ISO 27001 – Bijlage A.17: Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

Wat is het doel van bijlage A.17.1?

Bijlage A.17.1 gaat over de continuïteit van informatiebeveiliging. Het doel van deze bijlage A-beheersing is dat de continuïteit van informatiebeveiliging wordt ingebed in de bedrijfscontinuïteitsbeheersystemen van de organisatie. Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.17.1.1 Planning van continuïteit van informatiebeveiliging

De organisatie moet haar eisen voor informatiebeveiliging en de continuïteit van het informatiebeveiligingsmanagement bepalen in ongunstige situaties, bijvoorbeeld tijdens een crisis of ramp. De beste ISMS's zullen al beschikken over bredere bijlage A-controles die de noodzaak verzachten om een ​​noodherstelproces of een bedrijfscontinuïteitsplan te implementeren in overeenstemming met A.17.

Ondanks deze inspanningen kunnen er nog steeds grotere, ontwrichtende incidenten plaatsvinden, dus het plannen ervan is belangrijk. Wat gebeurt er als een groot datacenter met uw informatie en applicaties daarin niet meer beschikbaar is? Wat gebeurt er als er een groot datalek plaatsvindt, er een ransomware-aanval plaatsvindt, een sleutelfiguur in het bedrijf buiten werking is, of als het hoofdkantoor te maken krijgt met een grote overstroming...?

Na de verschillende gebeurtenissen en scenario's te hebben overwogen die moeten worden gepland, kan de organisatie het plan vervolgens in alle details documenteren die nodig zijn om aan te tonen dat zij de problemen begrijpt en de stappen die nodig zijn om deze aan te pakken.

ISO 22301 biedt een meer gestructureerde benadering van bedrijfscontinuïteit die zeer elegant aansluit bij de belangrijkste eisen van ISO 27001.

A.17.1.2 Implementatie van informatiebeveiligingscontinuïteit

De organisatie moet processen, procedures en controles vaststellen, documenteren, implementeren en onderhouden om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ontwrichtende situatie te garanderen. Zodra de vereisten zijn geïdentificeerd, moet de organisatie beleid, procedures en andere fysieke of technische controles implementeren die adequaat en proportioneel zijn om aan deze vereisten te voldoen.

Beschrijving van de verantwoordelijkheden, activiteiten, eigenaren, tijdschema's en uit te voeren verzachtende werkzaamheden (buiten risico's en beleid dat al in werking is, bijvoorbeeld crisiscommunicatie). Er moeten een managementstructuur en relevante escalatietriggerpunten worden geïdentificeerd om ervoor te zorgen dat als en wanneer een gebeurtenis in ernst toeneemt, de relevante escalatie naar de juiste autoriteit effectief en tijdig plaatsvindt. Het moet ook duidelijk worden gemaakt wanneer er sprake is van een terugkeer naar de normale gang van zaken en eventuele BCP-processen worden stopgezet.

A.17.1.3 De continuïteit van informatiebeveiliging verifiëren, beoordelen en evalueren

De organisatie moet de vastgestelde en geïmplementeerde controles op de continuïteit van de informatiebeveiliging met regelmatige tussenpozen verifiëren om er zeker van te zijn dat deze in deze situaties geldig en effectief zijn. De controles die zijn geïmplementeerd voor de continuïteit van de informatiebeveiliging moeten periodiek worden getest, herzien en geëvalueerd om ervoor te zorgen dat ze worden gehandhaafd tegen veranderingen in de bedrijfsvoering, technologieën en risiconiveaus.

De auditor zal willen zien dat er bewijs is van; Periodiek testen van plannen en controles; Logboeken van planaanroepen en de ondernomen acties tot oplossing en geleerde lessen; en periodieke evaluatie en verandermanagement om ervoor te zorgen dat plannen tegen veranderingen in stand blijven.

Wat is het doel van bijlage A.17.2?

Bijlage A.17.2 gaat over ontslagen. Het doel van deze bijlage A-controle is het waarborgen van de beschikbaarheid van informatieverwerkingsfaciliteiten.

A.17.2.1 Beschikbaarheid van informatieverwerkingsfaciliteiten

Een goede controle beschrijft hoe informatieverwerkingsfaciliteiten worden geïmplementeerd met voldoende redundantie om aan de beschikbaarheidsvereisten te voldoen. Redundantie verwijst naar het implementeren van, doorgaans, dubbele hardware om de beschikbaarheid van informatieverwerkingssystemen te garanderen. Het principe is dat als een of meer items falen, er overtollige items zijn die het overnemen.

Cruciaal hiervoor is het periodiek testen van redundante componenten en systemen om ervoor te zorgen dat de failover binnen een redelijk tijdsbestek wordt gerealiseerd. Redundante componenten moeten op hetzelfde niveau of op een hoger niveau worden beschermd dan de primaire componenten.

Veel organisaties maken gebruik van cloudgebaseerde providers, zodat ze ervoor willen zorgen dat redundantie effectief wordt aangepakt in hun contracten met leveranciers en als onderdeel van het beleid in A.15.

De auditor verwacht dat er periodiek wordt getest, waarbij overtollige componenten en systemen aanwezig zijn en onder controle van de organisatie staan.