ISO 27001:2022 Bijlage A Controle 8.14

Redundantie van informatieverwerkingsfaciliteiten

Boek een demo

blauw,schoon,glas,muur,van,modern,wolkenkrabber
  • Bekijk ISO 27002:2022 Controle 8.14 voor meer informatie.

  • Bekijk ISO 27001:2013 Bijlage A 17.2.1 voor meer informatie.

    • Doel van ISO 27001:2022 Bijlage A 8.14

    An 'informatieverwerkingsfaciliteit' (IPF) is een algemene term die wordt gebruikt om te verwijzen naar elke informatie- en communicatietechnologie (ICT)-infrastructuur die de gegevensverwerking afhandelt, zoals IT-apparatuur, software en fysieke faciliteiten.

    IPF's zijn essentieel voor het behoud van de bedrijfscontinuïteit en het garanderen van de efficiënte werking van de ICT-netwerk(en) van een organisatie. Om de veerkracht te vergroten moeten organisaties strategieën in praktijk brengen die de redundantie van hun IPF’s vergroten – bijvoorbeeld faalveilige technieken en procedures die het risico op falen, misbruik of inbreuk op systemen en gegevens verkleinen.

    Eigendom van bijlage A 8.14

    ISO 27001:2022 bijlage A 8.14 heeft betrekking op het vermogen van een organisatie om haar activiteiten voort te zetten in het geval van kritieke of kleine storingen die de veerkracht kunnen aantasten. Daarom, de Chief Operating Officer, of een equivalent daarvan, zou verantwoordelijk moeten zijn voor deze controle.

Ga naar onderwerp

Leidraad voor ISO 27001:2022 bijlage A 8.14 Naleving

Het primaire doel van bijlage A 8.14 is het verbeteren van de toegankelijkheid van zakelijke diensten en informatiesystemen, die kunnen worden geïnterpreteerd als elk onderdeel van een netwerk dat de activiteiten van het bedrijf vergemakkelijkt.

ISO 27001:2022 bijlage A 8.14 beveelt duplicatie aan als de belangrijkste manier om redundantie te verkrijgen tussen de verschillende IPF's, met name door het bijhouden van een voorraad reserveonderdelen, dubbele componenten (hardware en software) en extra randapparatuur.

Organisaties moeten ervoor zorgen dat defecte IPF's snel worden gedetecteerd en dat er snel herstelmaatregelen worden genomen, hetzij door een failover uit te voeren op back-uphardware, hetzij door de defecte IPF onmiddellijk te repareren.

Organisaties moeten bij het ontwerpen en installeren van redundantiemaatregelen rekening houden met het volgende:

  • Het aangaan van commerciële relaties met twee verschillende serviceproviders kan het risico van een volledige uitval helpen minimaliseren in het geval van een kritiek incident, zoals een ISP of VoIP-provider.

  • Het naleven van best practices op het gebied van redundantie bij het ontwerpen van datanetwerken (zoals secundaire DC's en redundante BUDR-systemen).

  • Het benutten van geografisch uiteenlopende locaties bij het uitbesteden van datadiensten, met name voor bestandsopslag en/of datacentervoorzieningen, is essentieel.

  • Schaf energiesystemen aan die, indien nodig, geheel of gedeeltelijk redundantie leveren.

  • Het gebruik van taakverdeling en automatische failover tussen dubbele, redundante softwarecomponenten of systemen verhoogt de realtime prestaties en veerkracht na een kritieke gebeurtenis. Dit is vooral relevant bij het gebruik van een operationeel model met zowel publieke cloud- als on-premise-diensten. Door redundante systemen regelmatig in de productiemodus te testen, zorgt u ervoor dat failover-systemen naar behoren functioneren.

  • Dupliceer fysieke ICT-componenten, zowel binnen servers en bestandsopslaglocaties (RAID-arrays, CPU's) als alle functionerende als netwerkapparaat (firewalls, redundante switches), om de continuïteit van de dienstverlening te garanderen. Firmware-updates moeten worden uitgevoerd op alle gekoppelde en redundante apparaten.

Aanvullend richtsnoer bij bijlage A 8.14

ISO 27001:2022 bijlage A Controle 8.14 erkent het verband tussen betrouwbare, redundante systemen en bedrijfscontinuïteitsplanning (zie ISO 27001:2022 bijlage A 5.30), en moedigt organisaties aan om deze te zien als onderdeel van het antwoord op veelvoorkomende problemen.

Het is essentieel om te bedenken dat het bij bedrijfsapplicaties enorm moeilijk is om grote fouten binnen de applicatie zelf aan te pakken (vooral bij het gebruik van beheerde applicaties).

Bijbehorende bijlage A-controles

  • ISO 27001:2022 Bijlage A 5.30

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.14 vervangt ISO 27001:2013 Bijlage A 17.2.1 (Beschikbaarheid van informatieverwerkingsfaciliteiten).

27001:2022 bijlage A 8.14 markeert een grote vooruitgang vergeleken met 27001:2013 bijlage A 17.2.1, waarbij het verschil tussen de twee controles de belangrijkste verschuiving van de gehele herziening van ISO 27001:2022 vormt.

27001:2013 Annex A 17.2.1 biedt een korte schets van de behoefte aan redundantie, terwijl 27001:2022 Annex A 8.14 uitgebreide instructies geeft over hoe deze te implementeren in on-premise, cloudgebaseerde, logische en fysieke componenten.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Bij ISMS.online hebben we een grondig en eenvoudig systeem gecreëerd om u te helpen dit uit te voeren ISO 27001:2022 beheert en beheert uw gehele ISMS.

ISMS.online faciliteert de adoptie van ISO 27001:2022, die een instrumentarium biedt om het beheer van informatiebeveiliging in uw organisatie te vergemakkelijken. Het zal risico's identificeren, controles bedenken om deze risico's te verminderen, en vervolgens de implementatie van deze controles in de organisatie aantonen.

Neem vandaag nog contact op met boek een demonstratie.

Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.

Peter Risdon
CISO, Viitaal

Boek uw demo

Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Mark Wightman
Chief Technical Officer Aluma
100% van onze gebruikers slaagt in de eerste keer voor de certificering
Boek uw demo

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie