- Se ISO 27002:2022 Kontrol 8.6 for mere information.
- Se ISO 27001:2013 Bilag A 12.1.3 for mere information.
Formål med ISO 27001:2022 bilag A 8.6
Kapacitetsstyring inden for IKT er mere end blot at sikre, at organisationer har plads nok til dataadgang og Backup and Disaster Recovery (BUDR). Det kræver at sikre, at der er tilstrækkelig computerkraft og ressourcer til at imødekomme brugernes krav. Det involverer også design og styring af netværk, datacentre og anden ikt-infrastruktur for at imødekomme organisationens behov.
Organisationer skal garantere, at de kan fungere effektivt med et sæt ressourcer, der imødekommer en række forskellige forretningsbehov, herunder Human Resources, datahåndtering, administration af fysiske kontorer og relaterede faciliteter.
Disse funktioner kan skade en organisations kontrol over deres information.
ISO 27001:2022 Bilag A 8.6 er en kombination af forebyggende og detektiv kontrol til fastholde risikoen niveauer. Denne kontrol sikrer, at organisationen har tilstrækkelig kapacitet til at behandle information.
Ejerskab af bilag A 8.6
ISO 27001:2022 Bilag A 8.6 omhandler en organisations evne til at forblive en levedygtig forretning på lang sigt.
Ejerskabet bør ligge hos Chief Operating Officer eller tilsvarende, tage ansvar for at opretholde integriteten og effektiviteten af forretningsdriften dagligt.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.6
ISO 27001:2022 Bilag A Kontrol 8.6 giver 7 generelle råd:
- Organisationer bør betragte forretningskontinuitet som en vigtig bekymring, når de indfører kapacitetsstyringskontroller, såsom fuld implementering af detektivkontroller, der identificerer mulige problemer, før de opstår.
- Kapacitetsstyring bør baseres på de proaktive funktioner tuning og overvågning, der arbejder sammen for at sikre, at systemer og forretningsdrift ikke forringes.
- Organisationer bør udføre regelmæssigt stresstest at konstatere deres evne til at tilfredsstille deres overordnede forretningsbehov. Disse tests bør være skræddersyede til hvert enkelt tilfælde og være relevante for det operationsområde, de er beregnet til.
- Kapacitetsstyring bør ikke kun tage hensyn til en organisations eksisterende data og operationelle behov; de bør også planlægge, at potentiel kommerciel og teknisk vækst (både fysisk og digital) fremtidssikres så meget som muligt.
- Organisationer skal tage højde for de varierende gennemløbstider og omkostninger, når de udvider ressourcer. Ressourcer, der er dyre og udfordrende at øge, bør have en mere grundig vurdering for at sikre, at forretningsdriften fortsætter.
- Den øverste ledelse bør være opmærksom på enhver risiko for afhængighed af nøglepersoner eller individuelle ressourcer, da ethvert problem, der opstår heraf, kan føre til komplekse problemer.
- Konstruer en kapacitetsplanlægningsstrategi, der specifikt adresserer vigtige forretningssystemer og processer.
Vejledning om håndtering af efterspørgsel
ISO 27001:2022 Bilag A 8.6 opfordrer til en tostrenget strategi for kapacitetsstyring – enten at øge kapaciteten eller reducere efterspørgslen efter et givet sæt ressourcer.
Når organisationer tilstræber at øge kapaciteten, bør de:
- Tænk på at ansætte nyt personale til at udføre en arbejdsopgave.
- Få nye faciliteter eller kontorlokaler gennem køb, leasing eller leje.
- Få ekstra behandling, datalagring og RAM (on-site eller cloud-baseret) enten ved køb, leasing eller leje.
- Tænk på at bruge 'elastiske' og 'skalerbare' cloud-ressourcer, der udvides i overensstemmelse med organisationens beregningsmæssige behov, med næsten ingen involvering.
Organisationer bør stræbe efter at reducere efterspørgslen ved at:
- Fjern forældede oplysninger for at frigøre lagerkapacitet på servere og tilknyttede medier.
- Kassér sikkert alle papirkopier af oplysninger, som organisationen ikke har brug for, og som ikke er bemyndiget til at opbevare via lovgivning eller regulering.
- Træk alle ikt-ressourcer, applikationer eller virtuelle indstillinger tilbage, der ikke længere er nødvendige.
- Undersøg planlagte IKT-aktiviteter (inklusive konti, automatisk vedligeholdelse og batchaktiviteter) for at maksimere hukommelseskapaciteten og reducere det areal, der optages af oprettede data.
- Maksimer applikationskode og databaseforespørgsler, der forekommer hyppigt nok til at påvirke virksomhedens operationelle kapacitet.
- Begræns mængden af båndbredde allokeret til ikke-væsentlige aktiviteter på virksomhedens netværk. Dette kan omfatte begrænsning af internetadgang og blokering af video-/lydstreaming fra arbejdsenheder.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.6 erstatter ISO 27001:2013 Bilag A 12.1.3 (Kapacitetsstyring).
ISO 27001:2022 Bilag A 8.6 giver et grundigt sæt instruktioner til organisationer om, hvordan de kan udvide deres kapacitet eller mindske deres efterspørgsel.
I modsætning til ISO 27001:2013 Annex A 12.1.3 er der ingen særlig retning for, hvordan man kan øge kapaciteten. ISO 27001:2022 Annex A 8.6 giver dog præcise trin til at skabe mere operationelt manøvrerum.
ISO 27001:2013 Annex A 12.1.3 giver ingen instruktioner om, hvordan man evaluerer operationel kapacitet eller auditerer en organisations evne til at håndtere kapacitet på længere sigt, udover at anbefale at have en kapacitetsstyringsplan.
I tråd med den dramatiske stigning i cloud computing i løbet af de seneste ti år, angiver ISO 27001:2022 Annex A 8.6 klart, at organisationer skal bruge cloud-baserede ressourcer, der tilpasser sig deres forretningsbehov.
ISO 27001:2013 Annex A 12.1.3 henviser ikke til off-site lager- eller computerfaciliteter.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001: 2022 Bilag A Kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Vores tjekliste hjælper til forenkle implementeringen af ISO 27001:2022, der guider dig gennem hele processen. Vores samlet løsning sikrer din overholdelse af ISO/IEC 27001:2022.
Når du logger ind, vil du gøre op til 81 % fremskridt.
Der tilbydes en omfattende, ligetil løsning til fuld overholdelse.
Kontakt os nu for at planlægge en demonstration.