ISO 27701 Clausule 6.14: Waarborgen van continuïteit in informatiebeveiliging
Continuïteitsplanning betekent in een notendop dat ervoor wordt gezorgd dat een organisatie zaken kan blijven doen wanneer zich problemen voordoen en privacy-informatie – of volledige informatieverwerkingsfaciliteiten – in gevaar komen of niet meer beschikbaar zijn.
Bedrijfscontinuïteit is nauw verbonden met backup en disaster recovery (BUDR) – een technisch ICT-concept dat redundantielagen, backups, duplicatie van activa en waarschuwingen omvat.
Wat wordt er behandeld in ISO 27701, clausule 6.14
ISO 27701 richt zich op twee belangrijke gebieden van continuïteitsmanagement: beveiliging van privacy-informatie en overtolligheid, verdeeld over 4 subclausules:
- ISO 27701 6.14.1.1 – Planning van de continuïteit van informatiebeveiliging (ISO 27002 Controle 5.29)
- ISO 27701 6.14.1.2 – Implementatie van informatiebeveiligingscontinuïteit (ISO 27002 Controle 5.29)
- ISO 27701 6.14.1.3 – Verifieer, vernieuw en evalueer de continuïteit van informatiebeveiliging (ISO 27002 Controle 5.29)
- ISO 27701 6.14.2.1 – Beschikbaarheid van informatieverwerkingsfaciliteiten (ISO 27002 Controle 8.14)
Elke subclausule bevat begeleidingsinformatie uit ISO 27002, toegepast binnen de context van privacy-informatiebeveiliging.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.14.1.1 – Planning van informatiebeveiligingscontinuïteit
Referenties ISO 27002 Controle 5.29
Organisaties moeten de beveiliging van privacy-informatie beschouwen als een integraal onderdeel van de bredere procedure voor bedrijfscontinuïteitsbeheer.
ISO vraagt organisaties om zich op twee belangrijke gebieden te concentreren bij het formuleren van bedrijfscontinuïteitsplannen:
- Verlies van vertrouwelijkheid
- De integriteit van informatie
De integriteit van de privacy-informatiebeveiliging moet te allen tijde worden gehandhaafd. Mochten PII of privacygerelateerde activa op enigerlei wijze in gevaar komen, dan moeten organisaties er alles aan doen om deze tijdig en efficiënt te herstellen, en op hetzelfde niveau van vóór de verstoring.
Organisaties moeten:
- Werk met algemene privacy-informatiebeveiligingscontroles die in harmonie werken met bedrijfscontinuïteitsplannen.
- Houd u aan processen die controles op de beveiliging van privacy-informatie handhaven tijdens perioden van verstoring of bedrijfsverlies.
Als het niet mogelijk is om op een bepaald moment controles op de beveiliging van privacy-informatie te handhaven (vooral tijdens perioden van verstoring), moeten organisaties 'compenserende' controles invoeren die ernaar streven een zo hoog mogelijk niveau van informatiebeveiliging te bereiken.
ISO 27701 Clausule 6.14.1.2 – Implementatie van informatiebeveiligingscontinuïteit
Referenties ISO 27002 Controle 5.29
Zie ISO 27701 clausule 6.14.1.1
ISO 27701 Clausule 6.14.1.3 – Informatiebeveiliging verifiëren, vernieuwen en evalueren
Referenties ISO 27002 Controle 5.29
Zie ISO 27701 clausule 6.14.1.1
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.14.2.1 – Beschikbaarheid van informatieverwerkingsfaciliteiten
Referenties ISO 27002 Controle 8.14
Organisaties moeten ernaar streven dat zakelijke diensten en privacy-informatiesystemen te allen tijde operationeel zijn.
ISO beveelt duplicatie aan als redundantiemechanisme – organisaties moeten een inventaris bijhouden van reserveonderdelen, dubbele hardware- en softwarecomponenten, reservenetwerkapparaten en randapparatuur die kunnen worden vervangen door defecte activa in het netwerk.
Er moeten waarschuwingen worden ingesteld om eerst falende faciliteiten voor de verwerking van privacy-informatie te identificeren, en om zo snel mogelijk alternatieve systemen te bieden.
Organisaties moeten:
- Zorg voor een duurzame relatie met twee afzonderlijke dienstverleners, waardoor het risico op downtime wordt verkleind.
- Overweeg redundantiemaatregelen bij het ontwerpen en implementeren van netwerken, zoals meerdere domeincontrollers en BUDR-plannen.
- Gebruik geografisch gescheiden locaties voor back-ups en bijbehorende datadiensten.
- Maak gebruik van bekende industriële technieken zoals taakverdeling en automatische failover tussen twee identieke redundante softwarecomponenten of systemen.
- Test redundantiemaatregelen regelmatig om er zeker van te zijn dat ze aan de bedrijfsvereisten kunnen voldoen wanneer er een beroep op wordt gedaan.
- Werk met dubbele opslagcomponenten (RAID-arrays, CPU's) en netwerkapparaten met congruente firmwareversies.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.14.1.1 | Continuïteit van informatiebeveiliging plannen |
5.29 – Informatiebeveiliging tijdens verstoring voor ISO 27002 |
Geen |
| 6.14.1.2 | Implementatie van informatiebeveiligingscontinuïteit |
5.29 – Informatiebeveiliging tijdens verstoring voor ISO 27002 |
Geen |
| 6.14.1.3 | Verifieer, vernieuw en evalueer de continuïteit van informatiebeveiliging |
5.29 – Informatiebeveiliging tijdens verstoring voor ISO 27002 |
Geen |
| 6.14.2.1 | Beschikbaarheid van informatieverwerkingsfaciliteiten |
8.14 – Redundantie van informatieverwerkingsfaciliteiten voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Onze ISMS.online-oplossingen maken het voor organisaties gemakkelijk om projecttoezicht te realiseren, waardoor het beleid en de procedures voor de gegevensbeheerder en de verwerker in overeenstemming zijn met de ISO-norm.
Ons online systeem zorgt er ook voor dat systeemuitvoerders één centrale plek hebben voor referentie en samenwerking. Met onze Assured Results Method (ARM) kunt u erop vertrouwen dat u alle vakjes aanvinkt die u nodig heeft om aan de norm te voldoen.
Meer informatie via het boeken van een hands-on demo.
