En 'informationsbehandlingsanläggning' (IPF) är en bred term som används för att beskriva varje del av IKT-infrastruktur som är involverad i bearbetning av data, såsom IT-utrustning, mjukvara och fysiska faciliteter och platser.
IPF:er spelar en nyckelroll för att upprätthålla kontinuitet i verksamheten och säkerställa att en organisations ICT-nätverk fungerar smidigt. För att öka motståndskraften måste organisationer implementera åtgärder som ökar redundansen för sina IPF:er – dvs felsäkra metoder och processer som minskar risken för system och data i händelse av fel, missbruk eller intrång.
Kontroll 8.14 är en förebyggande kontroll den där upprätthåller risken genom att implementera planer och procedurer som upprätthåller den kontinuerliga driften av informationsbehandlingsanläggningar, och genom proxy, en organisations hela IKT-nätverk.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Tillgänglighet | #Skydda | #Kontinuitet #Asset Management | #Skydd #Elasticitet |
Kontroll 8.14 behandlar en organisations förmåga att fortsätta göra affärer i händelse av kritiska eller mindre fel som har potential att påverka motståndskraften. Som sådan bör ägandet av 8.14 ligga hos Chief Operating Officer, eller organisatorisk motsvarande.
Det övergripande målet med Control 8.14 är att öka tillgängligheten för vad ISO anser vara företagstjänster och informationssystem, vilket kan tolkas som vilken aspekt av ett nätverk som helst som gör att organisationen kan bedriva verksamhet.
Kontroll 8.14 förespråkar duplicering som de primära metoderna för att uppnå redundans över sina olika IPF:er, främst genom att upprätthålla ett lager av reservdelar, dubbletter av komponenter (hårdvara och mjukvara) och ytterligare kringutrustning.
Ett redundant system är bara så bra som sitt larma anläggning. Som sådan bör organisationer se till att felaktiga IPF:er upptäcks snabbt, och korrigerande åtgärder vidtas för att antingen misslyckas med standby-hårdvara eller för att reparera den felaktiga IPF:er så snabbt som möjligt.
När de utformar och installerar redundansåtgärder bör organisationer överväga följande:
Kontroll 8.14 erkänner den inneboende kopplingen mellan robusta, redundanta system och affärskontinuitetsplanering (se Kontroll 5.30), och ber organisationer att överväga båda som en del av lösningen på samma uppsättning utmaningar.
Det är viktigt att notera att när det gäller affärsapplikationer är det extremt svårt att ta hand om kritiska fel i själva applikationen (särskilt när det gäller hanterade applikationer).
ISO 27002:2022-8.14 ersätter ISO 27002:2003-17.2.1 (Tillgänglighet för informationsbehandlingsanläggningar).
27002:2022-8.14 är ett enormt operativt språng från 27002:2003-17.2.1, där skillnaden mellan de två kontrollerna representerar den största förändringen genom hela ISO 27002:2022-uppdateringen.
27002:2003-17.2.1 innehåller bara några översiktliga stycken om behovet av att uppnå redundans, medan 27002:2022-8.14 innehåller omfattande vägledning om exakt hur man uppnår detta över lokala, molnbaserade, logiska och fysiska komponenter.
På ISMS.online har vi byggt ett omfattande och lättanvänt system som kan hjälpa dig att implementera ISO 27002-kontroller och hantera hela ditt ISMS.
ISMS.online gör implementeringen av ISO 27002 enklare genom att tillhandahålla en uppsättning verktyg som hjälper dig att hantera informationssäkerheten i din organisation. Det hjälper dig att identifiera risker och utveckla kontroller för att minska dessa risker, och sedan visa dig hur du implementerar dem inom organisationen.
Kontakta oss idag för att schema en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
