ISO 27001 – Bilaga A.17: Informationssäkerhetsaspekter av Business Continuity Management

Vad är syftet med bilaga A.17.1?

Bilaga A.17.1 handlar om informationssäkerhetskontinuitet. Målet i denna bilaga A-kontroll är att informationssäkerhetskontinuitet ska vara inbyggd i organisationens system för ledning av affärskontinuitet. Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.17.1.1 Planering av informationssäkerhetskontinuitet

Organisationen måste fastställa sina krav på informationssäkerhet och kontinuiteten i informationssäkerhetshanteringen i svåra situationer, t.ex. under en kris eller katastrof. De bästa ISMS kommer redan att ha bredare bilaga A-kontroller som mildrar behovet av att implementera en katastrofåterställningsprocess eller affärskontinuitetsplan i linje med A.17.

Trots den ansträngningen kan det fortfarande hända mer betydande störande incidenter så det är viktigt att planera för dem. Vad händer när ett stort datacenter med din information och applikationer i blir otillgängligt? Vad händer när ett stort dataintrång inträffar, en ransomware-attack görs eller en nyckelperson i verksamheten är ur funktion, eller kanske huvudkontoret drabbas av en stor översvämning..?

Efter att ha övervägt de olika händelser och scenarier som behöver planeras för, kan organisationen sedan dokumentera planen i vilken detalj som krävs för att visa att den förstår dessa problem och de steg som krävs för att ta itu med dem.

ISO 22301 erbjuder ett mer strukturerat tillvägagångssätt för affärskontinuitet som mycket elegant överensstämmer med huvudkraven i ISO 27001.

A.17.1.2 Implementera kontinuitet för informationssäkerhet

Organisationen behöver upprätta, dokumentera, implementera och underhålla processer, rutiner och kontroller för att säkerställa den erforderliga kontinuitetsnivån för informationssäkerhet under en störande situation. När kraven har identifierats måste organisationen implementera policyer, procedurer och andra fysiska eller tekniska kontroller som är adekvata och proportionerliga för att uppfylla dessa krav.

Beskrivning av ansvar, aktiviteter, ägare, tidsramar, mildrande arbete som ska utföras (utöver risker och policyer som redan är i drift t.ex. kriskommunikation). En ledningsstruktur och relevanta utlösande punkter för eskalering bör identifieras för att säkerställa att om och när en händelse ökar i svårighetsgrad den relevanta eskaleringen till lämplig myndighet görs effektivt och i tid. Det bör också klargöras när det återgår till business as usual och eventuella BCP-processer stoppas.

A.17.1.3 Verifiera, granska och utvärdera informationssäkerhetskontinuitet

Organisationen måste verifiera de etablerade och implementerade kontinuitetskontrollerna för informationssäkerhet med jämna mellanrum för att säkerställa att de är giltiga och effektiva i dessa situationer. De kontroller som implementeras för informationssäkerhetskontinuitet måste testas, granskas och utvärderas regelbundet för att säkerställa att de upprätthålls mot förändringar i verksamheten, teknologier och risknivåer.

Revisorn kommer att vilja se att det finns bevis för; Periodisk testning av planer och kontroller; Loggar över plananrop och de åtgärder som vidtagits till lösning och lärdomar; och periodisk granskning och förändringsledning för att säkerställa att planer upprätthålls mot förändring.

Vad är syftet med bilaga A.17.2?

Bilaga A.17.2 handlar om uppsägningar. Syftet med denna kontroll av bilaga A är att säkerställa tillgången till informationsbehandlingsanläggningar.

A.17.2.1 Tillgänglighet för informationsbehandlingsfaciliteter

En bra kontroll beskriver hur informationsbehandlingsfaciliteter implementeras med redundanstillräcklighet för att uppfylla tillgänglighetskrav. Redundans avser att implementera, vanligtvis, duplicerad hårdvara för att säkerställa tillgängligheten av informationsbehandlingssystem. Principen är att om en eller flera artiklar misslyckas, så finns det överflödiga artiklar som tar över.

Avgörande för detta är att regelbundet testa redundanta komponenter och system för att säkerställa att fail-over kommer att uppnås inom en rimlig tidsram. Redundanta komponenter måste skyddas på samma nivå eller högre än de primära komponenterna.

Många organisationer använder molnbaserade leverantörer så de vill se till att redundans åtgärdas effektivt i deras kontrakt med leverantörer och som en del av policyn i A.15.

Revisorn förväntar sig att se att testning utförs på periodisk basis, där redundanta komponenter och system finns på plats och under kontroll av organisationen.