Doel van de controle 5.30
Control 5.30 erkent de belangrijke rol die ICT-platforms en -diensten daarin spelen het handhaven van de bedrijfscontinuïteit, na een verstoring of een kritieke gebeurtenis.
Controle 5.30 schetst hoe ICT-diensten omgaan met verschillende belangrijke maatstaven en ondersteunende controles, waaronder die van een organisatie doelstelling hersteltijd (RTO) en de overall bedrijfsimpactanalyse (BIA).
Het einddoel is ervoor te zorgen dat de integriteit en beschikbaarheid van informatie behouden blijven vóór, tijdens en na een periode van bedrijfsonderbreking.
Attributen Controletabel 5.30
5.30 een correctief controle die risico's in stand houdt door het creëren van ICT-continuïteitsplannen die bijdragen aan het algemene niveau van operationele veerkracht van de organisatie.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Correctief | #Beschikbaarheid | #Antwoorden | #Continuïteit | #Veerkracht |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Algemene richtlijnen voor controle 5.30
Processen en procedures die via Controle 5.30 tot stand zijn gebracht, moeten worden opgesteld na een grondige BIA, waarin wordt overwogen hoe een organisatie nodig heeft om te reageren bij operationele verstoringen.
Een BIA moet gebruik maken van verschillende soorten impact en organisatiespecifieke variabelen om te meten hoe de bedrijfscontinuïteit zal worden beïnvloed, mocht een of alle producten en diensten onbeschikbaar of onbruikbaar zijn als gevolg van enige mate van verstoring.
Organisaties moeten twee sleutelvariabelen gebruiken om een overeengekomen RTO te formuleren, die duidelijke doelen stelt voor de hervatting van de normale bedrijfsvoering:
een) de omvang van de verstoring
b) de type dan: van de ervaren verstoring
Binnen hun BIA moeten organisaties precies kunnen specificeren welke ICT-diensten en -functies nodig zijn om herstel te realiseren, ook individueel prestatie en vereisten.
Organisaties zouden dat moeten doen een risicoanalyse ondergaan die hun ICT-systemen evalueert en de basis vormt van een ICT-continuïteitstrategie (of -strategieën) die het herstel vóór, tijdens en na een periode van verstoring versterkt.
Zodra er overeenstemming is bereikt over een strategie, moeten specifieke processen en plannen worden ingevoerd om ervoor te zorgen dat ICT-diensten veerkrachtig en adequaat genoeg zijn om bij te dragen aan het herstel van kritieke processen en systemen, vóór, tijdens en na verstoring.
In het kader van ICT-continuïteitsplannen schetst Controle 5.30 drie belangrijke richtpunten:
- ICT-incidenten vereisen vaak snelle beslissingen op het gebied van informatiebeveiliging door senior medewerkers, om het herstel te bespoedigen.
- ICT-continuïteitsplannen moeten veel aandacht krijgen, inclusief regelmatige tests en evaluaties, en goedkeuring door het senior management.
- ICT-continuïteitsplannen moeten de volgende informatie bevatten:
Organisaties moeten een robuuste commandostructuur in stand houden omvat competente personen met het vermogen om gezaghebbende beslissingen te nemen over technische zaken die verband houden met bedrijfscontinuïteit en RTO-naleving.
Organisatiestructuren moeten up-to-date zijn en breed gecommuniceerd worden, om adequate communicatie mogelijk te maken en de hersteltijden te versnellen.
Organisaties moeten testruns uitvoeren om de effectiviteit ervan te meten en belangrijke meetgegevens zoals respons- en oplossingstijden te meten.
a) prestatie- en capaciteitsvereisten van alle systemen of processen die worden gebruikt bij herstelinspanningen
b) een duidelijke RTO voor elke ICT-dienst in kwestie, en hoe de organisatie deze wil herstellen
c) Voor ieder ICT-middel wordt een Recovery Point Objective (RPO) aangewezen en er worden procedures opgesteld die ervoor zorgen dat informatie kan worden hersteld.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Wijzigingen ten opzichte van ISO 27002:2013
ISO 27002:2022, controle 5.30 is een nieuwe controle zonder voorrang in ISO 27002:2013.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. Wij moedigen u aan om medewerkers op alle niveaus van uw bedrijf bij het proces te betrekken het bouwen van uw ISMS, omdat je daarmee een echt duurzaam systeem bouwt.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
