ISO 27001 – Liite A.17: Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat

Mikä on liitteen A.17.1 tavoite?

Liite A.17.1 koskee tietoturvan jatkuvuutta. Tämän liitteen A valvonnan tavoitteena on, että tietoturvan jatkuvuus sisällytetään organisaation liiketoiminnan jatkuvuuden hallintajärjestelmiin. Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.17.1.1 Tietoturvan jatkuvuuden suunnittelu

Organisaation tulee määritellä tietoturvavaatimukset ja tietoturvan hallinnan jatkuvuus epäsuotuisissa tilanteissa, esim. kriisin tai katastrofin aikana. Parhailla ISMS:illä on jo laajemmat liitteen A hallintalaitteet, jotka vähentävät tarvetta toteuttaa A.17:n mukainen katastrofipalautusprosessi tai liiketoiminnan jatkuvuussuunnitelma.

Näistä ponnisteluista huolimatta merkittäviä häiritseviä tapahtumia voi silti tapahtua, joten niiden suunnittelu on tärkeää. Mitä tapahtuu, kun tietosi ja sovelluksesi sisältävä suuri datakeskus ei ole käytettävissä? Mitä tapahtuu, kun tapahtuu suuri tietomurto, lunnasohjelmahyökkäys tai yrityksen avainhenkilö on poissa toiminnasta tai kenties pääkonttori kärsii suuresta tulvasta..?

Harkittuaan erilaisia ​​tapahtumia ja skenaarioita, joita on suunniteltava, organisaatio voi sitten dokumentoida suunnitelman niin yksityiskohtaisesti kuin vaaditaan osoittaakseen, että se ymmärtää nämä ongelmat ja niiden ratkaisemiseksi tarvittavat vaiheet.

ISO 22301 tarjoaa jäsennellymmän lähestymistavan liiketoiminnan jatkuvuuteen, joka sopii hyvin tyylikkäästi ISO 27001 -standardin päävaatimuksiin.

A.17.1.2 Tietoturvan jatkuvuuden toteuttaminen

Organisaation tulee perustaa, dokumentoida, toteuttaa ja ylläpitää prosesseja, menettelytapoja ja valvontatoimia varmistaakseen tietoturvan vaaditun jatkuvuuden häiriötilanteessa. Kun vaatimukset on tunnistettu, organisaation on otettava käyttöön politiikkoja, menettelyjä ja muita fyysisiä tai teknisiä valvontatoimia, jotka ovat riittäviä ja oikeasuhteisia näiden vaatimusten täyttämiseksi.

Kuvaus vastuualueista, toiminnoista, omistajista, aikatauluista, suoritettavista lieventävistä töistä (muu kuin riskit ja jo käytössä olevat politiikat, esim. kriisiviestintä). Johtorakenne ja asiaankuuluvat eskaloinnin käynnistyspisteet olisi määritettävä sen varmistamiseksi, että jos ja kun tapahtuma pahenee, asianmukainen eskalointi asianomaiselle viranomaiselle tapahtuu tehokkaasti ja oikea-aikaisesti. On myös tehtävä selväksi, milloin liiketoiminta palaa normaalisti ja kaikki BCP-prosessit pysähtyvät.

A.17.1.3 Tarkista, tarkista ja arvioi tietoturvan jatkuvuus

Organisaation tulee tarkistaa vakiintuneet ja toteutetut tietoturvallisuuden jatkuvuuden tarkastukset säännöllisin väliajoin varmistaakseen, että ne ovat päteviä ja toimivia näissä tilanteissa. Tietoturvan jatkuvuutta varten toteutetut kontrollit on testattava, tarkistettava ja arvioitava säännöllisesti sen varmistamiseksi, että ne pysyvät yllä liiketoiminnan, teknologioiden ja riskitason muutoksissa.

Tarkastaja haluaa nähdä, että on olemassa todisteita; Suunnitelmien ja kontrollien määräaikainen testaus; Lokit suunnitelman kutsuista ja toimista, jotka on suoritettu ratkaisuun ja saatuihin kokemuksiin asti; ja säännöllinen tarkastelu ja muutosten hallinta sen varmistamiseksi, että suunnitelmia ylläpidetään muutosta vastaan.

Mikä on liitteen A.17.2 tavoite?

Liite A.17.2 koskee irtisanomisia. Tämän liitteen A valvonnan tavoitteena on varmistaa tietojenkäsittelylaitteiden saatavuus.

A.17.2.1 Tietojenkäsittelylaitteiden saatavuus

Hyvä ohjaus kuvaa, kuinka tiedonkäsittelylaitteet toteutetaan riittävällä redundanssilla käytettävyysvaatimusten täyttämiseksi. Redundanssi viittaa tyypillisesti päällekkäisten laitteistojen toteuttamiseen tietojenkäsittelyjärjestelmien saatavuuden varmistamiseksi. Periaate on, että jos yksi tai useampi kohde epäonnistuu, on ylimääräisiä kohteita, jotka ottavat haltuunsa.

Tämän kannalta kriittistä on redundanttien komponenttien ja järjestelmien säännöllinen testaus sen varmistamiseksi, että vikasieto tapahtuu kohtuullisessa ajassa. Ylimääräiset komponentit on suojattava samalla tasolla tai enemmän kuin ensisijaiset komponentit.

Monet organisaatiot käyttävät pilvipohjaisia ​​palveluntarjoajia, joten ne haluavat varmistaa, että irtisanomiset huomioidaan tehokkaasti toimittajien kanssa tehdyissä sopimuksissa ja osana kohdan A.15 käytäntöä.

Tarkastaja odottaa näkevänsä, että testaus suoritetaan säännöllisin väliajoin, missä päällekkäiset komponentit ja järjestelmät ovat paikallaan ja organisaation hallinnassa.