Valvonnan tarkoitus 8.14
An 'tietojenkäsittelylaitos' (IPF) on laaja termi, jota käytetään kuvaamaan mitä tahansa ICT-infrastruktuurin osaa, joka liittyy tietojen käsittelyyn, kuten IT-laitteet, ohjelmistot ja fyysiset tilat ja paikat.
IPF:illä on keskeinen rooli liiketoiminnan jatkuvuuden ylläpitämisessä ja organisaation ICT-verkoston/-verkostojen moitteettoman toiminnan varmistamisessa. Kestävyyden lisäämiseksi organisaatioiden on otettava käyttöön toimenpiteitä, jotka lisäävät niiden IPF:ien redundanssia – eli vikaturvallisia menetelmiä ja prosesseja, jotka vähentävät järjestelmiin ja tietoihin kohdistuvaa riskiä vian, väärinkäytön tai tunkeutumisen yhteydessä.
Attribuuttien ohjaustaulukko 8.14
Ohjaus 8.14 on a ennaltaehkäisevä valvonta että ylläpitää riskiä toteuttamalla suunnitelmia ja menettelytapoja, jotka ylläpitävät tietojenkäsittelylaitosten jatkuvaa toimintaa, sekä valtakirjalla organisaation koko ICT-verkkoa.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Saatavuus | #Suojella | #Jatkuvuus | #Suojaus |
| #Vahvuuksien hallinta | #Kestävyys |
Määräysvallan omistus 8.14
Ohjaus 8.14 käsittelee organisaation kykyä jatkaa liiketoimintaa kriittisten tai vähäisten vikojen sattuessa, jotka voivat vaikuttaa kestävyyteen. Sellaisenaan 8.14:n omistusoikeuden tulisi kuulua Chief Operating Officerille tai vastaavalle organisaatiolle.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset noudattamisohjeet
Control 8.14:n päätavoite on lisätä ISO:n katsomien tuotteiden saatavuutta Liikepalvelut ja tietojärjestelmä, joka voidaan tulkita mille tahansa verkoston osa-alueeksi, joka mahdollistaa organisaation liiketoiminnan harjoittamisen.
Control 8.14 kannattaa jäljentäminen Ensisijaisina menetelminä redundanssin saavuttamiseksi sen eri IPF:issä, ensisijaisesti ylläpitämällä varaosien, päällekkäisten komponenttien (laitteiston ja ohjelmiston) ja lisäoheislaitteiden luetteloa.
Redundantti järjestelmä on juuri niin hyvä kuin sen hälyttää laitos. Sellaisenaan organisaatioiden tulee varmistaa, että vialliset IPF:t havaitaan nopeasti ja korjaavat toimet joko siirtyvät valmiustilaan tai korjaamaan viallinen IPF mahdollisimman nopeasti.
Varmistustoimenpiteitä suunniteltaessa ja asentaessaan organisaatioiden tulee ottaa huomioon seuraavat asiat:
- Kaupalliseen suhteeseen ryhtyminen kanssa kaksi erillistä palveluntarjoajaa, vähentääkseen yleiskatkosten riskiä kriittisen tapahtuman sattuessa (esim. Internet-palveluntarjoaja tai VoIP-palveluntarjoaja).
- Redundanssiperiaatteiden noudattaminen suunnittelussa tietoverkot (toissijaiset DC:t, redundantit BUDR-järjestelmät jne.).
- Hyödyntämällä maantieteellisesti erillisiä paikkoja tilattaessa datapalveluita, erityisesti kun on kyse tiedostojen varastointi- ja/tai datakeskustiloista.
- Osto- sähköjärjestelmät joilla on kyky saavuttaa redundanssi joko kokonaan tai osittain tarpeen mukaan.
- Käyttäminen kuormituksen tasapainoittaminen ja automaattinen vika kahden identtisen, redundantin ohjelmistokomponentin tai järjestelmän välillä parantaakseen sekä reaaliaikaista suorituskykyä että kestävyyttä kriittisen tapahtuman jälkeen. Tämä on erityisen tärkeää harkittaessa toimintamallia, joka kattaa sekä julkiset pilvipalvelut että paikalliset palvelut. Redundantteja järjestelmiä tulee testata säännöllisesti (jos mahdollista) tuotantotilassa sen varmistamiseksi, että vikasietojärjestelmät toimivat oikein.
- Fyysisten ICT-komponenttien monistaminen sekä palvelimissa että tiedostojen tallennuspaikoissa (RAID-ryhmät, prosessorit) ja kaikki, jotka toimivat verkkolaitteena (palomuurit, redundantit kytkimet). Laiteohjelmistopäivitykset tulee suorittaa kaikille linkitetyille ja redundanteille laitteille jatkuvuuden varmistamiseksi.
Valvontaa koskevat lisäohjeet 8.14
Control 8.14 tunnustaa luontaisen yhteyden kestävien, redundanttien järjestelmien ja liiketoiminnan jatkuvuuden suunnittelun välillä (katso Control 5.30) ja pyytää organisaatioita harkitsemaan molempia osana ratkaisua samoihin haasteisiin.
On tärkeää huomata, että yrityssovellusten osalta on erittäin vaikeaa ottaa huomioon kriittisiä virheitä itse sovelluksessa (erityisesti hallittujen sovellusten tapauksessa).
Ohjaimet tukevat
- 5.30
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002:2022-8.14 korvaa standardin ISO 27002:2003-17.2.1 (tietojenkäsittelylaitteiden saatavuus).
27002:2022-8.14 on valtava toiminnallinen harppaus 27002:2003-17.2.1:stä, ja näiden kahden säätimen välinen ero edustaa suurinta muutosta koko ISO 27002:2022 -päivityksen aikana.
27002:2003-17.2.1 sisältää vain muutaman pinnallisen kappaleen redundanssin saavuttamisen tarpeesta, kun taas 27002:2022-8.14 sisältää laajat ohjeet siitä, miten tämä saavutetaan tarkalleen paikallisten, pilvipohjaisten, loogisten ja fyysisten komponenttien välillä.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISMS.onlinessa olemme rakentaneet kattavan ja helppokäyttöisen järjestelmän, jonka avulla voit ottaa käyttöön ISO 27002 -säätimiä ja hallita koko ISMS:ääsi.
ISMS.online helpottaa ISO 27002:n käyttöönottoa tarjoamalla joukon työkaluja, jotka auttavat sinua hallitsemaan tietoturvaa organisaatiossasi. Se auttaa sinua tunnistamaan riskit ja kehittämään hallintakeinoja riskien vähentämiseksi ja sen jälkeen näyttää, kuinka ne toteutetaan organisaatiossa.
Ota yhteyttä jo tänään aikataulun esittely.
Hyppää aiheeseen
