ISO 27001 A.7.11 Supporting Utilities Checklist
Tällä ohjauksella varmistetaan, että kaikki tietojärjestelmien toimintaa tukevat laitokset tunnistetaan, suojataan ja ylläpidetään, jotta estetään häiriöt, jotka voivat vaikuttaa organisaation toimintaan ja tietoturvaan. Tämä valvonta kattaa useita eri näkökohtia, kuten olennaisten apuohjelmien tunnistamisen, riskien arvioinnin, suojatoimenpiteiden toteuttamisen, jatkuvan valvonnan ja ylläpidon sekä vankan häiriötilanteen reagoinnin ja jatkuvan parannusprosessin.
Liitteen A.7.11 soveltamisala
ISO/IEC 27001:2022 on kansainvälinen tietoturvallisuuden hallintastandardi, joka tarjoaa puitteet tietoturvan hallintajärjestelmälle (ISMS). Kohdassa A.7.11 keskitytään tukeviin apuohjelmiin, jotka ovat olennaisia tietojärjestelmien jatkuvan toiminnan varmistavia komponentteja. Apuohjelmat, kuten virtalähde, vesi, kaasu, LVI ja televiestintä, ovat tärkeitä IT-infrastruktuurin moitteettoman toiminnan kannalta. Kaikki häiriöt näissä apuohjelmissa voivat johtaa merkittäviin toiminnallisiin haasteisiin ja mahdollisiin tietoturvaloukkauksiin.
A.7.11:n toteuttaminen sisältää järjestelmällisen lähestymistavan näiden apuohjelmien tunnistamiseksi, arvioimiseksi, suojaamiseksi, valvomiseksi ja ylläpitämiseksi. Organisaatioilla on myös oltava tehokkaat häiriötilanteiden reagointisuunnitelmat ja jatkuvat parannusmekanismit, jotta kaikki ongelmat voidaan ratkaista nopeasti. Tämän valvonnan toteuttaminen voi olla haastavaa, mutta oikeilla strategioilla ja työkaluilla organisaatiot voivat saavuttaa vaatimustenmukaisuuden ja varmistaa tietojärjestelmiensä kestävyyden.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Miksi sinun pitäisi noudattaa liitettä A.7.11? Keskeiset näkökohdat ja yleiset haasteet
Tukipalveluiden tunnistaminen
Apuohjelman tunnistus: Tunnista kaikki tietojärjestelmien toiminnan kannalta olennaiset apuohjelmat. Tämä sisältää virtalähteen, veden, kaasun, LVI- (lämmitys, ilmanvaihto ja ilmastointi) ja tietoliikennepalvelut.
Yleisiä haasteita:
- Kattava tunnistaminen: Kaikkien asiaankuuluvien apuohjelmien tunnistamisen varmistaminen voi olla vaikeaa, etenkin suurissa tai monimutkaisissa organisaatioissa, joissa on useita toimitiloja.
- Piilotetut riippuvuudet: Kaikkien apuohjelmien riippuvuuksien paljastaminen ja dokumentointi voi olla haastavaa, varsinkin jos jotkut eivät ole heti ilmeisiä.
Ratkaisut:
- Strukturoidut tutkimukset ja auditoinnit: Suorita yksityiskohtaisia tutkimuksia ja tarkastuksia kaikista tiloista tunnistaaksesi ja dokumentoidaksesi apuohjelmat.
- Omaisuudenhallintatyökalujen käyttö: Ota käyttöön omaisuudenhallintatyökaluja, jotka voivat auttaa seuraamaan ja kartoittamaan riippuvuuksia.
- Osastojen välinen yhteistyö: Ota eri osastoja mukaan varmistaaksesi, että kaikki apuohjelmien riippuvuudet tunnistetaan.
Asiaan liittyvät ISO 27001 -lausekkeet: Lauseke 6.1 (Toimet riskien ja mahdollisuuksien käsittelemiseksi), Lause 7.5 (Dokumentoitu tieto)
Riskinarviointi
Riskin tunnistaminen: Arvioi näiden apuohjelmien epäonnistumiseen liittyviä riskejä. Tämä sisältää mahdollisten uhkien, kuten sähkökatkojen, vesivuotojen, kaasuvuotojen, LVI-häiriöiden ja tietoliikennehäiriöiden, analysoinnin.
Vaikutusanalyysi: Selvitä mahdolliset vaikutukset organisaation toimintaan ja tietoturvaan, jos jokin näistä apuohjelmista epäonnistuisi.
Yleisiä haasteita:
- Tarkka riskinarviointi: Laitteisiin liittyvien riskien tarkka tunnistaminen ja arvioiminen voi olla monimutkaista mahdollisten uhkien vaihtelevuuden ja arvaamattomuuden vuoksi.
- Vaikutusanalyysin monimutkaisuus: Mahdollisten toimintoihin ja turvallisuuteen kohdistuvien vaikutusten kvantifiointi voi olla haastavaa ja vaatii kattavaa tietämystä ja asiantuntemusta.
Ratkaisut:
- Riskinarviointikehykset: Käytä vakiintuneita riskinarviointikehyksiä ohjaamaan tunnistus- ja analysointiprosessia.
- Skenaarioanalyysi: Suorita skenaarioanalyysi ymmärtääksesi laitoshäiriöiden mahdolliset vaikutukset.
- Asiantuntijakonsultaatio: Ota yhteyttä sähkönhallinnan ja riskinarvioinnin asiantuntijoiden kanssa saadaksesi tarkkoja näkemyksiä.
Asiaan liittyvät ISO 27001 -lausekkeet: Lauseke 6.1.2 (Tietoturvariskin arviointi), Lause 6.1.3 (Tietoturvariskien käsittely)
Suojatoimenpiteet
Ennaltaehkäisevät kontrollit: Toteutetaan toimenpiteitä tukilaitosten häiriöiden estämiseksi. Tähän voi sisältyä UPS (Uninterruptible Power Supplies), varageneraattoreiden, redundanttien tietoliikennelinjojen ja LVI-järjestelmien säännöllisten huoltoaikataulujen käyttö.
Fyysinen turvallisuus: Varmista, että näitä apuohjelmia tukeva fyysinen infrastruktuuri on turvallinen. Tämä voi sisältää kodinhoitohuoneiden turvaamisen, kaapelien ja putkien suojaamisen sekä kriittisten alueiden pääsyn valvomisen.
Yleisiä haasteita:
- Resurssien allokointi: Riittävien resurssien (taloudellisten, inhimillisten ja teknisten) osoittaminen tehokkaiden suojatoimenpiteiden toteuttamiseksi voi olla haastavaa.
- Fyysinen turvallisuus: Apuohjelmien fyysisen turvallisuuden varmistaminen kaikissa paikoissa, erityisesti hajautetuissa tai etätiloissa, voi olla logistisesti monimutkaista.
Ratkaisut:
- Budjetin suunnittelu: Kohdista budjetit erityisesti sähkönsuojelutoimenpiteitä varten ja varmista investoinnin asianmukainen perustelu.
- Turvatarkastukset: Tarkista säännöllisesti fyysiset turvatoimenpiteet ja päivitä ne tarvittaessa.
- Redundanssin suunnittelu: Suunnittele redundanssi kriittisissä apuohjelmissa varmistaaksesi, että varmuuskopiointivaihtoehdot ovat käytettävissä.
Asiaan liittyvät ISO 27001 -lausekkeet: Lauseke 8.1 (toiminnan suunnittelu ja valvonta), lauseke 9.1 (seuranta, mittaus, analyysi ja arviointi)
Valvonta ja ylläpito
Säännöllinen seuranta: Seuraa jatkuvasti tukevien apuohjelmien tilaa ja suorituskykyä. Käytä valvontatyökaluja ja antureita havaitaksesi poikkeamat tai viat reaaliajassa.
Huoltoaikataulut: Laadi ja noudata säännöllisiä huoltoaikatauluja kaikille tukilaitoksille varmistaaksesi, että ne pysyvät toiminnassa ja tehokkaissa.
Yleisiä haasteita:
- Jatkuva valvonta: Tehokkaiden jatkuvan valvontajärjestelmien perustaminen ja ylläpito voi olla teknisesti vaativaa ja kallista.
- Kunnossapidon johdonmukaisuus: Huoltoaikataulujen johdonmukaisen noudattamisen varmistaminen kaikissa tiloissa ja laitoksissa voi olla vaikeaa, etenkin suurissa organisaatioissa.
Ratkaisut:
- Automatisoidut valvontatyökalut: Ota käyttöön automaattiset valvontatyökalut varmistaaksesi apuohjelman tilan jatkuvan valvonnan.
- Aikataulutetut huoltosuunnitelmat: Kehitä ja pane täytäntöön ajoitetut huoltosuunnitelmat muistutuksineen ja seurantajärjestelmin.
- Koulutusohjelmat: Kouluta huoltohenkilöstöä varmistaaksesi, että he ymmärtävät säännöllisen huollon tärkeyden ja menetelmät.
Asiaan liittyvät ISO 27001 -lausekkeet: Lauseke 8.1 (toiminnan suunnittelu ja valvonta), lauseke 9.1 (seuranta, mittaus, analyysi ja arviointi)
Vahinkotapahtuma
Vastaussuunnitelmat: Kehitä ja toteuta toimintasuunnitelmia sähkönjakeluhäiriöiden käsittelemiseksi. Tähän tulisi sisältyä menettelyt palvelujen nopeaksi palauttamiseksi ja palauttamiseksi.
Koulutus ja tietoisuus: Varmista, että asianomainen henkilökunta on koulutettu ja tietoinen menettelyistä, joita on noudatettava sähköverkon toimintahäiriöiden varalta.
Yleisiä haasteita:
- Kattava suunnittelu: Kattavien ja tehokkaiden onnettomuuksien torjuntasuunnitelmien kehittäminen, jotka kattavat kaikki mahdolliset sähkönjakeluhäiriöt, voi olla haastavaa.
- Koulutuksen johdonmukaisuus: Varmistetaan, että kaikki asiaankuuluvat henkilöstöt ovat jatkuvasti koulutettuja ja tietoisia reagointimenettelyistä, erityisesti organisaatioissa, joissa henkilöstön vaihtuvuus on suuri tai joilla on hajautettuja tiimejä.
Ratkaisut:
- Hätätilanteiden torjuntaharjoitukset: Suorita säännöllisiä hätätilanteisiin reagointiharjoituksia testataksesi ja tarkennuttaaksesi reagointisuunnitelmia.
- Yksityiskohtaiset vastausmenettelyt: Kehitä yksityiskohtaiset, vaiheittaiset vastausmenettelyt ja varmista, että ne ovat helposti saatavilla.
- Säännölliset koulutusistunnot: Järjestä säännöllisiä koulutustilaisuuksia ja kertauspäiviä kaikille asiaankuuluville henkilöille.
Asiaan liittyvät ISO 27001 -lausekkeet: Lauseke 6.1.3 (tietoturvariskien käsittely), lauseke 7.2 (pätevyys), lauseke 7.3 (tietoisuus)
Tarkistaminen ja parantaminen
Säännölliset arvostelut: Tarkista ajoittain käytössä olevien apuohjelmien ohjaimien tehokkuus ja päivitä niitä tarvittaessa.
Jatkuva parantaminen: Tunnista kaikista tapauksista tai häiriöistä saadut opetukset ja toteuta parannuksia estääksesi tulevat tapahtumat.
Yleisiä haasteita:
- Tarkistustiheys: Säännöllisen ja tehokkaan tarkistusprosessin luominen voi olla vaikeaa, etenkin nopeatempoisissa ympäristöissä.
- Parannusten toteuttaminen: Sen varmistaminen, että saadut kokemukset johtavat todellisiin parannuksiin eivätkä vain dokumentoitu ilman toimia, voi olla merkittävä haaste.
Ratkaisut:
- Suunnitellut tarkistukset: Ota käyttöön säännöllinen tarkistusaikataulu, mahdollisesti neljännesvuosittain tai kahdesti vuodessa valvonnan tehokkuuden arvioimiseksi.
- Palautemekanismit: Kehitä mekanismeja, joilla kerätään palautetta tapahtumista ja integroidaan se parannusprosessiin.
- Toimintasuunnitelmat: Luo yksityiskohtaisia toimintasuunnitelmia parannusten toteuttamiseksi ja seuraa edistymistä säännöllisesti.
Asiaan liittyvät ISO 27001 -lausekkeet: Lause 10.1 (Parannus), Lause 9.3 (Johdon tarkistus)
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISMS.online-ominaisuudet A.7.11:n noudattamisen osoittamiseen
ISMS.online tarjoaa useita ominaisuuksia, jotka ovat hyödyllisiä A.7.11 Supporting Utilities -apuohjelmien yhteensopivuuden osoittamisessa:
- Riskienhallinta:
- Riskipankki: Ylläpidä kattavaa tietokantaa tukipalveluihin liittyvistä tunnistetuista riskeistä.
- Dynaaminen riskikartta: Visualisoi ja arvioi hyödyllisyyshäiriöihin liittyviä riskejä reaaliajassa.
- Riskien seuranta: Seuraa ja päivitä jatkuvasti muuttuviin olosuhteisiin perustuvia riskiarvioita.
- Käytäntöjen hallinta:
- Käytäntömallit: Käytä valmiita malleja käytäntöjen luomiseen ja päivittämiseen tukiapuohjelmien hallintaa varten.
- Käytäntöpaketti: Varmista, että kaikki apuohjelmien hallintaan liittyvät käytännöt ovat versioohjattuja ja käytettävissä.
- Asiakirjojen käyttö: Hallitse apuohjelmien hallintaan liittyvien käytäntöjen ja menettelyjen käyttöä varmistaaksesi, että vain valtuutetut henkilöt voivat tarkastella tai muokata niitä.
- Tapahtumien hallinta:
- Incident Tracker: kirjaa ja seuraa apuohjelmien häiriöihin liittyviä tapauksia, mikä varmistaa perusteellisen tutkinta- ja ratkaisuprosessin.
- Työnkulku: Automatisoi tapaturmien reagointityönkulkuja nopean ja tehokkaan toiminnan varmistamiseksi.
- Ilmoitukset: Määritä hälytykset ilmoittaaksesi asianomaiselle henkilöstölle välittömästi, kun tapahtuu apuohjelmaan liittyvä tapahtuma.
- Raportointi: Luo yksityiskohtaisia raportteja tapahtumista helpottaaksesi tapahtuman jälkeistä analysointia ja jatkuvaa parantamista.
- Tarkastuksen hallinta:
- Tarkastusmallit: Käytä ennalta määritettyjä malleja suorittaaksesi säännöllisiä tarkastuksia tukeville apuohjelmille.
- Tarkastussuunnitelma: Suunnittele ja hallitse tarkastustoimia varmistaaksesi jatkuvan vaatimustenmukaisuuden.
- Korjaavat toimet: Dokumentoi ja seuraa tarkastuksen löydöistä johtuvia korjaavia toimia.
- Dokumentaatio: Säilytä kattavat tiedot kaikista tarkastustoimista ja havainnoista vaatimustenmukaisuuden todentamista varten.
- Liiketoiminnan jatkuvuus:
- Jatkuvuussuunnitelmat: Kehitä ja ylläpidä liiketoiminnan jatkuvuussuunnitelmia, jotka sisältävät strategioita sähkönjakeluhäiriöiden hallintaan.
- Testiaikataulut: Testaa jatkuvuussuunnitelmia säännöllisesti varmistaaksesi, että ne ovat tehokkaita ja ajan tasalla.
- Raportointi: Luo raportteja toiminnan jatkuvuustoimista osoittaaksesi valmiuden ja vaatimustenmukaisuuden.
- Dokumentaatio:
- Asiakirjamallit: Käytä malleja apuohjelmien hallintamenettelyjen ja ohjausten dokumentointiin.
- Versionhallinta: Varmista, että kaikki asiakirjat ovat versioohjattuja tarkkuuden ja asianmukaisuuden säilyttämiseksi.
- Yhteistyö: Ota tiimiyhteistyö käyttöön asiakirjojen luomisessa ja päivittämisessä varmistaaksesi kattavan ja tarkan dokumentaation.
Yksityiskohtainen liite A.7.11 Vaatimustenmukaisuuden tarkistuslista
Käytä seuraavaa yksityiskohtaista vaatimustenmukaisuuden tarkistuslistaa osoittaaksesi A.7.11 Supporting Utilities -apuohjelmien noudattamisen:
Tukipalveluiden tunnistaminen
- Tunnista kaikki tietojärjestelmän toiminnan kannalta välttämättömät apuohjelmat (esim. sähkö, vesi, kaasu, LVI, tietoliikenne).
- Dokumentoi kaikki tunnistetut apuohjelmat ja niiden riippuvuudet.
- Päivitä apuohjelmaluettelo säännöllisesti tarkistamalla.
- Käytä työkaluja, kuten ISMS.onlinen riskipankkia apuohjelmien luetteloimiseen.
Riskinarviointi
- Suorita riskiarviointi jokaiselle tunnistetulle laitokselle.
- Analysoi mahdolliset uhat sähkölaitosten saatavuudelle (esim. sähkökatkot, vesivuodot).
- Arvioi laitoshäiriöiden vaikutus toimintaan ja tietoturvaan.
- Dokumentoi ja päivitä riskiarvioinnit säännöllisesti.
- Hyödynnä ISMS.onlinen Dynamic Risk Map reaaliaikaista visualisointia ja arviointia varten.
Suojatoimenpiteet
- Ota käyttöön UPS (Uninterruptible Power Supplies) ja varageneraattorit.
- Perustaa redundantteja tietoliikennelinjoja.
- Suunnittele ja suorita LVI-järjestelmien säännöllinen huolto.
- Suojaa kodinhoitotilat ja suojaa kaapelit ja putket.
- Valvo pääsyä kriittisiin apualueisiin.
- Varmista resurssien allokointi ennaltaehkäisevään valvontaan ISMS.onlinen käytännön hallintatyökalujen avulla.
Valvonta ja ylläpito
- Ota käyttöön jatkuvat valvontajärjestelmät apuohjelmille.
- Käytä antureita ja valvontatyökaluja havaitaksesi poikkeamat tai viat reaaliajassa.
- Laadi huoltoaikataulut kaikille tukilaitoksille.
- Varmista, että huoltoaikatauluja noudatetaan kaikissa tiloissa.
- Käytä ISMS.onlinea huoltotoimien ajoittamiseen ja seurantaan.
Vahinkotapahtuma
- Laadi toimintasuunnitelmat apuohjelmien häiriöille, mukaan lukien palautusmenettelyt.
- Kouluta henkilökuntaa tapaturmien reagointimenettelyihin.
- Suorita säännöllisiä harjoituksia ja simulaatioita vastaussuunnitelmien testaamiseksi.
- Tarkista ja päivitä toimintasuunnitelmat harjoituksen tulosten ja todellisten tapahtumien perusteella.
- Käytä ISMS.onlinen Incident Tracker -ohjelmaa ja työnkulun automaatiota hallintaan ja reagoidaksesi tehokkaasti hyödyllisyystapahtumiin.
Tarkistaminen ja parantaminen
- Suunnittele säännölliset tarkastukset hyödyllisyyden hallinnan tehokkuudesta.
- Tallenna tapauksista tai häiriöistä saadut opetukset.
- Ota käyttöön parannuksia saatujen kokemusten perusteella.
- Päivitä valvontatoimenpiteet ja dokumentaatio tarvittaessa.
- Käytä ISMS.onlinen auditointi- ja dokumentointityökaluja ylläpitääksesi jatkuvaa parannussykliä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Jokainen liitteen A tarkistuslistataulukko
ISO 27001 Liite A.5 Valvontatarkistuslistataulukko
ISO 27001 Liite A.6 Valvontatarkistuslistataulukko
| ISO 27001 -valvontanumero | ISO 27001 -valvonnan tarkistuslista |
|---|---|
| Liite A.6.1 | Seulontatarkistuslista |
| Liite A.6.2 | Työehtojen tarkistuslista |
| Liite A.6.3 | Tietoturvatietoisuuden, koulutuksen ja koulutuksen tarkistuslista |
| Liite A.6.4 | Kurinpitoprosessin tarkistuslista |
| Liite A.6.5 | Työsuhteen päättymisen tai muutoksen jälkeiset vastuut - tarkistuslista |
| Liite A.6.6 | Luottamuksellisuuden tai salassapitosopimusten tarkistuslista |
| Liite A.6.7 | Etätyöskentelyn tarkistuslista |
| Liite A.6.8 | Tietoturvatapahtumaraportoinnin tarkistuslista |
ISO 27001 Liite A.7 Valvontatarkistuslistataulukko
| ISO 27001 -valvontanumero | ISO 27001 -valvonnan tarkistuslista |
|---|---|
| Liite A.7.1 | Fyysisen turvallisuuden kehän tarkistuslista |
| Liite A.7.2 | Fyysisen sisäänpääsyn tarkistuslista |
| Liite A.7.3 | Toimistojen, huoneiden ja tilojen turvallisuuden tarkistuslista |
| Liite A.7.4 | Fyysisen turvallisuuden valvonnan tarkistuslista |
| Liite A.7.5 | Fyysisiltä ja ympäristöuhkilta suojaamisen tarkistuslista |
| Liite A.7.6 | Työskentely suojatuilla alueilla tarkistuslista |
| Liite A.7.7 | Tyhjennä työpöytä ja tyhjennä näyttö |
| Liite A.7.8 | Varusteiden sijoittamisen ja suojauksen tarkistuslista |
| Liite A.7.9 | Omaisuuden turvallisuuden tarkistuslista muualla kuin toimitiloissa |
| Liite A.7.10 | Tallennusvälineiden tarkistuslista |
| Liite A.7.11 | Tukien apuohjelmien tarkistuslista |
| Liite A.7.12 | Kaapeloinnin suojauksen tarkistuslista |
| Liite A.7.13 | Laitteen huollon tarkistuslista |
| Liite A.7.14 | Laitteiden turvallisen hävittämisen tai uudelleenkäytön tarkistuslista |
ISO 27001 Liite A.8 Valvontatarkistuslistataulukko
Kuinka ISMS.online auttaa A.7.11:ssä
Varmista, että organisaatiosi on täysin ISO/IEC 27001:2022 -standardin mukainen, ja turvaa kriittiset apuohjelmasi vankilla, kattavilla hallintaratkaisuilla. ISMS.online tarjoaa työkalut ja ominaisuudet, joita tarvitaan tehokkaan apuohjelman hallinnan toteuttamiseen ja ylläpitämiseen, mikä varmistaa toiminnan kestävyyden ja turvallisuuden.
Asiantuntijamme opastavat sinut alustan läpi ja osoittavat, kuinka se voi auttaa organisaatiotasi saavuttamaan ja ylläpitämään ISO/IEC 27001:2022 -standardin mukaisuutta.
Ota ensimmäinen askel kohti turvallista ja kestävää tulevaisuutta varaa demosi nyt!
Hyppää aiheeseen
