ISO 27701 Klousule 6.9.2: Versterking van wanware-verdedigingstrategieë
Selfs binne die mees robuuste en waterdigte netwerke, kan en doen mislukkings en indringings gebeur.
Organisasies moet aanvaar dat kritieke scenario's op enige gegewe tydstip sal voorkom, en PII teen indringing beskerm tesame met die waarborg van besigheidskontinuïteit met veelsydige en duidelik verstaanbare BUDR-prosedures.
Wat word gedek in ISO 27701 Klousule 6.9.2
ISO 27701 klousule 6.9.2 bevat twee subklousules wat leiding verskaf oor antimalware-tegnieke en BUDR-funksies.
Beide klousules is gekoppel aan inligting vervat in ISO 27002, met leiding aangebied binne die bestek van PII en privaatheidbeskerming:
- ISO 27701 6.9.2.1 Kontroles teen wanware (Verwysings ISO 27002 beheer 8.7)
- ISO 27701 6.9.3.1 Rugsteun van inligting (Verwysings ISO 27002 beheer 8.13)
ISO 27701 6.9.3.1 bevat riglyne wat relevant is vir verskeie artikels wat binne die Britse GDPR-wetgewing vervat is - met 'n opsomming verskaf vir u gerief - en uitgebreide bykomende leiding oor hoe organisasies beide die rugsteun en die herstel van PII moet benader.
Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.9.2.1 – Kontroles teen wanware
Verwysings ISO 27002 Beheer 8.7
Om PII en privaatheidverwante bates te beskerm, moet organisasies 'n reeks antimalware-tegnieke en -platforms ontplooi, insluitend:
- Die handhawing van 'n lys van beperkte/verbode sagteware en toepassings (sien ISO 27002 kontroles 8.19 en 8.32).
- Gebruik inhoudfiltrering om toegang tot verdagte webwerwe te blokkeer.
- Ontplooi 'tegniese kwesbaarheidsbestuur'-maatreëls (sien ISO 27002 kontroles 8.8 en 8.19).
- Oudit gereeld die gebruik van sagteware en data om enige ongemagtigde of verdagte toepassings en stelsels op te spoor.
- Beskerming teen die risiko's verbonde aan die verkryging van data en/of toepassings van eksterne en derdeparty-bronne.
- Doen gereelde antimalware-skanderings wat die hele netwerk dek, insluitend e-pos, webwerwe en verwyderbare media.
- Oorweging te gee aan waar op die netwerk antimalware-nutsmiddels ontplooi moet word (bv. poortsekuriteit en die bevordering van 'verdediging in diepte'.
- Monitering van voorvalle en kritieke ingrypings, om te verseker dat wanware nie per ongeluk op die netwerk ingebring word tydens tye wanneer standaard IKT-reëls omseil word nie.
- Werk met prosesse wat kritiese ingryping teen vermoedelike indringers moontlik maak, soos die tydelik deaktiveer van kritieke stelselprosesse, insluitend 'n deeglike regverdigings- en hersieningsprosedure.
- Robuuste BUDR- en besigheidskontinuïteitsplanne, wat die deaktivering en/of isolering van operasionele omgewings insluit (sien ISO 27002 beheer 8.13).
- Bewusmakingsopleiding vir alle gebruikers (sien ISO 27002 beheer 6.3).
- Om 'n aktiewe teenwoordigheid in die antimalware-gemeenskap te handhaaf en op hoogte te bly van die nuutste kuberveiligheidstendense, insluitend virusdefinisies, aanvalsvektore en regstellende aksies.
- Verseker dat alle uitvoerbare kommunikasie met betrekking tot wanware van eksterne bronne onafhanklik geverifieer word en van 'n betroubare bron afkomstig is.
Relevante ISO 27002-kontroles
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 6.9.3.1 – Rugsteun van inligting
Verwysings ISO 27002 Beheer 8.13
Organisasies moet onderwerpspesifieke beleide opstel wat direk aanspreek hoe die organisasie die relevante areas van sy netwerk rugsteun om PII te beskerm en veerkragtigheid teen privaatheidsverwante voorvalle te verbeter.
BUDR-prosedures moet opgestel word om die primêre doelwit te bereik om dit te verseker almal besigheidskritiese data, sagteware en stelsels kan volgende herwin word verlies van data, inbraak, besigheidsonderbreking en kritieke mislukkings.
As 'n prioriteit moet BUDR-planne:
- Skets herstelprosedures wat alle kritieke stelsels en dienste dek.
- In staat wees om werkbare kopieë te produseer van enige stelsels, data of toepassings wat deel is van 'n rugsteunwerk.
- Dien die kommersiële en operasionele vereistes van die organisasie (sien ISO 27002 beheer 5.30).
- Berg rugsteun op 'n omgewingsbeskermde plek wat fisies geskei is van die brondata (sien ISO 27002 beheer 8.1).
- Toets en evalueer gereeld rugsteuntake teen die organisasies se opdrag vir hersteltye, om die beskikbaarheid van data te waarborg.
- Enkripteer alle PII-verwante rugsteundata.
- Kontroleer dubbel vir enige dataverlies voordat 'n rugsteuntaak uitgevoer word.
- Voldoen aan 'n verslagdoeningstelsel wat personeel waarsku oor die status van rugsteuntake.
- Probeer om data van wolkgebaseerde platforms wat nie direk deur die organisasie bestuur word nie, in interne rugsteuntake in te sluit.
- Berg rugsteun in ooreenstemming met 'n toepaslike PII-behoudbeleid (sien ISO 27002 beheer 8.10).
Bykomende PII-spesifieke leiding
Organisasies moet aparte prosedures ontwikkel wat uitsluitlik met PII handel (al is dit vervat in hul hoof-BUDR-plan).
Streeksafwykings in PII BUDR-standaarde (kontraktueel, wetlik en regulatories) moet in ag geneem word wanneer 'n nuwe werk geskep word, poste gewysig word of nuwe PII-data by die BUDR-roetine gevoeg word.
Wanneer die behoefte ontstaan om PII te herstel na 'n BUDR-voorval, moet organisasies baie versigtig wees om die PII na sy oorspronklike toestand terug te bring, en herstelaktiwiteite te hersien om enige probleme met die nuwe data op te los.
Organisasies moet 'n log van herstelaktiwiteit hou, insluitend enige personeel wat by die herstel betrokke is, en 'n beskrywing van die PII wat herstel is.
Organisasies moet met enige wetgewende of regulatoriese agentskappe nagaan en verseker dat hul PII-herstelprosedures in ooreenstemming is met wat van hulle as 'n PII-verwerker en kontroleerder verwag word.
Relevante ISO 27002-kontroles
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Toepaslike GDPR-artikels
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(c)
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.9.2.1 | Kontroles teen wanware |
8.7 – Beskerming teen wanware vir ISO 27002 |
Geen |
| 6.9.3.1 | Inligting rugsteun |
8.13 – Rugsteun van inligting vir ISO 27002 |
Artikels (5), (32) |
Hoe ISMS.online help
Om ISO 27701 te bereik, moet u 'n privaatheidsinligtingbestuurstelsel bou. Met ons vooraf gekonfigureerde PIMS kan jy vinnig en maklik klante-, verskaffer- en personeelinligting organiseer en bestuur om ten volle aan ISO 27701 te voldoen.
Jy kan ook die groeiende aantal globale, streeks- en sektorspesifieke privaatheidsregulasies wat ons ondersteun op die ISMS.aanlyn-platform akkommodeer.
Om sertifisering volgens ISO 27701 (privaatheid) te behaal, moet jy eers sertifisering volgens ISO 27001 (inligtingsekuriteit) behaal. Die goeie nuus is dat ons platform jou kan help om albei moeiteloos te doen!
Vind meer uit deur bespreek 'n demo.
