ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.14: Sikring av informasjonssikkerhetskontinuitet
Kontinuitetsplanlegging betyr i et nøtteskall å sikre at en organisasjon er i stand til å fortsette å gjøre forretninger når det oppstår problemer og personverninformasjon – eller hele informasjonsbehandlingsfasiliteter – blir kompromittert eller utilgjengelig.
Forretningskontinuitet er nært knyttet til sikkerhetskopiering og katastrofegjenoppretting (BUDR) – et teknisk IKT-konsept som omfatter redundanslag, sikkerhetskopiering, duplisering av eiendeler og varsling.
Hva dekkes av ISO 27701 klausul 6.14
ISO 27701 fokuserer på to nøkkelområder innen kontinuitetsstyring, personverninformasjonssikkerhet og overflødighet, på tvers av 4 underklausuler:
- ISO 27701 6.14.1.1 – Planlegging av informasjonssikkerhetskontinuitet (ISO 27002 Kontroll 5.29)
- ISO 27701 6.14.1.2 – Implementering av informasjonssikkerhetskontinuitet (ISO 27002 Control 5.29)
- ISO 27701 6.14.1.3 – Verifiser, forny og evaluer informasjonssikkerhetskontinuitet (ISO 27002 Control 5.29)
- ISO 27701 6.14.2.1 – Tilgjengelighet av informasjonsbehandlingsfasiliteter (ISO 27002 kontroll 8.14)
Hver underklausul inneholder veiledningsinformasjon fra ISO 27002, brukt i sammenheng med personverninformasjonssikkerhet.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.14.1.1 – Planlegging av informasjonssikkerhetskontinuitet
Referanser ISO 27002 Kontroll 5.29
Organisasjoner bør vurdere personverninformasjonssikkerhet som en integrert del av en bredere prosedyre for styring av forretningskontinuitet.
ISO ber organisasjonen fokusere på to nøkkelområder når de utarbeider forretningskontinuitetsplaner:
- Tap av konfidensialitet
- Integriteten til informasjon
Personverninformasjonssikkerhetsintegritet bør opprettholdes til enhver tid. Skulle PII eller personvernrelaterte eiendeler bli kompromittert på noen måte, bør organisasjoner gjøre så mye de kan for å gjenopprette dem på en rettidig og effektiv måte, og til de samme nivåene før avbrudd.
Organisasjoner bør:
- Arbeid med generaliserte kontroller for personverninformasjon som fungerer i harmoni med forretningskontinuitetsplaner.
- Overhold prosesser som opprettholder sikkerhetskontroller for personverninformasjon gjennom perioder med avbrudd eller tap av virksomhet.
Hvis det ikke er mulig å opprettholde kontroller av personverninformasjon til enhver tid (spesielt i perioder med forstyrrelser), bør organisasjoner innføre "kompenserende" kontroller som streber etter å oppnå et så høyt nivå av informasjonssikkerhet som mulig.
ISO 27701 klausul 6.14.1.2 – Implementering av informasjonssikkerhetskontinuitet
Referanser ISO 27002 Kontroll 5.29
Se ISO 27701 klausul 6.14.1.1
ISO 27701 klausul 6.14.1.3 – Verifiser, forny og evaluer informasjonssikkerhet
Referanser ISO 27002 Kontroll 5.29
Se ISO 27701 klausul 6.14.1.1
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.14.2.1 – Tilgjengelighet av informasjonsbehandlingsfasiliteter
Referanser ISO 27002 Kontroll 8.14
Organisasjoner bør bestrebe seg på å sikre at forretningstjenester og personverninformasjonssystemer er operative til enhver tid.
ISO anbefaler duplisering som en redundansmekanisme - organisasjoner bør holde en beholdning av reservedeler, dupliserte maskinvare- og programvarekomponenter, reservenettverksenheter og periferiutstyr som kan byttes ut for funksjonsfeil på tvers av nettverket.
Varsler bør settes opp for først å identifisere mislykkede behandlingsfasiliteter for personverninformasjon, og for å bringe alternative systemer så raskt som mulig.
Organisasjoner bør:
- Sørg for et kontinuerlig forhold til to separate tjenesteleverandører, og reduser risikoen for nedetid.
- Vurder redundanstiltak når du designer og implementerer nettverk, for eksempel flere domenekontrollere og BUDR-planer.
- Bruk geografisk atskilte steder for sikkerhetskopiering og tilhørende datatjenester.
- Bruk kjente industriteknikker som lastbalansering og automatisk failover mellom to identiske redundante programvarekomponenter eller systemer.
- Test regelmessig redundanstiltak for å sikre at de er i stand til å møte forretningskrav når de blir bedt om det.
- Operer med dupliserte lagringskomponenter (RAID-matriser, CPUer) og nettverksenheter med samsvarende fastvareversjoner.
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.14.1.1 | Planlegging av informasjonssikkerhetskontinuitet |
5.29 – Informasjonssikkerhet under avbrudd for ISO 27002 |
none |
| 6.14.1.2 | Implementering av informasjonssikkerhetskontinuitet |
5.29 – Informasjonssikkerhet under avbrudd for ISO 27002 |
none |
| 6.14.1.3 | Verifiser, forny og evaluer informasjonssikkerhetskontinuitet |
5.29 – Informasjonssikkerhet under avbrudd for ISO 27002 |
none |
| 6.14.2.1 | Tilgjengelighet av informasjonsbehandlingsfasiliteter |
8.14 – Redundans av informasjonsbehandlingsfasiliteter for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Våre ISMS.online-løsninger gjør det enkelt for organisasjoner å oppnå prosjekttilsyn, og sikrer at databehandleren og databehandlerens retningslinjer og prosedyrer er i tråd med ISO-standarden.
Vårt nettbaserte system sikrer også at systemimplementere har ett enkelt sted for referanse og samarbeid. Vår Assured Results Method (ARM) gjør at du kan være trygg på at du krysser av for alle boksene du trenger for å overholde standarden.
Finn ut mer av bestille en praktisk demo.
