ISO 27701 paragraf 6.9.2: Styrkelse af malware-forsvarsstrategier
Selv inden for de mest robuste og vandtætte netværk kan fejl og indtrængen ske og sker.
Organisationer skal antage, at kritiske scenarier vil opstå på ethvert givet tidspunkt, og beskytte PII mod indtrængen sideløbende med at garantere forretningskontinuitet med alsidige og klart forståede BUDR-procedurer.
Hvad er dækket af ISO 27701 klausul 6.9.2
ISO 27701 klausul 6.9.2 indeholder to underklausuler, som giver vejledning om antimalware-teknikker og BUDR-funktioner.
Begge klausuler er knyttet til oplysninger indeholdt i ISO 27002, med vejledning, der tilbydes inden for rammerne af PII og privatlivsbeskyttelse:
- ISO 27701 6.9.2.1 Kontrol mod malware (Referencer ISO 27002 kontrol 8.7)
- ISO 27701 6.9.3.1 Sikkerhedskopiering af oplysninger (Referencer ISO 27002 kontrol 8.13)
ISO 27701 6.9.3.1 indeholder vejledningspunkter, der er relevante for adskillige artikler indeholdt i britisk GDPR-lovgivning – med et resumé til rådighed for din bekvemmelighed – og omfattende yderligere vejledning om, hvordan organisationer bør gribe både sikkerhedskopiering og gendannelse af PII.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.9.2.1 – Kontrol mod malware
Referencer ISO 27002 Kontrol 8.7
For at beskytte PII og privatlivsrelaterede aktiver skal organisationer implementere en række antimalware-teknikker og -platforme, herunder:
- Vedligeholdelse af en liste over begrænset/forbudt software og applikationer (se ISO 27002 kontroller 8.19 og 8.32).
- Brug af indholdsfiltrering til at blokere adgang til mistænkelige websteder.
- Implementering af 'tekniske sårbarhedshåndtering'-foranstaltninger (se ISO 27002 kontroller 8.8 og 8.19).
- Regelmæssig revision af brugen af software og data for at opdage eventuelle uautoriserede eller mistænkelige applikationer og systemer.
- Beskyttelse mod de risici, der er forbundet med at indhente data og/eller applikationer fra eksterne og tredjepartskilder.
- Udførelse af regelmæssige antimalware-scanninger, der dækker hele netværket, inklusive e-mail, websteder og flytbare medier.
- Overvejelse af, hvor på netværket antimalware-værktøjer skal installeres (f.eks. gateway-sikkerhed og fremme af 'defense in depth'.
- Overvågning af hændelser og kritiske indgreb for at sikre, at malware ikke ved et uheld introduceres på netværket på tidspunkter, hvor standard IKT-regler omgås.
- Arbejde med processer, der giver mulighed for kritiske indgreb mod formodede indtrængen, såsom midlertidigt deaktivering af kritiske systemprocesser, herunder en grundig begrundelses- og revisionsprocedure.
- Robuste BUDR- og forretningskontinuitetsplaner, der inkluderer deaktivering og/eller isolering af driftsmiljøer (se ISO 27002 kontrol 8.13).
- Opmærksomhedstræning for alle brugere (se ISO 27002 kontrol 6.3).
- Opretholdelse af en aktiv tilstedeværelse i antimalware-fællesskabet og at holde sig ajour med de seneste cybersikkerhedstendenser, herunder virusdefinitioner, angrebsvektorer og afhjælpende handlinger.
- Sikring af, at al handlingsvenlig kommunikation vedrørende malware fra eksterne kilder er uafhængigt verificeret og kommer fra en pålidelig kilde.
Relevante ISO 27002 kontroller
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 6.9.3.1 – Informationssikkerhedskopiering
Referencer ISO 27002 Kontrol 8.13
Organisationer bør udarbejde emnespecifikke politikker, der direkte adresserer, hvordan organisationen sikkerhedskopierer de relevante områder af sit netværk for at sikre PII og forbedre modstandskraften mod privatlivsrelaterede hændelser.
BUDR-procedurer bør udarbejdes for at nå det primære mål om at sikre dette alle forretningskritiske data, software og systemer er i stand til at blive gendannet efterfølgende datatab, indtrængen, forretningsafbrydelse og kritiske fejl.
Som en prioritet bør BUDR-planer:
- Skitser gendannelsesprocedurer, der dækker alle kritiske systemer og tjenester.
- Være i stand til at producere brugbare kopier af alle systemer, data eller applikationer, der er en del af et backupjob.
- Tjener de kommercielle og operationelle krav i organisationen (se ISO 27002 kontrol 5.30).
- Gem sikkerhedskopier på et miljøbeskyttet sted, der er fysisk adskilt fra kildedataene (se ISO 27002 kontrol 8.1).
- Test og vurderer regelmæssigt backup-job i forhold til organisationens påbudte gendannelsestider for at garantere datatilgængelighed.
- Krypter alle PII-relaterede sikkerhedskopieringsdata.
- Dobbelttjek for datatab, før du udfører et backupjob.
- Overhold et rapporteringssystem, der gør personalet opmærksom på status for backupjobs.
- Søg at inkorporere data fra cloud-baserede platforme, der ikke er direkte administreret af organisationen, i interne backupjob.
- Gem sikkerhedskopier i overensstemmelse med en passende PII-opbevaringspolitik (se ISO 27002 kontrol 8.10).
Yderligere PII-specifik vejledning
Organisationer skal udvikle separate procedurer, der udelukkende omhandler PII (omend indeholdt i deres hoved-BUDR-plan).
Regionale afvigelser i PII BUDR-standarder (kontraktlige, juridiske og regulatoriske) bør tages i betragtning, når et nyt job oprettes, jobs ændres eller nye PII-data føjes til BUDR-rutinen.
Når der opstår behov for at gendanne PII efter en BUDR-hændelse, bør organisationer være meget omhyggelige med at returnere PII til dens oprindelige tilstand og gennemgå genoprettelsesaktiviteter for at løse eventuelle problemer med de nye data.
Organisationer bør føre en log over gendannelsesaktivitet, herunder alt personale, der er involveret i gendannelsen, og en beskrivelse af den PII, der er blevet gendannet.
Organisationer bør tjekke med enhver lovgivende eller regulerende instans og sikre, at deres PII-gendannelsesprocedurer er i overensstemmelse med, hvad der forventes af dem som PII-behandler og controller.
Relevante ISO 27002 kontroller
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(c)
Understøttende kontroller fra ISO 27002 & GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.9.2.1 | Kontroller mod malware |
8.7 – Beskyttelse mod malware til ISO 27002 |
Ingen |
| 6.9.3.1 | Backup af information |
8.13 – Informationsbackup til ISO 27002 |
Artikler (5), (32) |
Hvordan ISMS.online hjælper
For at opnå ISO 27701 skal du bygge et Privacy Information Management System. Med vores prækonfigurerede PIMS kan du hurtigt og nemt organisere og administrere kunde-, leverandør- og personaleoplysninger for fuldt ud at overholde ISO 27701.
Du kan også imødekomme det voksende antal globale, regionale og sektorspecifikke regler om beskyttelse af personlige oplysninger, som vi understøtter på ISMS.online-platformen.
For at opnå certificering til ISO 27701 (privatliv) skal du først opnå certificering til ISO 27001 (informationssikkerhed). Den gode nyhed er, at vores platform kan hjælpe dig med at gøre begge dele ubesværet!
Find ud af mere ved booking af en demo.
