Kapacitetshantering, i samband med IKT, är inte begränsad till att säkerställa att organisationer har tillräckligt med utrymme på servrar och tillhörande lagringsmedia för dataåtkomst och säkerhetskopiering och katastrofåterställning (BUDR).
Organisationer måste säkerställa att de har förmågan att arbeta med en uppsättning resurser som tillgodoser ett brett spektrum av affärsfunktioner, inklusive HR, informationsbehandling, hantering av fysiska kontorsplatser och tillhörande faciliteter.
Alla dessa funktioner har förmågan att negativt påverka en organisations informationshanteringskontroller.
Kontroll 8.6 är en dubbelfunktion preventative och detektivkontroll den där upprätthåller risken genom att implementera detektivkontroller som identifierar och upprätthåller adekvat kapacitet för att behandla information i hela organisationen.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande #Detektiv | #Integritet #Tillgänglighet | #Skydda #Identifiera #Upptäcka, detektera | #Kontinuitet | #Styrelse och ekosystem #Skydd |
Kontroll 8.6 handlar om en organisations förmåga att löpande verka som en verksamhet.
Som sådant bör ägandet ligga hos Chief Operating Officer (eller organisatorisk motsvarande), med ansvar för den dagliga integriteten och effektiviteten av en organisations affärsfunktioner.
I stora termer som inte är unika för en viss typ av resurs, innehåller Control 8.6 7 allmänna vägledningspunkter:
27002:2022-8.6 förespråkar en dubbelfrontsstrategi för kapacitetshantering som antingen ökar kapaciteten, eller minskar efterfrågan på en resurs eller uppsättning resurser.
När organisationer försöker öka kapaciteten bör de:
När organisationer försöker minska efterfrågan bör de:
27002:2022-8.6 ersätter 27002:2013-12.1.3 (Kapacitetshantering).
27002:2022-8.6 innehåller en mycket mer omfattande uppsättning riktlinjer som instruerar organisationer om hur man antingen kan öka kapaciteten eller minska efterfrågan.
Utöver detta innehåller 27002:2013-12.1.3 ingen specifik vägledning om hur man kan öka kapaciteten, till skillnad från 27002:2022-8.6 som beskriver specifika handlingsvägar som leder till mer operativt andrum.
27002:2013-12.1.3 innehåller inte heller någon vägledning om hur man stresstestar operativ kapacitet, eller annars granska en organisations förmåga att hantera kapacitet på löpande basis, förutom att rekommendera en kapacitetshanteringsplan.
I enlighet med den snabba ökningen av molnberäkningar under det senaste decenniet, är 27002:2022-8.6 tydlig i sina råd till organisationer att använda molnbaserade resurser som automatiskt skalas med affärskrav.
27002:2013-12.1.3 nämner inget sådant om lagring eller beräkningsfaciliteter utanför anläggningen.
ISO 27002 implementeringen är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta efterlevnadslösning för ISO / IEC 27002: 2022.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |