ISO 27001 – Bylae A.17: Inligtingsekuriteitsaspekte van besigheidskontinuïteitsbestuur

Wat is die doel van Aanhangsel A.17.1?

Bylae A.17.1 handel oor kontinuïteit van inligtingsekuriteit. Die doelwit in hierdie Bylae A-beheer is dat inligtingsekuriteitskontinuïteit in die organisasie se besigheidskontinuïteitsbestuurstelsels ingebed moet word. Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.17.1.1 Beplanning van inligtingsekuriteitskontinuïteit

Die organisasie moet sy vereistes vir inligtingsekuriteit en die kontinuïteit van inligtingsekuriteitsbestuur in ongunstige situasies bepaal, bv tydens 'n krisis of ramp. Die beste ISMS'e sal reeds breër Bylae A-kontroles hê wat teen 'n behoefte om 'n rampherstelproses of besigheidskontinuïteitsplan in ooreenstemming met A.17 te implementeer te versag.

Ten spyte van daardie poging, kan meer betekenisvolle ontwrigtende voorvalle steeds plaasvind, so beplanning daarvoor is belangrik. Wat gebeur wanneer 'n groot datasentrum met jou inligting en toepassings daarin nie beskikbaar word nie? Wat gebeur wanneer 'n groot data-oortreding plaasvind, 'n losprysware-aanval gemaak word of 'n sleutelpersoon in die besigheid buite aksie is, of dalk hoofkantoor 'n groot oorstroming ondervind..?

Nadat die verskillende gebeure en scenario's waarvoor beplan moet word, oorweeg word, kan die organisasie dan die plan dokumenteer in watter detail ook al nodig is om te demonstreer dat dit daardie kwessies en die stappe wat nodig is om dit aan te spreek verstaan.

ISO 22301 bied 'n meer gestruktureerde benadering tot besigheidskontinuïteit wat baie elegant aansluit by die hoofvereistes van ISO 27001.

A.17.1.2 Implementering van inligtingsekuriteitskontinuïteit

Die organisasie moet prosesse, prosedures en kontroles daarstel, dokumenteer, implementeer en in stand hou om die vereiste vlak van kontinuïteit vir inligtingsekuriteit tydens 'n ontwrigtende situasie te verseker. Sodra vereistes geïdentifiseer is, moet die organisasie beleide, prosedures en ander fisiese of tegniese beheermaatreëls implementeer wat voldoende en proporsioneel is om aan daardie vereistes te voldoen.

Beskrywing van die verantwoordelikhede, aktiwiteite, eienaars, tydskale, versagtende werk wat onderneem moet word (buiten risiko's en beleide wat reeds in werking is, bv. krisiskommunikasie). 'n Bestuurstruktuur en relevante eskalasie-snellerpunte moet geïdentifiseer word om te verseker dat indien en wanneer 'n gebeurtenis in erns toeneem, die relevante eskalasie na die toepaslike owerheid effektief en betyds gedoen word. Dit moet ook duidelik gemaak word wanneer daar 'n terugkeer na besigheid soos gewoonlik is en enige BCP-prosesse stop.

A.17.1.3 Verifieer, hersien en evalueer inligtingsekuriteitskontinuïteit

Die organisasie moet die gevestigde en geïmplementeerde inligtingsekuriteitskontinuïteitskontroles met gereelde tussenposes verifieer om te verseker dat dit geldig en effektief is tydens hierdie situasies. Die beheermaatreëls wat geïmplementeer word vir inligtingsekuriteitskontinuïteit moet periodiek getoets, hersien en geëvalueer word om te verseker dat dit gehandhaaf word teen veranderinge in die besigheid, tegnologieë en risikovlakke.

Die ouditeur sal wil sien dat daar bewyse is van; Periodieke toetsing van planne en kontroles; Logboeke van planaanroepe en die aksies wat deurgevoer is tot oplossing en lesse geleer; en periodieke hersiening en veranderingsbestuur om te verseker dat planne teen verandering gehandhaaf word.

Wat is die doel van Aanhangsel A.17.2?

Bylae A.17.2 handel oor afdankings. Die doelwit in hierdie Bylae A-kontrole is om beskikbaarheid van inligtingverwerkingsfasiliteite te verseker.

A.17.2.1 Beskikbaarheid van inligtingsverwerkingsfasiliteite

'n Goeie kontrole beskryf hoe inligtingverwerkingsfasiliteite geïmplementeer word met oortolligheid om aan beskikbaarheidsvereistes te voldoen. Oortolligheid verwys na die implementering van, tipies, duplikaat hardeware om beskikbaarheid van inligtingverwerkingstelsels te verseker. Die beginsel is dat as een of meer items misluk, dan is daar oortollige items wat sal oorneem.

Van kritieke belang hiervoor is die toetsing van oortollige komponente en stelsels periodiek om te verseker dat fail-over binne 'n redelike tydsbestek bereik sal word. Oortollige komponente moet op dieselfde vlak of hoër as die primêre komponente beskerm word.

Baie organisasies gebruik wolkgebaseerde verskaffers, so hulle sal wil verseker dat oortolligheid doeltreffend aangespreek word in hul kontrakte met verskaffers en as deel van die beleid in A.15.

Die ouditeur sal verwag om toe te sien dat toetsing op 'n periodieke basis uitgevoer word, waar oortollige komponente en stelsels in plek is en in die beheer van die organisasie is.