ISO 27001:2022 Liite A Valvonta 8.14

Tietojenkäsittelylaitteiden redundanssi

Varaa demo

sininen,puhdas,lasi,seinä,moderni,pilvenpiirtäjä
  • nähdä ISO 27002:2022 Control 8.14 lisätietoja.

  • nähdä ISO 27001:2013 Liite A 17.2.1 lisätietoja.

    • ISO 27001:2022 liitteen A tarkoitus 8.14

    An "tietojenkäsittelylaitos" (IPF) on yleinen termi, jota käytetään viittaamaan mihin tahansa tieto- ja viestintäteknologian (ICT) infrastruktuuriin, joka käsittelee tietojenkäsittelyä, kuten IT-laitteita, ohjelmistoja ja fyysisiä tiloja.

    IPF:t ovat välttämättömiä liiketoiminnan jatkuvuuden ylläpitämiseksi ja organisaation ICT-verkoston tehokkaan toiminnan takaamiseksi. Kestävyyden lisäämiseksi organisaatioiden on otettava käyttöön toimintastrategioita, jotka lisäävät IPF:n redundanssia – esimerkiksi vikaturvallisia tekniikoita ja menettelyjä, jotka vähentävät epäonnistumisen, väärinkäytön tai järjestelmien ja tietojen tunkeutumisen riskiä.

    Liitteen A omistusoikeus 8.14

    ISO 27001:2022 Liite A 8.14 koskee organisaation kykyä jatkaa toimintaansa kriittisten tai vähäisten vikojen sattuessa, jotka voivat vaikuttaa sietokykyyn. Siksi Chief Operating Officertai vastaavan pitäisi olla vastuussa tästä valvonnasta.

Siirry aiheeseen

ISO 27001:2022 -standardin liite A 8.14 Vaatimustenmukaisuus

Liitteen A 8.14 ensisijaisena tavoitteena on parantaa yrityspalveluiden ja tietojärjestelmien saavutettavuutta, mikä voidaan tulkita yrityksen toimintaa helpottavan verkon osaksi.

ISO 27001:2022 liitteen A kohdassa 8.14 suositellaan päällekkäisyyttä pääasiallisena tapana hankkia redundanssia eri IPF:ien välillä, erityisesti pitämällä varastossa varaosia, päällekkäisiä komponentteja (laitteisto ja ohjelmisto) ja lisäoheislaitteita.

Organisaatioiden tulee varmistaa, että kaikki vialliset IPF:t havaitaan nopeasti ja korjaaviin toimiin ryhdytään nopeasti joko siirtymällä varmuuskopiolaitteistoon tai korjaamalla viallinen IPF viipymättä.

Organisaatioiden tulee ottaa huomioon redundanssitoimenpiteitä suunnitellessaan ja asentaessaan:

  • Kaupallisten suhteiden solmiminen kahden erillisen palveluntarjoajan, kuten Internet-palveluntarjoajan tai VoIP-palveluntarjoajan, kanssa voi auttaa minimoimaan täyden käyttökatkoksen riskin kriittisen tapahtuman sattuessa.

  • Parhaiden redundanssikäytäntöjen noudattaminen tietoverkkojen suunnittelussa (kuten toissijaiset DC:t ja redundantit BUDR-järjestelmät).

  • Maantieteellisesti erilaisten sijaintien hyödyntäminen datapalveluiden ulkoistamisessa, erityisesti tiedostojen tallennuksen ja/tai datakeskuksen palvelujen osalta, on välttämätöntä.

  • Osta sähköjärjestelmiä, jotka tarjoavat redundanssin joko kokonaan tai osittain tarpeen mukaan.

  • Kuormituksen tasapainotuksen ja automaattisen vikasietoisuuden hyödyntäminen päällekkäisten, redundanttien ohjelmistokomponenttien tai järjestelmien välillä lisää reaaliaikaista suorituskykyä ja joustavuutta kriittisen tapahtuman jälkeen. Tämä on erityisen olennaista käytettäessä toimintamallia, jossa on sekä julkisia pilvipalveluja että paikallisia palveluita. Redundanttien järjestelmien säännöllinen testaus tuotantotilassa varmistaa, että vikasietojärjestelmät toimivat tarkoitetulla tavalla.

  • Kaksinkertaiset fyysiset ICT-komponentit sekä palvelimissa että tiedostojen tallennuspaikoissa (RAID-ryhmät, CPU:t) ja kaikki verkkolaitteena toimivat (palomuurit, redundantit kytkimet) palvelun jatkuvuuden varmistamiseksi. Laiteohjelmistopäivitykset tulee suorittaa kaikissa linkitetyissä ja redundanteissa laitteissa.

Liitettä A koskevat lisäohjeet 8.14

ISO 27001:2022 liite A Ohjaus 8.14 tunnistaa yhteyden luotettavien, redundanttien järjestelmien ja liiketoiminnan jatkuvuuden suunnittelun välillä (katso ISO 27001:2022 Liite A 5.30) ja kannustaa organisaatioita näkemään ne osana vastausta yhteisiin vaikeuksiin.

On olennaista ottaa huomioon, että yrityssovellusten osalta on äärimmäisen vaikeaa korjata suuria virheitä itse sovelluksessa (erityisesti käytettäessä hallittuja sovelluksia).

Mukana olevat liitteen A valvontalaitteet

  • ISO 27001:2022 Liite A 5.30

Muutokset ja erot standardista ISO 27001:2013

ISO 27001:2022 Liite A 8.14 korvaa standardin ISO 27001:2013 Liite A 17.2.1 (tietojenkäsittelylaitteiden saatavuus).

27001:2022 Liite A 8.14 merkitsee suurta edistystä verrattuna standardin 27001:2013 liitteen A kohtaan 17.2.1, sillä näiden kahden kontrollin välinen ero muodostaa merkittävimmän muutoksen koko ISO 27001:2022 -versiosta.

27001:2013 Liite A 17.2.1 tarjoaa lyhyen yleiskuvauksen redundanssin tarpeesta, kun taas 27001:2022 Liite A 8.14 sisältää kattavat ohjeet sen toteuttamiseen paikan päällä olevissa, pilvipohjaisissa, loogisissa ja fyysisissä komponenteissa.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Miten ISMS.online auttaa

ISMS.online-sivustolla olemme luoneet perusteellisen ja suoraviivaisen järjestelmän, joka auttaa sinua suorittamaan ISO 27001: 2022 ohjaa ja käsittelee koko ISMS:ääsi.

ISMS.online helpottaa ISO 27001:2022 -standardin käyttöönotto, joka tarjoaa joukon välineitä, jotka helpottavat tietoturvan hallintaa organisaatiossasi. Se tunnistaa riskit, suunnittelee valvontakeinoja riskien vähentämiseksi ja sitten osoittaa näiden kontrollien täytäntöönpanon organisaatiossa.

Ota yhteyttä jo tänään varata esittely.

Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.

Peter Risdon
CISO, Viital

Varaa esittelysi

Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Mark Wightman
tekninen johtaja Aluma
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja