Syfte med kontroll 8.14
En 'informationsbehandlingsanläggning' (IPF) är en bred term som används för att beskriva varje del av IKT-infrastruktur som är involverad i bearbetning av data, såsom IT-utrustning, mjukvara och fysiska faciliteter och platser.
IPF:er spelar en nyckelroll för att upprätthålla kontinuitet i verksamheten och säkerställa att en organisations ICT-nätverk fungerar smidigt. För att öka motståndskraften måste organisationer implementera åtgärder som ökar redundansen för sina IPF:er – dvs felsäkra metoder och processer som minskar risken för system och data i händelse av fel, missbruk eller intrång.
Attributtabell för kontroll 8.14
Kontroll 8.14 är en förebyggande kontroll den där upprätthåller risken genom att implementera planer och procedurer som upprätthåller den kontinuerliga driften av informationsbehandlingsanläggningar, och genom proxy, en organisations hela IKT-nätverk.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Tillgänglighet | #Skydda | #Kontinuitet | #Skydd |
| #Asset Management | #Elasticitet |
Äganderätt till kontroll 8.14
Kontroll 8.14 behandlar en organisations förmåga att fortsätta göra affärer i händelse av kritiska eller mindre fel som har potential att påverka motståndskraften. Som sådan bör ägandet av 8.14 ligga hos Chief Operating Officer, eller organisatorisk motsvarande.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Allmän vägledning om efterlevnad
Det övergripande målet med Control 8.14 är att öka tillgängligheten för vad ISO anser vara företagstjänster och informationssystem, vilket kan tolkas som vilken aspekt av ett nätverk som helst som gör att organisationen kan bedriva verksamhet.
Kontroll 8.14 förespråkar duplicering som de primära metoderna för att uppnå redundans över sina olika IPF:er, främst genom att upprätthålla ett lager av reservdelar, dubbletter av komponenter (hårdvara och mjukvara) och ytterligare kringutrustning.
Ett redundant system är bara så bra som sitt larma anläggning. Som sådan bör organisationer se till att felaktiga IPF:er upptäcks snabbt, och korrigerande åtgärder vidtas för att antingen misslyckas med standby-hårdvara eller för att reparera den felaktiga IPF:er så snabbt som möjligt.
När de utformar och installerar redundansåtgärder bör organisationer överväga följande:
- Ingå en kommersiell relation med två separata tjänsteleverantörer, för att minska risken för total stillestånd i händelse av en kritisk händelse (t.ex. en Internetleverantör eller VoIP-leverantör).
- Följande redundansprinciper vid design datanätverk (sekundära DC, redundanta BUDR-system etc).
- Att använda sig av geografiskt åtskilda platser vid utkontraktering av datatjänster, särskilt när det gäller fillagring och/eller datacenteranläggningar.
- Köp av kraftsystem som har förmågan att uppnå redundans antingen helt eller delvis, allt efter behov.
- Använda lastbalansering och automatiskt misslyckande över mellan två identiska, redundanta programvarukomponenter eller system, för att förbättra både realtidsprestanda och motståndskraft efter en kritisk händelse. Detta är särskilt viktigt när man överväger en verksamhetsmodell som omfattar både offentliga molntjänster och tjänster på plats. Redundanta system bör testas regelbundet (där det är möjligt) i produktionsläge för att säkerställa att felsystem fungerar korrekt.
- Duplicera fysiska IKT-komponenter både inom servrar och fillagringsplatser (RAID-arrayer, CPU:er) och alla som fungerar som en nätverksenhet (brandväggar, redundanta switchar). Firmware-uppdateringar bör utföras på alla länkade och redundanta enheter för att säkerställa kontinuitet.
Kompletterande vägledning om kontroll 8.14
Kontroll 8.14 erkänner den inneboende kopplingen mellan robusta, redundanta system och affärskontinuitetsplanering (se Kontroll 5.30), och ber organisationer att överväga båda som en del av lösningen på samma uppsättning utmaningar.
Det är viktigt att notera att när det gäller affärsapplikationer är det extremt svårt att ta hand om kritiska fel i själva applikationen (särskilt när det gäller hanterade applikationer).
Stödkontroller
- 5.30
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
ISO 27002:2022-8.14 ersätter ISO 27002:2003-17.2.1 (Tillgänglighet för informationsbehandlingsanläggningar).
27002:2022-8.14 är ett enormt operativt språng från 27002:2003-17.2.1, där skillnaden mellan de två kontrollerna representerar den största förändringen genom hela ISO 27002:2022-uppdateringen.
27002:2003-17.2.1 innehåller bara några översiktliga stycken om behovet av att uppnå redundans, medan 27002:2022-8.14 innehåller omfattande vägledning om exakt hur man uppnår detta över lokala, molnbaserade, logiska och fysiska komponenter.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
På ISMS.online har vi byggt ett omfattande och lättanvänt system som kan hjälpa dig att implementera ISO 27002-kontroller och hantera hela ditt ISMS.
ISMS.online gör implementeringen av ISO 27002 enklare genom att tillhandahålla en uppsättning verktyg som hjälper dig att hantera informationssäkerheten i din organisation. Det hjälper dig att identifiera risker och utveckla kontroller för att minska dessa risker, och sedan visa dig hur du implementerar dem inom organisationen.
Kontakta oss idag för att BOKA EN DEMO.
