ISO 27701, lauseke 6.14: Tietoturvan jatkuvuuden turvaaminen
Jatkuvuussuunnittelu tarkoittaa pähkinänkuoressa sen varmistamista, että organisaatio pystyy jatkamaan liiketoimintaa, kun ongelmia ilmenee ja tietosuojatiedot – tai kokonaiset tiedonkäsittelylaitteet – vaarantuvat tai eivät ole käytettävissä.
Liiketoiminnan jatkuvuus liittyy läheisesti varmuuskopiointiin ja katastrofipalautukseen (BUDR) – tekniseen ICT-konseptiin, joka kattaa redundanssikerrokset, varmuuskopiot, resurssien päällekkäisyyden ja hälytyksen.
Mitä ISO 27701:n lauseke 6.14 kattaa
ISO 27701 keskittyy jatkuvuudenhallinnan kahteen avainalueeseen, yksityisyyden tietoturva ja irtisanominen, neljässä alalauseessa:
- ISO 27701 6.14.1.1 – Tietoturvan jatkuvuuden suunnittelu (ISO 27002 Ohjaus 5.29)
- ISO 27701 6.14.1.2 – Tietoturvan jatkuvuuden toteuttaminen (ISO 27002 Control 5.29)
- ISO 27701 6.14.1.3 – Tietoturvan jatkuvuuden tarkistaminen, uudistaminen ja arviointi (ISO 27002 Control 5.29)
- ISO 27701 6.14.2.1 – Tietojenkäsittelytoimintojen saatavuus (ISO 27002 Control 8.14)
Jokainen alakohta sisältää ohjeita ISO 27002:sta, jota sovelletaan tietosuojan tietoturvan yhteydessä.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 6.14.1.1 – Tietoturvan jatkuvuuden suunnittelu
Viitteet ISO 27002 Control 5.29
Organisaatioiden tulee harkita yksityisyyden tietoturvaa kiinteänä osana laajempaa liiketoiminnan jatkuvuuden hallintamenettelyä.
ISO pyytää organisaatiota keskittymään kahteen avainalueeseen liiketoiminnan jatkuvuussuunnitelmia laadittaessa:
- Luottamuksellisuuden menetys
- Tietojen eheys
Tietosuojatietoturvan eheys tulee säilyttää aina. Jos henkilökohtaisia tunnistetietoja tai yksityisyyteen liittyvää omaisuutta vaarannetaan jollakin tavalla, organisaatioiden tulee tehdä kaikkensa palauttaakseen ne oikea-aikaisesti ja tehokkaasti ja samalle tasolle ennen häiriötä.
Organisaatioiden tulee:
- Käytä yleisten tietosuojatietojen suojaustoimintoja, jotka toimivat sopusoinnussa liiketoiminnan jatkuvuussuunnitelmien kanssa.
- Noudata prosesseja, jotka ylläpitävät yksityisyyden suojan valvontaa liiketoiminnan keskeytyksen tai menetyksen ajan.
Jos yksityisyyden suojan valvontaa ei ole mahdollista ylläpitää milloin tahansa (etenkin häiriöaikoina), organisaatioiden tulee ottaa käyttöön "kompensoiva" valvonta, jolla pyritään saavuttamaan mahdollisimman korkea tietoturvan taso.
ISO 27701 lauseke 6.14.1.2 – Tietoturvan jatkuvuuden toteuttaminen
Viitteet ISO 27002 Control 5.29
Katso ISO 27701 lauseke 6.14.1.1
ISO 27701 lauseke 6.14.1.3 – Tietoturvan tarkistaminen, uudistaminen ja arviointi
Viitteet ISO 27002 Control 5.29
Katso ISO 27701 lauseke 6.14.1.1
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 lauseke 6.14.2.1 – Tietojenkäsittelytoimintojen saatavuus
Viitteet ISO 27002 Control 8.14
Organisaatioiden tulee pyrkiä varmistamaan, että yrityspalvelut ja tietosuojatietojärjestelmät ovat aina toiminnassa.
ISO suosittelee päällekkäisyyttä redundanssimekanismiksi – organisaatioiden tulee pitää luetteloa varaosista, päällekkäisistä laitteisto- ja ohjelmistokomponenteista, varaverkkolaitteista ja oheislaitteista, jotka voidaan vaihtaa verkon viallisiin kohteisiin.
Hälytykset tulisi määrittää, jotta voidaan ensin tunnistaa epäonnistuneet tietosuojatietojen käsittelylaitteet ja jotta vaihtoehtoiset järjestelmät saadaan käyttöön mahdollisimman nopeasti.
Organisaatioiden tulee:
- Varmista jatkuva suhde kahden erillisen palveluntarjoajan kanssa, mikä vähentää seisokkien riskiä.
- Harkitse redundanssitoimenpiteitä, kun suunnittelet ja toteutat verkkoja, kuten useita toimialueen ohjaimia ja BUDR-suunnitelmia.
- Käytä maantieteellisesti erillisiä sijainteja varmuuskopiointiin ja niihin liittyviin tietopalveluihin.
- Hyödynnä tunnettuja alan tekniikoita, kuten kuormituksen tasapainotusta ja automaattista vikasietoa kahden identtisen redundantin ohjelmistokomponentin tai järjestelmän välillä.
- Testaa säännöllisesti redundanssitoimenpiteitä varmistaaksesi, että ne pystyvät täyttämään liiketoiminnan vaatimukset, kun niitä pyydetään.
- Käytä päällekkäisiä tallennuskomponentteja (RAID-ryhmät, prosessorit) ja verkkolaitteita, joiden laiteohjelmistoversiot ovat yhteensopivia.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.14.1.1 | Tietoturvan jatkuvuuden suunnittelu |
5.29 – Tietoturva häiriön aikana ISO 27002:lle |
Ei eristetty |
| 6.14.1.2 | Tietoturvan jatkuvuuden toteuttaminen |
5.29 – Tietoturva häiriön aikana ISO 27002:lle |
Ei eristetty |
| 6.14.1.3 | Tarkista, uusi ja arvioi tietoturvan jatkuvuus |
5.29 – Tietoturva häiriön aikana ISO 27002:lle |
Ei eristetty |
| 6.14.2.1 | Tietojenkäsittelylaitteiden saatavuus |
8.14 – ISO 27002:n tietojenkäsittelytoimintojen redundanssi |
Ei eristetty |
Miten ISMS.online auttaa
ISMS.online-ratkaisumme helpottavat organisaatioiden projektien valvontaa varmistaen, että rekisterinpitäjän ja käsittelijän käytännöt ja menettelyt ovat ISO-standardin mukaisia.
Verkkojärjestelmämme varmistaa myös, että järjestelmän toteuttajilla on yksi paikka viitteelle ja yhteistyölle. Assured Results Method (ARM) -menetelmämme avulla voit olla varma, että valitset kaikki ruudut, joita tarvitset standardin noudattamiseksi.
Lisätietoja: varata käytännön demo.
