ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Bezpečnost ICT pro zajištění kontinuity podnikání - kontrola 5.30 v ISO 27001

# Bezpečnost informací a řízení rizik

Bezproblémové fungování informačních a komunikačních technologií (ICT) je nezbytné pro zachování podnikových procesů v kontextu digitalizace. I ty nejkratší výpadky a narušení jsou často doprovázeny vážnými finančními ztrátami. Tohoto potenciálu škod využívají hackeři, když při sofistikovaných útocích ransomwaru šifrují data a systémy a uvolňují je až po zaplacení vysokého výkupného.

Tomuto vývoji mají nyní učinit přítrž aktualizace mezinárodních norem pro bezpečnost informací ISO 27001 a ISO 27002: Bezpečnostní opatření (kontrola) 5.30 "Připravenost ICT na kontinuitu podnikání" v příloze A ukládá společnostem povinnost zajistit dostupnost ICT i v případě narušení. Nová norma ISO 27001:2022 zde svými kontrolními prvky dává silný signál a pomáhá společnostem včas vyzbrojit své organizační struktury a bezpečnostní architektury proti scénářům ohrožení. Přečtěte si následující příspěvek na blogu a zjistěte, co kontrola 5.30 znamená pro váš systém řízení bezpečnosti informací a jak ovlivní budoucí audity.

OBSAH

Bezpečnost ICT v organizaci a její význam pro dnešní podnikové procesy.

Nástroje pro spolupráci, jako je Microsoft Teams, cloudové aplikace na platformách velkých hyperskalárů, využívání cloudových služeb a síťová výroba (Průmysl 4.0) se staly součástí každodenního života moderních firem, a to nejen od pandemie koronaviru. Moderní informační a komunikační technologie umožňují rychlé a efektivní pracovní postupy a staly se nenahraditelnými nástroji pro udržení podnikových procesů ve všech odvětvích.

To naopak znamená, že bezpečnost a dostupnost informačních a komunikačních technologií je velmi důležitá - a musí být systematicky sledována a chráněna před narušením vhodnými opatřeními a procesy, aby byl zaručen hladký průběh procesů a případné škody byly minimální. To je stále důležitější, zejména v době zvýšených kybernetických hrozeb, které jsou živeny geopolitickými konflikty. Podniky mají k tomuto účelu k dispozici řadu nástrojů, které jsou níže vysvětleny v obecné rovině a poté posouzeny v kontextu kontroly 5.30 v normě ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Otázky a odpovědi k nové normě ISO 27001:2022

Co potřebujete vědět o "novém dítěti v bloku" pro bezpečnost informací: 38 odpovědí našich odborníků na 38 otázek uživatelů.

  • O čem jsou nové kontroly?
  • Kdy bychom měli přejít na novou normu?
  • Kde najdu seznam starých a nových korespondencí?
  • ... a také 35 dalších!
Stáhněte si nejčastější dotazy k nové normě ISO 27001 a využijte odborných znalostí našich odborníků.

Řízení kontinuity podnikání

Řízení kontinuity činností (BCM), například podle normy ISO 22301, je proces řízení, který zajišťuje, aby kritické podnikové funkce nebyly během narušení a po něm na dlouhou dobu přerušeny nebo aby mohly být co nejrychleji znovu spuštěny, a to prostřednictvím vytváření, zavádění a přezkoumávání (havarijních) plánů a strategií.

Norma popisuje preventivní opatření ve smyslu organizace (havarijní) připravenosti a havarijního plánování s cílem zvýšit spolehlivost podnikových procesů. Kromě toho jsou v rámci organizace (havarijní) odezvy plánována a přijímána reaktivní opatření (zotavení po havárii), aby bylo možné rychle a cíleně reagovat v případě narušení IT procesů a zkrátit výpadky, například prostřednictvím vysokého zabezpečení ICT ve společnosti.

BCM jako součást strategického plánování zahrnuje identifikaci potenciálních rizik a zranitelností, posouzení kritičnosti podnikových procesů, vypracování plánů reakce na narušení a testování těchto plánů prostřednictvím pravidelných cvičení a simulací. Cílem řízení kontinuity podnikání je zajistit, aby společnost dokázala rychle a efektivně reagovat na narušení a aby se zvýšila důvěra zainteresovaných stran v její schopnost dodávat a fungovat.

Analýza dopadů na podnikání

Analýza dopadů na podnikání (BIA) je metoda používaná v řízení kontinuity podnikání k zaznamenání kritických procesů a obchodních funkcí v organizaci a k identifikaci vzájemných závislostí mezi nimi a jejich základními zdroji. Jedná se tedy o strategický proces, který pomáhá identifikovat a posoudit dopady narušení obchodních činností. BIA tvoří základ pro stanovení požadovaných časů opětovného spuštění.

BIA obvykle zahrnuje posouzení kritičnosti podnikových procesů, identifikaci zdrojů potřebných k podpoře těchto procesů a určení dopadu narušení na tyto procesy a zdroje. Analýza pomáhá společnostem pochopit potenciální důsledky narušení a podle toho stanovit priority reakce a obnovy.

Výsledky analýzy BIA mohou být podkladem pro vypracování plánu kontinuity podnikání (BCP) a dalších strategií řízení rizik, které zajistí, že společnost bude lépe připravena zvládat neočekávané události a minimalizovat jejich dopad prostřednictvím vysoké dostupnosti systémů a struktur.

Další doporučení pro provádění analýzy dopadů na činnost (BIA) lze nalézt také na stránkách v pokynech normy ISO/TS 22317.

Norma ISO 27001:2022 je páteří kontinuity podnikání.

Informační a komunikační technologie (ICT) mají významný vliv na kontinuitu podnikání ve společnosti. Narušení může mít značný dopad například v oblasti kritické infrastruktury (KRITIS). Z tohoto důvodu má velký význam kontrola 5.30 " Připravenost ICT na kontinuitu podnikání" v příloze A nové normy ISO/IEC 27001:2022.

Účelem tohoto opatření je zajistit vysokou úroveň dostupnosti kritického systému ICT na základě cílů kontinuity podnikání a z nich odvozených, zavedených a ověřených požadavků na kontinuitu ICT. To zahrnuje definování typů dopadů a kritérií dopadů v rámci procesu BIA.

Na tomto základě jsou určeny prioritní provozní činnosti a je jim přiřazen cíl doby obnovy (RTO). V rámci BIA se pak určí, které zdroje jsou pro tyto prioritní činnosti potřebné, a rovněž se jim přiřadí RTO. Podskupina těchto zdrojů bude zahrnovat služby ICT. Kromě toho by měly být pro prioritizované zdroje ICT definovány také body obnovy (RPO = Recovery Point Objective) a jejich vzdálenosti.

Na základě výsledků všech těchto procesů musí organizace určit a vybrat strategie kontinuity ICT, které zohlední možnosti před narušením, během něj a po něm. Na základě toho jsou vypracovány, implementovány a testovány plány kontinuity (včetně postupů reakce a obnovy), které splňují požadovanou připravenost ICT.

V této souvislosti je třeba odkázat také na normu ISO/IEC 27031, průvodce připraveností ICT pro zajištění kontinuity podnikání, která společnostem poskytuje doporučení pro zajištění dostupnosti systémů ICT.

Dopad kontroly 5.30 na certifikaci

Aby mohly být organizace certifikovány podle revidované normy ISO 27001:2022, musí ...

  • mít vhodnou organizační strukturu pro přípravu na incident, jeho zvládnutí a reakci na něj. K tomu je také zapotřebí personál s potřebnou odpovědností, pravomocemi a kompetencemi.
  • mít vypracované závazné plány kontinuity ICT, včetně postupů reakce a obnovy, které podrobně popisují, jak se organizace hodlá vypořádat s narušením služeb ICT. Tyto plány musí být schváleny vrcholovým vedením a pravidelně vyhodnocovány prostřednictvím cvičení a testování.
  • zahrnovaly do svých plánů kontinuity následující informace:
    - specifikace výkonu a kapacity pro splnění požadavků a cílů kontinuity činností definovaných v BIA
    - RTO každé prioritní služby ICT a postupy pro obnovu těchto složek
    - RPO prioritních zdrojů ICT definovaných jako informace a postupy pro obnovu informací

Certifikace podle normy ISO 27001

S jakým úsilím je třeba počítat při certifikaci? Zjistěte to nyní. Nezávazně a zdarma.

Více o certifikaci ISO 27001

Bezpečnost ICT pro zajištění kontinuity podnikání - závěr

Známý příklad hackerského útoku na administrativu v Anhalt-Bitterfeldu, v jehož důsledku byly některé obecní služby nedostupné po dobu několika týdnů až měsíců, dokládá vysoký význam informačních a komunikačních technologií v dnešním světě. Příklad však také ukazuje, jak důležitá je kontinuita a zavedené krizové plány.

Kontrola bezpečnostního opatření 5.30 "Připravenost ICT na kontinuitu podnikání" je proto důležitým aspektem revidovaných norem pro bezpečnost informací ISO/IEC 27001:2022 a ISO/IEC 27002:2022 s cílem posílit odolnost společností.

Pro organizace je však někdy obtížné posoudit kritičnost používaných informačních a komunikačních technologií a jejich rizikový potenciál během implementace, což má zase přímý dopad na řetězec priorit. BIA a analýza rizik jsou takříkajíc páteří řízení kontinuity provozu. V období před certifikací se proto vyplatí přezkoumat a optimalizovat vlastní úsilí o zajištění kontinuity podnikání a dostupnosti ICT řešení se zkušenými odborníky.

DQS: Jednoduše využívat bezpečnost.

Díky přechodným obdobím mají společnosti dostatek času přizpůsobit řízení bezpečnosti informací novým požadavkům a nechat si je certifikovat. Délku a náročnost celého procesu změny však nelze podceňovat. Pokud chcete být na bezpečné straně, je lepší se novými požadavky a přechodem na nový standard zabývat raději dříve než později.

Rádi zodpovíme vaše dotazy

Zjistěte více informací o ... nezávazně a zdarma.

Jsme tu pro vás. Kontaktujte nás.

Jako odborníci na audity a certifikaci s téměř 40letou praxí vám rádi pomůžeme s vyhodnocením vašeho současného stavu, například v rámci delta auditu. Informujte se u našich odborníků o nejdůležitějších změnách a jejich významu pro vaši organizaci.

Důvěra a odborné znalosti

Naše texty píší výhradně naši interní odborníci na systémy řízení a dlouholetí auditoři. Pokud máte na autora nějaké dotazy, obraťte se na nás.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás