Wat is het doel van bijlage A.17.1?
Bijlage A.17.1 gaat over de continuïteit van informatiebeveiliging. Het doel van deze bijlage A-beheersing is dat de continuïteit van informatiebeveiliging wordt ingebed in de bedrijfscontinuïteitsbeheersystemen van de organisatie. Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.
A.17.1.1 Planning van continuïteit van informatiebeveiliging
De organisatie moet haar eisen voor informatiebeveiliging en de continuïteit van het informatiebeveiligingsmanagement bepalen in ongunstige situaties, bijvoorbeeld tijdens een crisis of ramp. De beste ISMS's zullen al beschikken over bredere bijlage A-controles die de noodzaak verzachten om een noodherstelproces of een bedrijfscontinuïteitsplan te implementeren in overeenstemming met A.17.
Ondanks die inspanningen kunnen er nog steeds grotere, verstorende incidenten plaatsvinden, dus het is belangrijk om daarop voorbereid te zijn. Wat gebeurt er als een groot datacenter met uw informatie en applicaties niet meer beschikbaar is? Wat gebeurt er bij een grote datalek, een ransomware-aanval, een belangrijke medewerker van het bedrijf die niet meer kan werken, of misschien het hoofdkantoor dat te maken krijgt met een grote overstroming?
Na de verschillende gebeurtenissen en scenario's te hebben overwogen die moeten worden gepland, kan de organisatie het plan vervolgens in alle details documenteren die nodig zijn om aan te tonen dat zij de problemen begrijpt en de stappen die nodig zijn om deze aan te pakken.
ISO 22301 biedt een meer gestructureerde benadering van bedrijfscontinuïteit die zeer elegant aansluit bij de belangrijkste eisen van ISO 27001.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
A.17.1.2 Implementatie van informatiebeveiligingscontinuïteit
De organisatie moet processen, procedures en controles vaststellen, documenteren, implementeren en onderhouden om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ontwrichtende situatie te garanderen. Zodra de vereisten zijn geïdentificeerd, moet de organisatie beleid, procedures en andere fysieke of technische controles implementeren die adequaat en proportioneel zijn om aan deze vereisten te voldoen.
Beschrijving van de verantwoordelijkheden, activiteiten, eigenaren, tijdschema's en uit te voeren verzachtende werkzaamheden (buiten risico's en beleid dat al in werking is, bijvoorbeeld crisiscommunicatie). Er moeten een managementstructuur en relevante escalatietriggerpunten worden geïdentificeerd om ervoor te zorgen dat als en wanneer een gebeurtenis in ernst toeneemt, de relevante escalatie naar de juiste autoriteit effectief en tijdig plaatsvindt. Het moet ook duidelijk worden gemaakt wanneer er sprake is van een terugkeer naar de normale gang van zaken en eventuele BCP-processen worden stopgezet.
A.17.1.3 De continuïteit van informatiebeveiliging verifiëren, beoordelen en evalueren
De organisatie moet de vastgestelde en geïmplementeerde controles op de continuïteit van de informatiebeveiliging met regelmatige tussenpozen verifiëren om er zeker van te zijn dat deze in deze situaties geldig en effectief zijn. De controles die zijn geïmplementeerd voor de continuïteit van de informatiebeveiliging moeten periodiek worden getest, herzien en geëvalueerd om ervoor te zorgen dat ze worden gehandhaafd tegen veranderingen in de bedrijfsvoering, technologieën en risiconiveaus.
De auditor zal willen zien dat er bewijs is van; Periodiek testen van plannen en controles; Logboeken van planaanroepen en de ondernomen acties tot oplossing en geleerde lessen; en periodieke evaluatie en verandermanagement om ervoor te zorgen dat plannen tegen veranderingen in stand blijven.
Wat is het doel van bijlage A.17.2?
Bijlage A.17.2 gaat over ontslagen. Het doel van deze bijlage A-controle is het waarborgen van de beschikbaarheid van informatieverwerkingsfaciliteiten.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
A.17.2.1 Beschikbaarheid van informatieverwerkingsfaciliteiten
Een goede controle beschrijft hoe informatieverwerkingsfaciliteiten worden geïmplementeerd met voldoende redundantie om aan de beschikbaarheidsvereisten te voldoen. Redundantie verwijst naar het implementeren van, doorgaans, dubbele hardware om de beschikbaarheid van informatieverwerkingssystemen te garanderen. Het principe is dat als een of meer items falen, er overtollige items zijn die het overnemen.
Cruciaal hiervoor is het periodiek testen van redundante componenten en systemen om ervoor te zorgen dat de failover binnen een redelijk tijdsbestek wordt gerealiseerd. Redundante componenten moeten op hetzelfde niveau of op een hoger niveau worden beschermd dan de primaire componenten.
Veel organisaties maken gebruik van cloudgebaseerde providers, zodat ze ervoor willen zorgen dat redundantie effectief wordt aangepakt in hun contracten met leveranciers en als onderdeel van het beleid in A.15.
De auditor verwacht dat er periodiek wordt getest, waarbij overtollige componenten en systemen aanwezig zijn en onder controle van de organisatie staan.
