke skybaserte ressurser som automatisk skaleres med forretningskrav.
27002:2013-12.1.3 nevner ikke lagring utenfor stedet eller databehandlingsfasiliteter.
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO / IEC 27002: 2022.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |