På trods af den brede vifte af forebyggende foranstaltninger, der er tilgængelige for organisationer, der er ISO 27002: 2022 i overensstemmelse med afbrydelser af forretningskontinuitet og standarddrift kan og forekommer.
Kontrol 5.29 skitserer de operationelle justeringer, som organisationer bør anvende, når de oplever forstyrrelser, for at sikre information og beskytte virksomhedens aktiver.
5.22 er et dobbelt formål forebyggende , korrigerende kontrollere det fastholder risiko ved at implementere en plan, der forbedrer informationssikkerheden i perioder med forstyrrelser og afbøder skader på tværs af organisatoriske aktiver.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte #Svare | #Kontinuitet | #Beskyttelse #Modstandsdygtighed |
Kontrol 5.29 henviser til operationel informationssikkerhedsproces og -procedurer som aktiveres, når der opstår kritiske hændelser eller forretningsforstyrrelser.
Som sådan bør ejerskabet af kontrol 5.29 ligge hos et medlem af de øverste ledelsesteams, som fører tilsyn med organisationens daglige drift og/eller kontinuitetsplanlægningsberedskab, som f.eks. Chief Operating Officer (COO).
Vi er omkostningseffektive og hurtige
Kontrol 5.29 fastslår, at informationssikkerhed bør være en del af en organisations bredere forretningskontinuitetsstyringsprocedure.
Organisationer bør udarbejde planer, der søger at opretholde informationssikkerhedsintegritet, og efterfølgende gendanne den, hvis informationen på nogen måde kompromitteres efter driftsafbrydelse eller systemfejl.
Sikkerhedsniveauet bør gendannes til niveauet før afbrydelsen og rettidigt, der afbøder enhver yderligere skade.
I den forbindelse bør organisationer:
Kontrol 5.29 anerkender kontinuitetsplanlægningens meget varierende karakter og giver organisationer betydeligt spillerum til at implementere informationssikkerhed kontroller, der er specifikke for de forskellige former for forretningsforstyrrelser, som organisationer kan opleve.
ISO beder organisationen om at fokusere på to nøgleområder, hvornår udarbejdelse af en forretningskontinuitetsplan:
a) tab af fortrolighed
b) informations integritet
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
27002:2022-5.29 erstatter følgende tre kontroller fra 27002:2013:
I erkendelse af den komplekse karakter af forretningskontinuitetsplaner – og hvordan de adskiller sig afhængigt af forskellige former for afbrydelser – har ISO forenklet deres vejledning ved at gå væk fra en detaljeret tilgang og bede organisationer om i stedet at overveje nogle få grundlæggende punkter, når de udarbejder fagspecifikke planer (se ovenfor).
For eksempel hedder det i en del af vejledningen i 17.1.2, at:
”hændelsesberedskabspersonale med det nødvendige ansvar, autoritet og kompetence til at håndtere en hændelse og opretholde informationssikkerhed er nomineret”.
På trods af deres betydning i effektiv kontinuitetsplanlægning nævner 5.29 ingen specifik omtale af hændelsesresponsteams og stoler på, at organisationen overvejer dem under alle punkter i vejledningsnoterne, mere specifikt:
En cloud-baseret platform til ISO 27002 implementering, ISMS.online, hjælper dig med at administrere dine processer til håndtering af informationssikkerhedsrisici nemt og effektivt.
ISMS.online platform leverer en række kraftfulde værktøjer, der forenkler den måde, hvorpå du kan dokumentere, implementere, vedligeholde og forbedre dit informationssikkerhedsstyringssystem (ISMS) og opnå overholdelse af ISO 27002.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
