ISO 27001:2022 Bilag A Kontrol 8.6

Kapacitetsstyring

Book en demo

moderne, arkitektur, bank, finansiel, kontor, tårn, bygning

Formål med ISO 27001:2022 bilag A 8.6

Kapacitetsstyring inden for IKT er mere end blot at sikre, at organisationer har plads nok til dataadgang og Backup and Disaster Recovery (BUDR). Det kræver at sikre, at der er tilstrækkelig computerkraft og ressourcer til at imødekomme brugernes krav. Det involverer også design og styring af netværk, datacentre og anden ikt-infrastruktur for at imødekomme organisationens behov.

Organisationer skal garantere, at de kan fungere effektivt med et sæt ressourcer, der imødekommer en række forskellige forretningsbehov, herunder Human Resources, datahåndtering, administration af fysiske kontorer og relaterede faciliteter.

Disse funktioner kan skade en organisations kontrol over deres information.

ISO 27001:2022 Bilag A 8.6 er en kombination af forebyggende , detektiv kontrol til fastholde risikoen niveauer. Denne kontrol sikrer, at organisationen har tilstrækkelig kapacitet til at behandle information.

Ejerskab af bilag A 8.6

ISO 27001:2022 Bilag A 8.6 omhandler en organisations evne til at forblive en levedygtig forretning på lang sigt.

Ejerskabet bør ligge hos Chief Operating Officer eller tilsvarende, tage ansvar for at opretholde integriteten og effektiviteten af ​​forretningsdriften dagligt.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.6

ISO 27001:2022 Bilag A Kontrol 8.6 giver 7 generelle råd:

  1. Organisationer bør betragte forretningskontinuitet som en vigtig bekymring, når de indfører kapacitetsstyringskontroller, såsom fuld implementering af detektivkontroller, der identificerer mulige problemer, før de opstår.

  2. Kapacitetsstyring bør baseres på de proaktive funktioner tuning og overvågning, der arbejder sammen for at sikre, at systemer og forretningsdrift ikke forringes.

  3. Organisationer bør udføre regelmæssigt stresstest at konstatere deres evne til at tilfredsstille deres overordnede forretningsbehov. Disse tests bør være skræddersyede til hvert enkelt tilfælde og være relevante for det operationsområde, de er beregnet til.

  4. Kapacitetsstyring bør ikke kun tage hensyn til en organisations eksisterende data og operationelle behov; de bør også planlægge, at potentiel kommerciel og teknisk vækst (både fysisk og digital) fremtidssikres så meget som muligt.

  5. Organisationer skal tage højde for de varierende gennemløbstider og omkostninger, når de udvider ressourcer. Ressourcer, der er dyre og udfordrende at øge, bør have en mere grundig vurdering for at sikre, at forretningsdriften fortsætter.

  6. Den øverste ledelse bør være opmærksom på enhver risiko for afhængighed af nøglepersoner eller individuelle ressourcer, da ethvert problem, der opstår heraf, kan føre til komplekse problemer.

  7. Konstruer en kapacitetsplanlægningsstrategi, der specifikt adresserer vigtige forretningssystemer og processer.

Vejledning om håndtering af efterspørgsel

ISO 27001:2022 Bilag A 8.6 opfordrer til en tostrenget strategi for kapacitetsstyring – enten at øge kapaciteten eller reducere efterspørgslen efter et givet sæt ressourcer.

Når organisationer tilstræber at øge kapaciteten, bør de:

  • Tænk på at ansætte nyt personale til at udføre en arbejdsopgave.

  • Få nye faciliteter eller kontorlokaler gennem køb, leasing eller leje.

  • Få ekstra behandling, datalagring og RAM (on-site eller cloud-baseret) enten ved køb, leasing eller leje.

  • Tænk på at bruge 'elastiske' og 'skalerbare' cloud-ressourcer, der udvides i overensstemmelse med organisationens beregningsmæssige behov, med næsten ingen involvering.

Organisationer bør stræbe efter at reducere efterspørgslen ved at:

  • Fjern forældede oplysninger for at frigøre lagerkapacitet på servere og tilknyttede medier.

  • Kassér sikkert alle papirkopier af oplysninger, som organisationen ikke har brug for, og som ikke er bemyndiget til at opbevare via lovgivning eller regulering.

  • Træk alle ikt-ressourcer, applikationer eller virtuelle indstillinger tilbage, der ikke længere er nødvendige.

  • Undersøg planlagte IKT-aktiviteter (inklusive konti, automatisk vedligeholdelse og batchaktiviteter) for at maksimere hukommelseskapaciteten og reducere det areal, der optages af oprettede data.

  • Maksimer applikationskode og databaseforespørgsler, der forekommer hyppigt nok til at påvirke virksomhedens operationelle kapacitet.

  • Begræns mængden af ​​båndbredde allokeret til ikke-væsentlige aktiviteter på virksomhedens netværk. Dette kan omfatte begrænsning af internetadgang og blokering af video-/lydstreaming fra arbejdsenheder.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.6 erstatter ISO 27001:2013 Bilag A 12.1.3 (Kapacitetsstyring).

ISO 27001:2022 Bilag A 8.6 giver et grundigt sæt instruktioner til organisationer om, hvordan de kan udvide deres kapacitet eller mindske deres efterspørgsel.

I modsætning til ISO 27001:2013 Annex A 12.1.3 er der ingen særlig retning for, hvordan man kan øge kapaciteten. ISO 27001:2022 Annex A 8.6 giver dog præcise trin til at skabe mere operationelt manøvrerum.

ISO 27001:2013 Annex A 12.1.3 giver ingen instruktioner om, hvordan man evaluerer operationel kapacitet eller auditerer en organisations evne til at håndtere kapacitet på længere sigt, udover at anbefale at have en kapacitetsstyringsplan.

I tråd med den dramatiske stigning i cloud computing i løbet af de seneste ti år, angiver ISO 27001:2022 Annex A 8.6 klart, at organisationer skal bruge cloud-baserede ressourcer, der tilpasser sig deres forretningsbehov.

ISO 27001:2013 Annex A 12.1.3 henviser ikke til off-site lager- eller computerfaciliteter.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001: 2022 Bilag A Kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores tjekliste hjælper til forenkle implementeringen af ISO 27001:2022, der guider dig gennem hele processen. Vores samlet løsning sikrer din overholdelse af ISO/IEC 27001:2022.

Når du logger ind, vil du gøre op til 81 % fremskridt.

Der tilbydes en omfattende, ligetil løsning til fuld overholdelse.

Kontakt os nu for at planlægge en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere