ISO 27001 – Bilag A.17: Informationssikkerhedsaspekter af Business Continuity Management

Hvad er formålet med bilag A.17.1?

Bilag A.17.1 handler om informationssikkerhedskontinuitet. Målet i denne bilag A-kontrol er, at informationssikkerhedskontinuitet skal være indlejret i organisationens styringssystemer for forretningskontinuitet. Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.17.1.1 Planlægning af informationssikkerhedskontinuitet

Organisationen skal fastlægge sine krav til informationssikkerhed og kontinuitet i informationssikkerhedsstyringen i ugunstige situationer, fx under en krise eller katastrofe. De bedste ISMS'er vil allerede have bredere Annex A-kontroller, der afbøder behovet for at implementere en katastrofeberedskabsproces eller forretningskontinuitetsplan i overensstemmelse med A.17.

På trods af denne indsats kan der stadig ske flere væsentlige forstyrrende hændelser, så det er vigtigt at planlægge dem. Hvad sker der, når et større datacenter med dine oplysninger og applikationer bliver utilgængeligt? Hvad sker der, når der opstår et større databrud, et ransomware-angreb foretages eller en nøgleperson i virksomheden er ude af drift, eller måske hovedkontoret lider under en større oversvømmelse..?

Efter at have overvejet de forskellige begivenheder og scenarier, der skal planlægges, kan organisationen derefter dokumentere planen i de detaljer, der kræves for at demonstrere, at den forstår disse problemer og de nødvendige trin for at løse dem.

ISO 22301 tilbyder en mere struktureret tilgang til forretningskontinuitet, der falder meget elegant sammen med hovedkravene i ISO 27001.

A.17.1.2 Implementering af informationssikkerhedskontinuitet

Organisationen skal etablere, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre det nødvendige niveau af kontinuitet for informationssikkerhed under en disruptiv situation. Når kravene er identificeret, skal organisationen implementere politikker, procedurer og andre fysiske eller tekniske kontroller, der er tilstrækkelige og forholdsmæssige til at opfylde disse krav.

Beskrivelse af ansvar, aktiviteter, ejere, tidsplaner, afbødende arbejde, der skal udføres (ud over risici og politikker, der allerede er i drift, f.eks. krisekommunikation). En ledelsesstruktur og relevante triggerpunkter for eskalering bør identificeres for at sikre, at hvis og når en hændelse øges i alvorlighed, foretages den relevante eskalering til den relevante myndighed effektivt og rettidigt. Det bør også gøres klart, hvornår der er en tilbagevenden til business as usual, og eventuelle BCP-processer stopper.

A.17.1.3 Bekræft, gennemgå og evaluer informationssikkerhedskontinuitet

Organisationen skal verificere de etablerede og implementerede informationssikkerhedskontinuitetskontroller med jævne mellemrum for at sikre, at de er gyldige og effektive i disse situationer. De implementerede kontroller for informationssikkerhedskontinuitet skal testes, gennemgås og evalueres med jævne mellemrum for at sikre, at de opretholdes mod ændringer i forretningen, teknologierne og risikoniveauerne.

Revisor vil gerne se, at der er dokumentation for; Periodisk test af planer og kontroller; Logfiler over plankaldelser og de handlinger, der er truffet til løsning og erfaringer; og periodisk gennemgang og forandringsledelse for at sikre, at planerne vedligeholdes mod ændringer.

Hvad er formålet med bilag A.17.2?

Bilag A.17.2 handler om afskedigelser. Formålet med dette bilag A kontrol er at sikre tilgængeligheden af ​​informationsbehandlingsfaciliteter.

A.17.2.1 Tilgængelighed af informationsbehandlingsfaciliteter

En god kontrol beskriver, hvordan informationsbehandlingsfaciliteter implementeres med redundans nok til at opfylde tilgængelighedskrav. Redundans refererer til implementering af typisk duplikathardware for at sikre tilgængeligheden af ​​informationsbehandlingssystemer. Princippet er, at hvis en eller flere varer fejler, så er der overflødige varer, der tager over.

Kritisk for dette er afprøvning af redundante komponenter og systemer med jævne mellemrum for at sikre, at fail-over vil blive opnået inden for en rimelig tidsramme. Redundante komponenter skal beskyttes på samme niveau eller højere end de primære komponenter.

Mange organisationer bruger cloud-baserede udbydere, så de vil gerne sikre, at redundans bliver behandlet effektivt i deres kontrakter med leverandører og som en del af politikken i A.15.

Revisor vil forvente at se, at test udføres på periodisk basis, hvor redundante komponenter & systemer er på plads og under kontrol af organisationen.