ISO 27002:2022, Ohjaus 8.6, Kapasiteetin hallinta

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Valvonnan tarkoitus 8.6

Kapasiteetin hallinta ICT:n yhteydessä ei rajoitu varmistamaan, että organisaatioilla on riittävästi tilaa palvelimilla ja niihin liittyvillä tallennusvälineillä tietojen käyttöä ja varmuuskopiointi- ja katastrofipalautusta (BUDR) varten.

Organisaatioiden on varmistettava, että niillä on kyky toimia erilaisilla resursseilla, jotka vastaavat monenlaisia liiketoimintatoimintoja, mukaan lukien HR, tiedonkäsittely, fyysisten toimistotilojen ja niihin liittyvien tilojen hallinta.

Kaikki nämä toiminnot voivat vaikuttaa haitallisesti organisaation tiedonhallinnan valvontaan.

Ohjaus 8.6 on kaksikäyttöinen ehkäisevä ja etsivä valvonta että ylläpitää riskiä ottamalla käyttöön havaitsevia valvontatoimia, jotka tunnistavat ja ylläpitävät riittävää kapasiteettia tietojen käsittelyyn koko organisaatiossa.

Attribuuttien ohjaustaulukko 8.6

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Integrity	#Suojella	#Jatkuvuus	#Hallinto ja ekosysteemi
#Etsivä	#Saatavuus	#Tunnistaa		#Suojaus
		#Havaita

Määräysvallan omistus 8.6

Ohjaus 8.6 käsittelee organisaation kykyä toimia jatkuvasti yrityksenä.

Sellaisenaan omistuksen tulisi kuulua Chief Operating Officerille (tai vastaavalle organisaatiolle), joka on vastuussa organisaation liiketoimintojen päivittäisestä eheydestä ja tehokkuudesta.

Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo

Yleiset valvontaohjeet 8.6

Yleisesti ottaen, jotka eivät ole ainutlaatuisia vain tietylle resurssityypille, Control 8.6 sisältää 7 yleistä ohjekohtaa:

Organisaatioiden tulee harkita toiminnan jatkuvuus etusijalla kun toteutetaan kapasiteetin hallinnan valvontaa, mukaan lukien havaitsevien tarkastusten tukkumyynti, jotka ilmoittavat mahdollisista ongelmista ennen niiden ilmenemistä.
Kapasiteetin hallinnan tulisi perustua proaktiivisiin toimintoihin viritys ja seuranta. Molempien näiden elementtien tulisi toimia harmoniassa sen varmistamiseksi, että järjestelmät ja liiketoimintatoiminnot eivät vaarannu.
Toiminnallisesti organisaatioiden tulisi suorittaa säännöllisesti stressitestit jotka tutkivat järjestelmien kykyä vastata liiketoiminnan yleisiin tarpeisiin. Tällaiset testit olisi muotoiltava tapauskohtaisesti ja niiden on oltava merkityksellisiä sen toiminta-alueen kannalta, jolle ne on kohdistettu.
Koko hallinnan valvontaa ei pitäisi rajoittua vain organisaatioon nykyinen tieto- tai toiminnalliset tarpeet, ja siihen olisi sisällyttävä kaupallista ja teknistä laajentamista koskevat suunnitelmat (sekä fyysisestä että digitaalisesta näkökulmasta), jotta ne pysyisivät mahdollisimman tulevaisuudenkelpoisina.
Organisaation resurssien laajentamiseen liittyy vaihtelevia toimitusaikoja ja kustannuksia riippuen kyseessä olevasta järjestelmästä tai liiketoimintatoiminnosta. Kalliimpia ja vaikeammin laajennettavia resursseja olisi tarkasteltava enemmän, jotta ne voidaan turvata. liiketoiminnan jatkuvuus.
Ylimmän johdon tulee olla tietoinen yksittäisistä epäonnistumisista, jotka liittyvät riippuvuuteen avainhenkilöistä tai yksittäisistä resursseista. Jos jompikumpi näistä tekijöistä aiheuttaa vaikeuksia, se voi usein johtaa komplikaatioihin, joita on huomattavasti vaikeampi korjata.
Muotoile a kapasiteetti hallintasuunnitelma, joka koskee erityisesti liiketoimintakriittisiä järjestelmiä ja liiketoiminnot.

Ohjeistus – kysynnän hallinta

27002:2022-8.6 kannattaa kaksitahoista lähestymistapaa kapasiteetin hallintaan, joka joko lisää kapasiteettiatai vähentää kysyntää resurssin tai resurssien joukon perusteella.

Kun organisaatiot pyrkivät lisäämään kapasiteettia, niiden tulee:

Harkitse uusien työntekijöiden palkkaamista liiketoimintojen suorittamiseen.
Osta, vuokraa tai vuokraa uusia tiloja tai toimistotilaa.
Osta, vuokraa tai vuokraa lisäkäsittelyä, tallennustilaa ja RAM-muistia (joko paikan päällä tai pilvipalvelussa).
Harkitse käyttöä joustava ja skaalautuva pilviresurssit, jotka laajenevat laskennan myötä organisaation tarpeisiin, minimaalisella väliintulolla.

Pyrkiessään vähentämään kysyntää organisaatioiden tulee:

Poista vanhentuneet tiedot vapauttaaksesi tallennustilaa palvelimilta ja liitetyiltä tietovälineiltä.
Hävitä kaikki paperikopiot turvallisesti tietoa, jota organisaatio ei enää tarvitse, eikä sitä ole lain mukaan vaadittu hankkimaan lain tai sääntelyelimen kautta.
Poista käytöstä kaikki ICT-resurssit, -sovellukset tai virtuaaliympäristöt, joita ei enää tarvita.
Tarkkaile ajoitettuja ICT-tehtäviä (mukaan lukien raportit, automaattiset ylläpitotoiminnot ja eräprosessit) optimoidaksesi muistiresurssit ja vähentääksesi tulostettujen tietojen tallennustilaa.
Optimoi kaikki sovelluskoodit tai tietokantakyselyt, joita suoritetaan riittävän säännöllisesti, jotta ne vaikuttavat organisaation toimintakykyyn.
Rajoita kaistanleveyden määrää, joka on varattu ei-kriittisiin toimintoihin organisaation verkon rajojen sisällä. Tähän voi sisältyä Internet-käytön rajoittaminen ja videon/äänen suoratoiston estäminen työlaitteista.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo

Muutokset ja erot standardista ISO 27002:2013

27002:2022-8.6 korvaa 27002:2013-12.1.3 (kapasiteetin hallinta).

27002:2022-8.6 sisältää paljon kattavamman joukon ohjeita, jotka opastavat organisaatioita joko lisäämään kapasiteettia tai vähentämään kysyntää.

Tämän lisäksi 27002:2013-12.1.3 ei sisällä erityisiä ohjeita kapasiteetin lisäämisestä, toisin kuin 27002:2022-8.6, jossa hahmotellaan erityisiä toimintatapoja, jotka johtavat operatiivisempaan hengitystilaan.

27002:2013-12.1.3 ei myöskään sisällä ohjeita toimintakyvyn stressitestaukseen tai muuten tarkastaa organisaation toimintakyky hallita kapasiteettia jatkuvasti kapasiteetinhallintasuunnitelman suosittelemisen lisäksi.

Viime vuosikymmenen aikana tapahtuneen pilvipalveluiden nousun mukaisesti 27002:2022-8.6 on selkeästi neuvonut organisaatioita käyttämään pilvipohjaisia resursseja, jotka skaalautuvat automaattisesti liiketoiminnan vaatimusten mukaan.

27002:2013-12.1.3 ei sisällä tällaista mainintaa toimipaikan ulkopuolisista varastoista tai laskentatiloista.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	Uusi	Uhan älykkyys
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	Uusi	Fyysisen turvallisuuden valvonta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.16	Uusi	Toimien seuranta
8.23	Uusi	Web-suodatus
8.28	Uusi	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	Uusi	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	Uusi	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	Uusi	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	Uusi	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	Uusi	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisen tarkistusluettelomme avulla, joka opastaa sinut koko prosessin läpi. Täydellinen vaatimustenmukaisuusratkaisusi ISO / IEC 27002: 2022.

Jopa 81 % edistystä sisäänkirjautumisen jälkeen
Yksinkertainen ja täydellinen vaatimustenmukaisuusratkaisu

Ota yhteyttä jo tänään varaa esittely.

ISO 27002:2022 – Ohjaus 8.6 – Kapasiteetin hallinta