Syfte med kontroll 8.13
En organisations säkerhetskopiering bör omfatta ett brett spektrum av insatser som förbättrar motståndskraften och skyddar mot förlust av affärer genom att etablera en robust och noggrant hanterad uppsättning säkerhetskopieringsjobb, med hjälp av dedikerad programvara och verktyg, med adekvata retentionsnivåer och överenskomna återställningstider.
Kontroll 8.13 förespråkar en ämnesspecifikt tillvägagångssätt för säkerhetskopiering som inkluderar skräddarsydda processer för varje enskilt ämne, och tar hänsyn till olika typer av data (och tillhörande risknivåer) som organisationer bearbetar och får tillgång till under hela sin verksamhet.
Attributtabell för kontroll 8.13
Kontroll 8.13 är en korrigerande kontrollera det upprätthåller risken genom att implementera policyer som möjliggör snabb återställning från data och/eller systemförlust eller avbrott.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Korrigerande | #Integritet | #Ta igen sig | #Kontinuitet | #Skydd |
| #Tillgänglighet |
Äganderätt till kontroll 8.13
Kontroll 8.13 behandlar daglig backupverksamhet som ska skötas av teknisk supportpersonal med ansvar för underhållet av organisationens nätverk.
Som sådan bör ägandet av Kontroll 8.13 ligga hos den person som är ansvarig för organisationens dagliga IKT-drift, eller den person som övervakar ett utkontrakterat IKT-kontrakt.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 8.13
Organisationer bör utarbeta ämnesspecifika policyer som direkt tar upp hur organisationen backar upp de relevanta områdena i sitt nätverk.
Säkerhetskopieringsmöjligheter bör implementeras med det primära syftet att säkerställa att all affärskritisk data, programvara och system kan återställas efter följande händelser:
- data~~POS=TRUNC förlust~~POS=HEADCOMP
- Intrång
- Avbrott i verksamheten
- Fel i system, applikationer eller lagringsmedia
Varje backupplan som skapats i enlighet med Kontroll 8.13 bör syfta till att:
- Beskriv tydliga och koncisa återställningsprocedurer som täcker alla relevanta kritiska system och tjänster.
- Ta fram fungerande kopior av alla system, data eller applikationer som omfattas av ett säkerhetskopieringsjobb.
- Uppfylla organisationens unika kommersiella och operativa krav (t.ex. mål för återhämtningstid, backuptyper, backupfrekvens) (se Kontroll 5.30).
- Lagra säkerhetskopior på en lämplig plats som är miljöskyddad, fysiskt skild från källdata för att förhindra total dataförlust och säker åtkomst för underhållsändamål (se Kontroll 8.1).
- Mandat för regelbunden testning av backupjobb, för att garantera datatillgänglighet om behov skulle uppstå att återställa filer, system eller applikationer med ett ögonblicks varsel. Backuptester bör mätas mot organisationens överenskomna återställningstider för att säkerställa efterlevnad vid dataförlust eller systemavbrott.
- Kryptera data som har säkerhetskopierats, i enlighet med dess risknivå.
- Kontrollera om data går förlorade innan du kör några säkerhetskopieringsjobb.
- Implementera ett rapporteringssystem som varnar underhållspersonalen om statusen för backupjobb – inklusive fullständiga eller partiella fel – så att åtgärder kan vidtas.
- Inkludera data från molnbaserade plattformar som inte direkt hanteras av organisationen.
- Lagra säkerhetskopierade data i linje med en ämnesspecifik lagringspolicy som tar hänsyn till den underliggande naturen och syftet med data som har säkerhetskopierats, inklusive överföring och/eller arkivering till lagringsmedia (se Kontroll 8.10).
Stödkontroller
- 5.30
- 8.1
- 8.10
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
ISO 27002:2022-8.13 ersätter ISO 27002:2003-12.3.1 (informationsbackup).
ISO 27002:2022-8.13 innehåller samma uppsättning operativa standarder som dess motsvarighet från 2003, med ytterligare vägledning inom följande områden:
- Kontrollera om data går förlorade innan du kör några säkerhetskopieringsjobb
- Implementera ett rapporteringssystem
- Molnbaserade plattformar
- Lagring av säkerhetskopior i linje med en ämnesspecifik lagrings- och arkiveringspolicy
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.online hjälper dig också att visa överensstämmelse med ISO 27002-standarden genom att tillhandahålla en hanteringspanel, rapporter och revisionsloggar.
Vår molnbaserade plattform erbjuder:
- Ett lättanvänt och anpassat dokumentationshanteringssystem.
- Tillgång till ett bibliotek med polerade, förskrivna dokumentationsmallar.
- En förenklad process för att genomföra internrevisioner.
- En effektiv metod för att kommunicera med ledning och intressenter.
- En arbetsflödesmodul för att effektivisera implementeringsprocessen.
ISMS.online har alla dessa funktioner och mer.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
