ISO 27701 klausul 6.14: Säkerställa kontinuitet i informationssäkerhet
Kontinuitetsplanering innebär i ett nötskal att se till att en organisation kan fortsätta göra affärer när problem uppstår och integritetsinformation – eller hela informationsbehandlingsanläggningar – blir äventyrade eller otillgängliga.
Affärskontinuitet är nära kopplat till backup och katastrofåterställning (BUDR) – ett tekniskt IKT-koncept som omfattar redundanslager, säkerhetskopieringar, tillgångsduplicering och varning.
Vad som omfattas av ISO 27701 klausul 6.14
ISO 27701 fokuserar på två nyckelområden för kontinuitetshantering, integritetsinformationssäkerhet och redundans, över fyra underklausuler:
- ISO 27701 6.14.1.1 – Planering av informationssäkerhetskontinuitet (ISO 27002 Kontroll 5.29)
- ISO 27701 6.14.1.2 – Implementering av informationssäkerhetskontinuitet (ISO 27002 Control 5.29)
- ISO 27701 6.14.1.3 – Verifiera, förnya och utvärdera informationssäkerhetskontinuitet (ISO 27002 Control 5.29)
- ISO 27701 6.14.2.1 – Tillgänglighet för informationsbehandlingsfaciliteter (ISO 27002 Kontroll 8.14)
Varje underklausul innehåller vägledningsinformation från ISO 27002, tillämpad inom ramen för integritetsinformationssäkerhet.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.14.1.1 – Planering av informationssäkerhetskontinuitet
Referenser ISO 27002 Kontroll 5.29
Organisationer bör betrakta integritetsinformationssäkerhet som en integrerad del av ett bredare förfarande för hantering av affärskontinuitet.
ISO ber organisationen att fokusera på två nyckelområden när de utformar affärskontinuitetsplaner:
- Förlust av sekretess
- Informationens integritet
Integritet för integritetsinformationssäkerhet bör alltid upprätthållas. Skulle PII eller integritetsrelaterade tillgångar äventyras på något sätt, bör organisationer göra så mycket de kan för att återställa dem i tid och på ett effektivt sätt och till samma nivåer före avbrottet.
Organisationer bör:
- Arbeta med generaliserade kontroller för integritetsinformationssäkerhet som fungerar i harmoni med affärskontinuitetsplaner.
- Följ processer som upprätthåller kontroller av integritetsinformationssäkerhet under perioder av avbrott eller förlust av verksamhet.
Om det inte är möjligt att upprätthålla kontroller av integritetsinformationssäkerhet vid någon given tidpunkt (särskilt under perioder av störningar), bör organisationer införa "kompenserande" kontroller som strävar efter att uppnå en så hög nivå av informationssäkerhet som möjligt.
ISO 27701 klausul 6.14.1.2 – Implementering av kontinuitet för informationssäkerhet
Referenser ISO 27002 Kontroll 5.29
Se ISO 27701 klausul 6.14.1.1
ISO 27701 klausul 6.14.1.3 – Verifiera, förnya och utvärdera informationssäkerhet
Referenser ISO 27002 Kontroll 5.29
Se ISO 27701 klausul 6.14.1.1
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 6.14.2.1 – Tillgänglighet för informationsbehandlingsanläggningar
Referenser ISO 27002 Kontroll 8.14
Organisationer bör sträva efter att se till att företagstjänster och integritetsinformationssystem är i drift hela tiden.
ISO rekommenderar dubblering som en redundansmekanism – organisationer bör hålla en inventering av reservdelar, dubbletter av hårdvaru- och mjukvarukomponenter, reservnätverksenheter och kringutrustning som kan bytas ut mot felaktiga tillgångar över nätverket.
Varningar bör ställas in för att först identifiera misslyckade anläggningar för behandling av sekretessinformation och för att alternativa system ska tas fram så snabbt som möjligt.
Organisationer bör:
- Säkerställ en pågående relation med två separata tjänsteleverantörer, vilket minskar risken för stillestånd.
- Överväg redundansåtgärder när du designar och implementerar nätverk, såsom flera domänkontrollanter och BUDR-planer.
- Använd geografiskt åtskilda platser för säkerhetskopiering och tillhörande datatjänster.
- Använd välkända industritekniker såsom lastbalansering och automatisk failover mellan två identiska redundanta programvarukomponenter eller system.
- Testa regelbundet redundansåtgärder för att säkerställa att de kan uppfylla affärskraven när de uppmanas.
- Arbeta med dubbletter av lagringskomponenter (RAID-arrayer, processorer) och nätverksenheter med kongruenta firmwareversioner.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.14.1.1 | Planering av informationssäkerhetskontinuitet |
5.29 – Informationssäkerhet under avbrott för ISO 27002 |
Ingen |
| 6.14.1.2 | Implementering av informationssäkerhetskontinuitet |
5.29 – Informationssäkerhet under avbrott för ISO 27002 |
Ingen |
| 6.14.1.3 | Verifiera, förnya och utvärdera informationssäkerhetskontinuitet |
5.29 – Informationssäkerhet under avbrott för ISO 27002 |
Ingen |
| 6.14.2.1 | Tillgänglighet för informationsbehandlingsanläggningar |
8.14 – Redundans för informationsbehandlingsanläggningar för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Våra ISMS.online-lösningar gör det enkelt för organisationer att uppnå projektövervakning, vilket säkerställer att policyer och procedurer för personuppgiftsansvarig och processor är i linje med ISO-standarden.
Vårt onlinesystem säkerställer också att systemimplementatorer har en enda plats för referens och samarbete. Vår Assured Results Method (ARM) gör att du kan vara säker på att du kryssar i alla rutor du behöver för att uppfylla standarden.
Ta reda på mer av boka en praktisk demo.
