ISO 27002:2022, Kontroll 8.13 – Informationssäkerhetskopiering

ISO 27002:2022 Reviderade kontroller

Boka en demo

närbild,av,manliga,händer,använder,bärbar dator,på,kontoret,,mans,händer

Syfte med kontroll 8.13

En organisations säkerhetskopiering bör omfatta ett brett spektrum av insatser som förbättrar motståndskraften och skyddar mot förlust av affärer genom att etablera en robust och noggrant hanterad uppsättning säkerhetskopieringsjobb, med hjälp av dedikerad programvara och verktyg, med adekvata retentionsnivåer och överenskomna återställningstider.

Kontroll 8.13 förespråkar en ämnesspecifikt tillvägagångssätt för säkerhetskopiering som inkluderar skräddarsydda processer för varje enskilt ämne, och tar hänsyn till olika typer av data (och tillhörande risknivåer) som organisationer bearbetar och får tillgång till under hela sin verksamhet.

Attributtabell

Kontroll 8.13 är en korrigerande kontrollera det upprätthåller risken genom att implementera policyer som möjliggör snabb återställning från data och/eller systemförlust eller avbrott.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Korrigerande #Integritet
#Tillgänglighet		#Ta igen sig#Kontinuitet #Skydd

Äganderätt till kontroll 8.13

Kontroll 8.13 behandlar daglig backupverksamhet som ska skötas av teknisk supportpersonal med ansvar för underhållet av organisationens nätverk.

Som sådan bör ägandet av Kontroll 8.13 ligga hos den person som är ansvarig för organisationens dagliga IKT-drift, eller den person som övervakar ett utkontrakterat IKT-kontrakt.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om kontroll 8.13

Organisationer bör utarbeta ämnesspecifika policyer som direkt tar upp hur organisationen backar upp de relevanta områdena i sitt nätverk.

Säkerhetskopieringsmöjligheter bör implementeras med det primära syftet att säkerställa att all affärskritisk data, programvara och system kan återställas efter följande händelser:

  • data~~POS=TRUNC förlust~~POS=HEADCOMP

  • Intrång

  • Avbrott i verksamheten

  • Fel i system, applikationer eller lagringsmedia

Varje backupplan som skapats i enlighet med Kontroll 8.13 bör syfta till att:

  1. Beskriv tydliga och koncisa återställningsprocedurer som täcker alla relevanta kritiska system och tjänster.

  2. Ta fram fungerande kopior av alla system, data eller applikationer som omfattas av ett säkerhetskopieringsjobb.

  3. Uppfylla organisationens unika kommersiella och operativa krav (t.ex. mål för återhämtningstid, backuptyper, backupfrekvens) (se Kontroll 5.30).

  4. Lagra säkerhetskopior på en lämplig plats som är miljöskyddad, fysiskt skild från källdata för att förhindra total dataförlust och säker åtkomst för underhållsändamål (se Kontroll 8.1).

  5. Mandat för regelbunden testning av backupjobb, för att garantera datatillgänglighet om behov skulle uppstå att återställa filer, system eller applikationer med ett ögonblicks varsel. Backuptester bör mätas mot organisationens överenskomna återställningstider för att säkerställa efterlevnad vid dataförlust eller systemavbrott.

  6. Kryptera data som har säkerhetskopierats, i enlighet med dess risknivå.

  7. Kontrollera om data går förlorade innan du kör några säkerhetskopieringsjobb.

  8. Implementera ett rapporteringssystem som varnar underhållspersonalen om statusen för backupjobb – inklusive fullständiga eller partiella fel – så att åtgärder kan vidtas.

  9. Inkludera data från molnbaserade plattformar som inte direkt hanteras av organisationen.

  10. Lagra säkerhetskopierade data i linje med en ämnesspecifik lagringspolicy som tar hänsyn till den underliggande naturen och syftet med data som har säkerhetskopierats, inklusive överföring och/eller arkivering till lagringsmedia (se Kontroll 8.10).

Stödkontroller

  • 5.30
  • 8.1
  • 8.10

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.13 ersätter ISO 27002:2003-12.3.1 (informationsbackup).

ISO 27002:2022-8.13 innehåller samma uppsättning operativa standarder som dess motsvarighet från 2003, med ytterligare vägledning inom följande områden:

  • Kontrollera om data går förlorade innan du kör några säkerhetskopieringsjobb

  • Implementera ett rapporteringssystem

  • Molnbaserade plattformar

  • Lagring av säkerhetskopior i linje med en ämnesspecifik lagrings- och arkiveringspolicy

Hur ISMS.online hjälper

ISMS.online hjälper dig också att visa överensstämmelse med ISO 27002-standarden genom att tillhandahålla en hanteringspanel, rapporter och revisionsloggar.

Vår molnbaserade plattform erbjuder:

  • Ett lättanvänt och anpassat dokumentationshanteringssystem.

  • Tillgång till ett bibliotek med polerade, förskrivna dokumentationsmallar.

  • En förenklad process för att genomföra internrevisioner.

  • En effektiv metod för att kommunicera med ledning och intressenter.

  • En arbetsflödesmodul för att effektivisera implementeringsprocessen.

ISMS.online har alla dessa funktioner och mer.

Hör av dig idag för att boka en demo.

ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.

Peter Risdon
CISO, Viital

Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer