ISO 27002:2022, Beheer 7.11, Ondersteunende nutsprogramme

ISO 27002:2022 – Beheer 7.11 – Ondersteunende nutsprogramme

ISO 27002:2022 Beheer 7.11 (Ondersteunende nutsdienste) fokus op die beveiliging van inligtingsbates deur die betroubaarheid van noodsaaklike nutsdienste soos krag, water en telekommunikasie te verseker. Dit beveel oudits, oortolligheidsmaatreëls en veilige konfigurasies aan om ontwrigtings te voorkom en besigheidskontinuïteit te ondersteun.

ISO 27002 Beheer 7.11: Verseker betroubare en veilige ondersteunende nutsprogramme

Mislukking of ontwrigting van nutsdienste soos elektrisiteit, gas, water of verkoeling wat nodig is vir behoorlike en deurlopende funksionering van inligtingverwerkingsfasiliteite kan lei tot kompromie van inligtingsbates of kan besigheidskontinuïteit onderskep.

Byvoorbeeld, die mislukking van lugversorgingstoerusting in 'n datasentrum kan lei tot 'n skielike styging in temperatuur wanneer die datasentrum deur 'n hittegolf getref word. Dit kan veroorsaak dat bedieners wat webwerf- en/of klantdata huisves, gesluit word, en sodoende die beskikbaarheid van data en ontwrigting van sakebedrywighede tot gevolg kan hê.

Beheer 7.11 spreek aan hoe organisasies risiko's vir die beskikbaarheid en integriteit van inligtingsbates as gevolg van die mislukking van ondersteunende nutsdienste soos gas, verkoeling, telekommunikasie, water en elektrisiteit.

Doel van beheer 7.11

Beheer 7.11 stel organisasies in staat om risiko's vir die beskikbaarheid en integriteit van inligtingsbates uit te skakel en te versag en vir die besigheids kontinuïteit deur toepaslike maatreëls in te stel wat ondersteunende nutsdienste teen onderbrekings en ontwrigtings soos kragonderbrekings beskerm.

Eienskappe Tabel van beheer 7.11

Beheer 7.11 is beide speurder en voorkomend van aard, aangesien dit van organisasies vereis om 'n proaktiewe benadering te volg en voorsorgmaatreëls te implementeer maatreëls teen die risiko's tot die behoorlike en deurlopende funksionering van nutsdienste wat benodig word vir inligtingverwerkingsfasiliteite soos datasentrums, netwerkstelsels en rekenaartoerusting.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Integriteit	#Beskerm	#Fisiese sekuriteit	#Beskerming
#Speurder	#Beskikbaarheid	#Bespeur

Eienaarskap van beheer 7.11

Beheer 7.11 behels die identifisering van risiko's vir die deurlopende bedrywighede van ondersteuning van nutsdienste en implementering van toepaslike maatreëls en kontroles om te verseker dat beskikbaarheid en integriteit van inligtingsbates nie deur mislukkings van hierdie nutsdienste geraak word nie.

Terwyl die fasiliteitsbestuurspan se rol en pogings van kritieke belang is, moet die inligtingsekuriteitsbestuurder die verantwoordelikheid dra vir die nakoming van Beheer 7.11.

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Algemene riglyne oor nakoming

Nadat dit beklemtoon is dat ondersteunende nutsdienste soos watervoorsiening, elektrisiteit, kommunikasie, riool en lugversorging noodsaaklik is vir die bedrywighede wat in inligtingverwerkingsfasiliteite uitgevoer word.

Algemene riglyne lys sewe sleutelaanbevelings wat organisasies in ag moet neem om aan Beheer 7.11 te voldoen:

Organisasies moet voldoen aan die vervaardiger se instruksies wanneer hulle die toestelle wat gebruik word om die nutsprogramme op te stel, te gebruik en in stand te hou.
Utilities moet geoudit word om te verseker dat hulle geskik is om sakegroeidoelwitte te bereik en dat hulle sonder enige probleem saam met ander nutsdienste werk.
Alle toerusting wat die nutsdienste ondersteun, moet deur gereelde inspeksies en toetse gaan sodat daar geen ontwrigting of mislukking van hul behoorlike funksionering is nie.
Afhangende van die vlak van risiko vir die inligtingsbates en besigheidskontinuïteit, 'n alarmstelsel kan gevestig word vir wanfunksionele toerusting wat die nutsdienste ondersteun.
Om die risiko te verminder, moet nutsdienste verskeie strome hê met aparte fisiese roetes.
Die netwerk gekoppel aan die toerusting wat nutsdienste ondersteun, moet geskei word van die netwerk wat aan IT-fasiliteite gekoppel is.
Toerusting wat die nutsdienste ondersteun, moet slegs toegelaat word om aan die internet te koppel as dit streng nodig is en hierdie verbinding moet op 'n veilige manier tot stand gebring word.

Aanvullende leiding

Benewens die Algemene Riglyne, behels Beheer 7.11 aanbevelings oor twee spesifieke kwessies:

Noodprosedures

Organisasies moet 'n noodkontakpersoon bepaal en sy/haar kontakbesonderhede aanteken. Hierdie besonderhede moet aan alle personeel verskaf word indien 'n mislukking of ontwrigting plaasvind.

Noodskakelaars en kleppe om nutsdienste soos water, gas en elektrisiteit te stop, moet naby die nooduitgange geplaas word.

Noodbeligting en kommunikasie moet gereed wees om gebruik te word ingeval 'n noodgeval opduik.

Netwerk konneksie

Organisasies kan oorweeg om bykomende roetes van alternatiewe diensverskaffers af te hê om netwerkverbindings te verhoog sodat mislukkings of ontwrigtings van ondersteunende nutsdienste voorkom word.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/7.11 replaces 27002:2013/(11.2.2)

Terwyl die 2022-weergawe in 'n groot mate soortgelyk is aan die 2013-weergawe, is daar een sleutelverskil.

Die ISO 27002:2022 weergawe stel die volgende twee vereistes in sy Algemene Riglyne bekend:

Die netwerk gekoppel aan die toerusting wat nutsdienste ondersteun, moet geskei word van die netwerk wat aan IT-fasiliteite gekoppel is.
Toerusting wat die nutsdienste ondersteun, moet slegs toegelaat word om aan die internet te koppel as dit streng nodig is en hierdie verbinding moet op 'n veilige manier tot stand gebring word.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Maatskappye kan gebruik ISMS.Aanlyn om hulle te help met hul ISO 27002 voldoening pogings deur hulle van 'n platform te voorsien wat dit maklik maak om hul sekuriteitsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.

Ons wolk-gebaseerde platform laat jou toe om vinnig en maklik te bestuur al die aspekte van jou ISMS, insluitend risikobestuur, beleide, planne, prosedures en meer, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld