Kontroll 5.30 erkänner den viktiga roll som IKT-plattformar och tjänster spelar i upprätthålla kontinuitet i verksamheten, efter avbrott eller en kritisk händelse.
Kontroll 5.30 beskriver hur IKT-tjänster interagerar med olika nyckelmått och stödjande kontroller, inklusive en organisations mål för återhämtningstid (RTO) och övergripande affärskonsekvensanalys (BIA).
Slutmålet är att säkerställa att informationsintegritet och tillgänglighet upprätthålls före, under och efter en period av affärsstörningar.
5.30 är en korrigerande kontrollera det upprätthåller risken genom att skapa IKT-kontinuitetsplaner som bidrar till organisationens övergripande operativa motståndskraft.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Korrigerande | #Tillgänglighet | #Svara | #Kontinuitet | #Elasticitet |
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
Processer och procedurer skapade genom kontroll 5.30 bör utarbetas efter en noggrann BIA, som tar hänsyn till hur en organisationens behov att reagera när man upplever driftstörningar.
En BIA bör använda sig av olika effekttyper och organisationsspecifika variabler för att mäta hur affärskontinuiteten kommer att påverkas, om någon eller alla produkter och tjänster skulle göras otillgängliga eller obrukbara på grund av någon grad av störning.
Organisationer bör använda två nyckelvariabler för att formulera en överenskommen RTO, som sätter tydliga mål för återupptagande av normal verksamhet:
a) den Storleken av störningen
b) den Typ upplevda störningar
Inom sin BIA bör organisationer kunna specificera exakt vilka IKT-tjänster och funktioner som krävs för att uppnå återhämtning, inklusive individuella prestanda och kapacitet krav.
Organisationer borde genomgå en riskbedömning som utvärderar deras IKT-system och utgör grunden för en IKT-kontinuitetsstrategi (eller -strategier) som stärker återhämtningen före, under och efter en period av avbrott.
När en strategi väl har kommit överens bör specifika processer och planer införas för att säkerställa att IKT-tjänster är motståndskraftiga och tillräckliga för att bidra till återhämtning av kritiska processer och system, före, under och efter avbrott.
Inom ramen för IKT-kontinuitetsplaner, skisserar Control 5.30 tre huvudriktlinjer:
ISO 27002: 2022, kontroll 5.30 är en ny kontroll utan prioritet i ISO 27002:2013.
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |