在數位化時代,順暢運作的資訊通訊技術(ICT)對於維持業務流程至關重要。即使是最短暫的系統中斷,也往往造成嚴重的經濟損失。駭客正是利用這種潛在的破壞性,透過複雜的勒索軟體攻擊加密資料和系統,並在收到高額贖金後才予以釋放。
國際資訊安全標準 ISO 27001 和 ISO 27002 的更新旨在阻止這種發展趨勢:附件 A 中的安全措施(控制)5.30「ICT 業務連續性準備」要求公司即使在發生中斷的情況下也要確保 ICT 的可用性。新版 ISO 27001:2022此處的控制措施發出了強烈的訊號,有助於企業及時加強組織結構和安全架構,以應對各種威脅。請閱讀以下博文,了解控制措施 5.30 對您的資訊安全管理系統意味著什麼,以及它將如何影響未來的審計。
諸如 Microsoft Teams 之類的協作工具、主流超大規模雲端平台上的雲端應用、雲端服務以及網路化生產(工業 4.0)已成為現代企業日常營運的一部分,而且這種趨勢並非始於新冠疫情之後。現代資訊和通訊技術能夠實現快速且有效率的工作流程,並已成為各行各業維護業務流程不可或缺的工具。
反之,這意味著資訊通信技術(ICT)的安全性和可用性至關重要,必須透過適當的措施和流程對其進行系統性監控和保護,以防止中斷,從而確保流程順暢並將潛在損失降至最低。這一點變得日益重要,尤其是在地緣政治衝突加劇網路威脅的當下。企業可以使用一系列工具來實現這一目標,下文將對此進行概述,並結合ISO 27001標準中的控制5.30進行探討。
關於資訊安全領域的“新秀”,你需要了解以下幾點:專家對 38 個使用者問題給了 38 個答案。
業務連續性管理例如,根據(BCM), ISO 22301 ,是一種管理流程,透過制定、實施和審查(緊急)計劃和策略,確保關鍵業務功能在中斷期間和之後不會長時間中斷,或能夠盡快重新啟動。
該標準從緊急準備組織和應急計劃的角度描述了預防措施,旨在提高業務流程的可靠性。此外,作為緊急應變組織的一部分,還規劃並實施了反應性措施(災難復原),以便在IT流程中斷時能夠快速、有針對性地做出回應,並減少停機時間,例如透過公司內部高水準的ICT安全措施。
作為策略規劃的一部分,業務連續性管理 (BCM) 包括識別潛在風險和漏洞、評估業務流程的關鍵性、制定應對中斷的計劃,並透過定期演練和模擬來檢驗這些計劃。業務連續性管理的目標是確保公司能夠快速有效地應對中斷,並提升利害關係人對其交付和營運能力的信心。
業務影響分析(BIA)業務影響分析 (BIA) 是業務連續性管理中用於記錄組織內關鍵流程和業務功能,並識別它們之間及其底層資源相互依賴關係的方法。因此,它是一個策略流程,有助於識別和評估業務活動中斷的影響。 BIA 是確定所需重啟時間的基礎。
業務影響分析 (BIA) 通常包括評估業務流程的關鍵性、識別支援這些流程所需的資源,以及確定中斷對這些流程和資源的影響。此分析有助於公司了解中斷的潛在後果,並據此優先安排應對和恢復工作。
業務影響分析 (BIA) 的結果可以為業務連續性計劃 (BCP) 和其他風險管理策略的製定提供信息,以確保公司能夠更好地應對意外事件,並透過系統和結構的高可用性最大限度地減少其影響。
關於如何開展業務影響分析 (BIA) 的更多建議,還可以在以下方面找到:指引ISO/TS 22317 。
資訊和通訊技術(ICT)對公司的業務連續性有重大影響。中斷可能會造成重大影響,尤其是在關鍵基礎設施(KRITIS)領域。因此,控制 5.30“附件 A 中的“ICT 業務連續性準備狀況”新版 ISO/IEC 27001:2022非常重要。
該措施旨在根據業務連續性目標以及由此衍生、實施和驗證的ICT連續性要求,確保關鍵ICT系統的高可用性。這包括在業務影響分析(BIA)流程中定義影響類型和影響標準。
在此基礎上,確定優先運行活動並為其分配恢復時間目標 (RTO)。業務影響分析 (BIA) 隨後確定這些優先活動所需的資源,並為其分配 RTO。這些資源的一部分將包括資訊通信技術 (ICT) 服務。此外,還應為優先 ICT 資源定義恢復點 (RPO = 恢復點目標) 及其距離。
基於所有這些流程的結果,組織需要識別並選擇資訊通信技術(ICT)連續性策略,這些策略應考慮中斷發生前、發生期間和發生後的應對方案。在此基礎上,制定、實施和測試連續性計劃(包括回應和恢復程序),以滿足所需的ICT準備要求。
在此背景下,也應參考 ISO 標準 ISO/IEC 27031,這是業務連續性 ICT 準備指南,為公司提供確保 ICT 系統可用性的建議。
要獲得修訂後的 ISO 27001:2022 標準認證,組織必須…
獲得認證需要付出哪些努力?立即了解詳情。無需承擔任何義務,完全免費。
安哈爾特-比特費爾德市的行政系統遭駭客攻擊,導致部分市政服務癱瘓數週甚至數月,這一突出案例凸顯了資訊通信技術在當今世界的重要性。然而,該案例也表明,維持業務連續性和製定完善的緊急應變計畫至關重要。
因此,安全措施控制 5.30「ICT 業務連續性準備」是修訂後的資訊安全標準 ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 的一個重要方面,旨在增強企業的韌性。
然而,組織有時難以評估所用資訊和通訊技術的關鍵性及其在實施過程中的潛在風險,這反過來又直接影響優先排序。業務影響分析 (BIA) 和風險分析是業務影響分析的基石。業務連續性管理可以說,在認證準備階段,值得與經驗豐富的專家一起審查並優化您自身在業務連續性和資訊通訊技術解決方案可用性方面的工作。
由於設有過渡期,企業有充足的時間調整資訊安全管理系統以適應新要求並獲得認證。然而,整個變更過程所需的時間和精力不容小覷。為了確保萬無一失,最好儘早應對新要求並完成向新標準的過渡。
了解更多…無需承擔任何義務,完全免費。
漢斯-於爾根·馮格勒 (Hans-Jürgen Fengler) 是 DQS 的全球 ESG 服務產品經理。他負責多項 ESG 服務。馮格勒先生擁有經濟學學位,主攻生態學。畢業後,他最初從事環境諮詢和永續發展報告的工作。之後,他專注於永續金融產品的標準和要求。馮格勒先生在管理系統認證領域擁有 8 年的工作經驗,同時也是 DQS 多項 ISO 標準的審核員。
