ISO 27002:2022, Kontroll 8.6, Kapasitetsstyring

Formål med kontroll 8.6

Kapasitetsstyring, i sammenheng med IKT, er ikke begrenset til å sikre at organisasjoner har tilstrekkelig plass på servere og tilhørende lagringsmedier for datatilgang og sikkerhetskopiering og katastrofegjenoppretting (BUDR).

Organisasjoner må sikre at de har evnen til å operere med et sett med ressurser som dekker et bredt spekter av forretningsfunksjoner, inkludert HR, informasjonsbehandling, administrasjon av fysiske kontorplasser og tilknyttede fasiliteter.

Alle disse funksjonene har evnen til å påvirke en organisasjons informasjonsstyringskontroller negativt.

Kontroll 8.6 har to formål forebyggende og detektiv kontroll Det opprettholder risiko ved å implementere detektivkontroller som identifiserer og opprettholder tilstrekkelig kapasitet for å behandle informasjon på tvers av organisasjonen.

Attributttabell for kontroll 8.6

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Integritet	#Beskytte	#Kontinuitet	#Governance og økosystem
#Detektiv	#Tilgjengelighet	#Identifisere		#Beskyttelse
		#Oppdag

Eierskap til kontroll 8.6

Kontroll 8.6 omhandler en organisasjons evne til å drive virksomhet på løpende basis.

Som sådan bør eierskapet ligge hos Chief Operating Officer (eller tilsvarende organisatorisk), med ansvar for den daglige integriteten og effektiviteten til en organisasjons forretningsfunksjoner.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om kontroll 8.6

I grove trekk som ikke er unike for én bestemt type ressurs, inneholder Control 8.6 7 generelle veiledningspunkter:

Organisasjoner bør vurdere forretningskontinuitet som en topp prioritet ved implementering av kapasitetsstyringskontroller, inkludert engrosimplementering av detektivkontroller som flagger opp potensielle problemer før de oppstår.
Kapasitetsstyring bør være basert på de proaktive funksjonene til tuning og overvåking. Begge disse elementene bør fungere i harmoni for å sikre at systemer og forretningsfunksjoner ikke kompromitteres.
I operasjonelle termer bør organisasjoner utføre regelmessig stresstester som avhører en systemevne for å imøtekomme generelle forretningsbehov. Slike tester bør formuleres fra sak til sak og være relevante for det virksomhetsområdet de er rettet mot.
Kapasitet ledelseskontroller bør ikke begrenses til en organisasjons nåværende data eller operasjonelle behov, og bør inkludere eventuelle planer for kommersiell og teknisk utvidelse (både fra et fysisk og digitalt perspektiv) for å forbli så fremtidssikret som det er realistisk mulig.
Utvidelse av organisasjonsressurser er underlagt varierende ledetider og kostnader, avhengig av systemet eller forretningsfunksjonen det gjelder. Ressurser som er dyrere og vanskeligere å bygge ut bør underkastes en høyere grad av gransking, for å ivareta Forretnings kontinuitet.
Seniorledelsen bør være oppmerksom på enkelte feilpunkter knyttet til avhengighet av nøkkelpersonell eller individuelle ressurser. Skulle det oppstå vanskeligheter med en av disse faktorene, kan det ofte føre til komplikasjoner som er betydelig vanskeligere å rette opp.
Formuler a kapasitet styringsplan som omhandler spesielt forretningskritiske systemer og forretningsfunksjoner.

Veiledning – Håndtering av etterspørsel

27002:2022-8.6 tar til orde for en tofronts tilnærming til kapasitetsstyring som enten øker kapasiteteneller reduserer etterspørselen på en ressurs, eller sett med ressurser.

Når de forsøker å øke kapasiteten, bør organisasjoner:

Vurder å ansette nye medarbeidere for å utføre en forretningsfunksjon.
Kjøpe, leie eller leie nye lokaler eller kontorlokaler.
Kjøp, leas eller lei tilleggsbehandling, datalagring og RAM (enten på stedet eller nettsky).
Vurder å bruke elastisk og skalerbar skyressurser som utvides med beregningene organisasjonens behov, med minimal intervensjon.

Når de prøver å redusere etterspørselen, bør organisasjoner:

Slett foreldede data for å frigjøre lagringsplass på servere og tilknyttede medier.
Kast eventuelle papirkopier på en sikker måte informasjon som organisasjonen ikke lenger trenger, og er ikke lovpålagt å skaffe, verken ved lov eller via et reguleringsorgan.
Ta ut IKT-ressurser, applikasjoner eller virtuelle miljøer som ikke lenger er nødvendige.
Granske planlagte IKT-oppgaver (inkludert rapporter, automatiserte vedlikeholdsfunksjoner og batchprosesser) for å optimalisere minneressurser og redusere lagringsplassen som tas opp av utdata.
Optimaliser enhver applikasjonskode eller databasespørringer som kjøres regelmessig nok til å ha en effekt på organisasjonens operasjonelle kapasitet.
Begrens mengden båndbredde som allokeres til ikke-kritiske aktiviteter innenfor grensene til organisasjonens nettverk. Dette kan inkludere å begrense Internett-tilgang og forhindre video-/lydstrømming fra arbeidsenheter.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.6 erstatter 27002:2013-12.1.3 (Kapasitetsstyring).

27002:2022-8.6 inneholder et langt mer omfattende sett med retningslinjer som instruerer organisasjoner om hvordan de enten kan øke kapasiteten eller redusere etterspørselen.

Utover dette inneholder 27002:2013-12.1.3 ingen spesifikk veiledning om hvordan man kan øke kapasiteten, i motsetning til 27002:2022-8.6 som skisserer spesifikke handlingsforløp som fører til mer operativt pusterom.

27002:2013-12.1.3 inneholder heller ingen veiledning om hvordan man stresstester operativ kapasitet, eller ellers revidere en organisasjons evner å administrere kapasitet på løpende basis, utenom å anbefale en kapasitetsstyringsplan.

I samsvar med den voldsomme økningen av cloud computing det siste tiåret, er 27002:2022-8.6 eksplisitt i sine råd til organisasjoner om å bruke skybaserte ressurser som automatisk skaleres med forretningskrav.

27002:2013-12.1.3 nevner ikke lagring utenfor stedet eller databehandlingsfasiliteter.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO / IEC 27002: 2022.

Opptil 81 % fremgang fra du logger på
Enkel og total overholdelsesløsning

Ta kontakt i dag for å bestill en demo.

Toby Cane

Partner Customer Success Manager

Toby Cane er Senior Partner Success Manager for ISMS.online. Han har jobbet for selskapet i nesten fire år og har hatt en rekke roller, inkludert å være vert for webinarer. Før han jobbet med SaaS, var Toby lærer på ungdomsskolen.

Vi er ledende innen vårt felt