ISO 27002:2022, Kontrol 7.11, Understøttende hjælpeprogrammer

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002 Kontrol 7.11: Sikring af pålidelige og sikre understøttende hjælpeprogrammer

Fejl eller afbrydelser af forsyningsselskaber såsom elektricitet, gas, vand eller køling, der er nødvendige for korrekt og kontinuerlig funktion af informationsbehandlingsfaciliteter, kan resultere i kompromittering af informationsaktiver eller kan opsnappe forretningskontinuitet.

For eksempel kan svigt af airconditionudstyr i et datacenter føre til en pludselig temperaturstigning, når datacentret rammes af en hedebølge. Dette kan forårsage, at servere, der hoster websteder og/eller kundedata, lukkes ned, og dermed resultere i tab af tilgængelighed af data og forstyrrelser i forretningsdriften.

Kontrol 7.11 omhandler, hvordan organisationer kan eliminere risici for tilgængelighed og integritet af informationsaktiver på grund af svigt af understøttende forsyninger såsom gas, køling, telekommunikation, vand og elektricitet.

Formål med kontrol 7.11

Kontrol 7.11 gør det muligt for organisationer at eliminere og mindske risici for tilgængeligheden og integriteten af informationsaktiver og for business kontinuitet ved at indføre passende foranstaltninger, der beskytter understøttende forsyningsselskaber mod fejl og afbrydelser såsom strømafbrydelser.

Attributter Kontroltabel 7.11

Kontrol 7.11 er både detektiv og forebyggende, da den kræver, at organisationer tager en proaktiv tilgang og implementerer forholdsregler foranstaltninger mod risici til korrekt og kontinuerlig funktion af hjælpeprogrammer, der kræves til informationsbehandlingsfaciliteter såsom datacentre, netværkssystemer og computerudstyr.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Integritet	#Beskytte	#Fysisk sikkerhed	#Beskyttelse
#Detektiv	#Tilgængelighed	#Opdage

Ejerskab af kontrol 7.11

Kontrol 7.11 medfører identificere risici for den løbende drift at støtte forsyningsselskaber og implementering af passende foranstaltninger og kontroller for at sikre, at tilgængeligheden og integriteten af informationsaktiver ikke påvirkes af fejl i disse forsyningsselskaber.

Mens Facility Management-teamets rolle og indsats er kritisk, bør informationssikkerhedschefen bære ansvaret for overholdelse af Kontrol 7.11.

Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Generel vejledning om overholdelse

Efter at have fremhævet, at understøttende forsyningsvirksomheder som vandforsyning, elektricitet, kommunikation, spildevand og aircondition er afgørende for de operationer, der udføres i informationsbehandlingsfaciliteter.

Generel vejledning oplister syv centrale anbefalinger, som organisationer bør tage i betragtning for at overholde kontrol 7.11:

Organisationer skal overholde producentens instruktioner, når de konfigurerer, bruger og vedligeholder de enheder, der bruges til at styre hjælpeprogrammerne.
Værktøjer bør revideres for at sikre, at de er egnede til at opfylde forretningsvækstmålene, og at de samarbejder med andre forsyningsselskaber uden problemer.
Alt udstyr, der understøtter forsyningsvirksomhederne, skal gennemgå regelmæssige inspektioner og test, så der ikke er nogen afbrydelse eller fejl i deres korrekte funktion.
Afhængig af risikoniveauet for informationsaktiver og forretningskontinuitet, kan der etableres et alarmsystem for defekt udstyr, der understøtter forsyningsselskaberne.
For at minimere risikoen bør hjælpeprogrammer have flere feeds med separat fysisk routing.
Netværket, der er tilsluttet det udstyr, der understøtter forsyningsvirksomheder, bør adskilles fra netværket, der er tilsluttet IT-faciliteter.
Udstyr, der understøtter forsyningsvirksomhederne, bør kun have lov til at oprette forbindelse til internettet, hvis det er strengt nødvendigt, og denne forbindelse bør etableres på en sikker måde.

Supplerende vejledning

Ud over den generelle vejledning indeholder Kontrol 7.11 anbefalinger om to specifikke spørgsmål:

Nødprocedurer

Organisationer bør udpege en nødkontaktperson og registrere hans/hendes kontaktoplysninger. Disse oplysninger skal gives til alt personale, hvis der opstår en fejl eller afbrydelse.

Nødafbrydere og ventiler til at standse forsyninger såsom vand, gas og elektricitet bør placeres i nærheden af nødudgangene.

Nødbelysning og kommunikation skal være klar til at blive brugt i tilfælde af en nødsituation.

Netværksforbindelse

Organisationer kan overveje at have yderligere ruter fra alternative tjenesteudbydere for at øge netværksforbindelsen, så fejl eller afbrydelser af understøttende hjælpeprogrammer forhindres.

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/7.11 replaces 27002:2013/(11.2.2)

Mens 2022-versionen i høj grad ligner 2013-versionen, er der en vigtig forskel.

ISO 27002:2022 version introducerer følgende to krav i sin generelle vejledning:

Netværket, der er tilsluttet det udstyr, der understøtter forsyningsvirksomheder, bør adskilles fra netværket, der er tilsluttet IT-faciliteter.
Udstyr, der understøtter forsyningsvirksomhederne, bør kun have lov til at oprette forbindelse til internettet, hvis det er strengt nødvendigt, og denne forbindelse bør etableres på en sikker måde.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Virksomheder kan bruge ismer.Online for at hjælpe dem med deres ISO 27002 overholdelse indsats ved at give dem en platform, der gør det nemt at administrere deres sikkerhedspolitikker og -procedurer, opdatere dem efter behov, teste dem og overvåge deres effektivitet.

Vores cloud-baserede platform giver dig mulighed for hurtigt og nemt at administrere alle aspekter af dit ISMS, inklusive risikostyring, politikker, planer, procedurer og mere, på ét centralt sted. Platformen er nem at bruge og har en intuitiv brugerflade, der gør det nemt at lære at bruge.

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 7.11 – Understøttende hjælpeprogrammer