ISO 27001:2022 Bilag A Kontrol 8.14

Redundans af informationsbehandlingsfaciliteter

Book en demo

blå,ren,glas,væg,moderne,skyskraber
  • Se ISO 27002:2022 Kontrol 8.14 for mere information.

  • Se ISO 27001:2013 Bilag A 17.2.1 for mere information.

    • Formål med ISO 27001:2022 bilag A 8.14

    An 'informationsbehandlingsfacilitet' (IPF) er en generel term, der bruges til at henvise til enhver informations- og kommunikationsteknologi (IKT) infrastruktur, der håndterer databehandling, såsom it-udstyr, software og fysiske faciliteter.

    IPF'er er afgørende for at opretholde forretningskontinuitet og garantere en effektiv drift af en organisations IKT-netværk. For at øge modstandskraften skal organisationer implementere handlingsstrategier, der øger redundansen af ​​deres IPF'er – for eksempel fejlsikre teknikker og procedurer, der mindsker risikoen for fejl, misbrug eller indtrængen i systemer og data.

    Ejerskab af bilag A 8.14

    ISO 27001:2022 Annex A 8.14 handler om en organisations kapacitet til at fortsætte driften i tilfælde af kritiske eller mindre fejl, der kan påvirke modstandskraften. Derfor er Chief Operating Officer, eller tilsvarende, bør være ansvarlig for denne kontrol.

Gå til emne

Vejledning om ISO 27001:2022 Bilag A 8.14 Overholdelse

Det primære formål med bilag A 8.14 er at øge tilgængeligheden af ​​forretningstjenester og informationssystemer, hvilket kan tolkes som enhver del af et netværk, der letter virksomhedens drift.

ISO 27001:2022 Annex A 8.14 anbefaler duplikering som den vigtigste måde at opnå redundans på tværs af sine forskellige IPF'er, især ved at holde et lager af reservedele, duplikerede komponenter (hardware og software) og ekstra perifere enheder.

Organisationer bør sikre, at eventuelle fejlbehæftede IPF'er hurtigt opdages, og at der hurtigt træffes afhjælpende handlinger, enten ved at fejle over til backup-hardware eller straks rette den defekte IPF.

Organisationer bør tage følgende i betragtning, når de designer og installerer redundansforanstaltninger:

  • Indgåelse af kommercielle relationer med to forskellige tjenesteudbydere kan hjælpe med at minimere risikoen for et fuldstændigt udfald i tilfælde af en kritisk hændelse, såsom en internetudbyder eller VoIP-udbyder.

  • Overholdelse af bedste praksis for redundans ved design af datanetværk (såsom sekundære DC'er og redundante BUDR-systemer).

  • Det er vigtigt at udnytte geografisk adskilte placeringer ved outsourcing af datatjenester, især til fillagring og/eller datacenterfaciliteter.

  • Køb strømsystemer, der leverer redundans enten helt eller delvist efter behov.

  • Brug af belastningsbalancering og automatisk fail-over mellem duplikerede, redundante softwarekomponenter eller systemer øger realtidsydelsen og modstandskraften efter en kritisk hændelse. Dette er især relevant, når man anvender en operationel model med både public cloud og on-premise-tjenester. Regelmæssig test af redundante systemer i produktionstilstand sikrer, at fail-over-systemer fungerer efter hensigten.

  • Duplikere fysiske IKT-komponenter, både inden for servere og fillagerpladser (RAID-arrays, CPU'er) og enhver funktion som netværksenhed (firewalls, redundante switches), for at sikre kontinuiteten i tjenesten. Firmwareopdateringer bør udføres på alle sammenkædede og redundante enheder.

Supplerende vejledning om bilag A 8.14

ISO 27001:2022 Bilag A Kontrol 8.14 anerkender sammenhængen mellem pålidelige, redundante systemer og planlægning af forretningskontinuitet (se ISO 27001:2022 bilag A 5.30), og opmuntrer organisationer til at se dem som en del af svaret på almindelige vanskeligheder.

Det er vigtigt at overveje, at med hensyn til forretningsapplikationer er det uhyre vanskeligt at løse store fejl i selve applikationen (især når man bruger administrerede applikationer).

Medfølgende bilag A kontrol

  • ISO 27001:2022 Bilag A 5.30

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.14 erstatter ISO 27001:2013 Bilag A 17.2.1 (Tilgængelighed af informationsbehandlingsfaciliteter).

27001:2022 Annex A 8.14 markerer et stort fremskridt sammenlignet med 27001:2013 Annex A 17.2.1, hvor forskellen mellem de to kontroller udgør det mest markante skift af hele ISO 27001:2022-revisionen.

27001:2013 Annex A 17.2.1 giver en kort oversigt over behovet for redundans, mens 27001:2022 Annex A 8.14 giver omfattende instruktioner om, hvordan det implementeres på tværs af on-premise, cloud-baserede, logiske og fysiske komponenter.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Hos ISMS.online har vi skabt et grundigt og ligetil system til at hjælpe dig med at udføre ISO 27001: 2022 styrer og håndterer hele dit ISMS.

ISMS.online letter vedtagelsen af ​​ISO 27001:2022, der tilbyder et sæt instrumenter til at lette styringen af ​​informationssikkerhed i din organisation. Den vil identificere risici, udtænke kontroller for at reducere disse risici og derefter demonstrere implementeringen af ​​disse kontroller i organisationen.

Kontakt i dag for book en demonstration.

Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.

Peter Risdon
CISO, Viital

Book din demo

Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Mark Wightman
Chief Technical Officer Aluma
100 % af vores brugere består certificeringen første gang
Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere