ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Bezpieczeństwo ICT dla ciągłości działania - kontrola 5.30 w ISO 27001

# Bezpieczeństwo informacji i zarządzanie ryzykiem

Sprawnie działająca technologia informacyjno-komunikacyjna (ICT) jest niezbędna do utrzymania procesów biznesowych w kontekście cyfryzacji. Nawet najkrótszym przestojom i zakłóceniom często towarzyszą poważne straty finansowe. Hakerzy wykorzystują ten potencjał szkód, szyfrując dane i systemy w wyrafinowanych atakach ransomware i uwalniając je dopiero po zapłaceniu wysokich okupów.

Aktualizacje międzynarodowych standardów bezpieczeństwa informacji, ISO 27001 i ISO 27002, mają na celu powstrzymanie tego rozwoju: Środek bezpieczeństwa (kontrola) 5.30 "Gotowość ICT do ciągłości działania" w załączniku A zobowiązuje firmy do zapewnienia dostępności ICT nawet w przypadku zakłóceń. Nowa norma ISO 27001:2022 wyznacza tutaj silny sygnał za pomocą kontroli i pomaga firmom uzbroić swoje struktury organizacyjne i architektury bezpieczeństwa przed scenariuszami zagrożeń w odpowiednim czasie. Przeczytaj poniższy wpis na blogu, aby dowiedzieć się, co kontrola 5.30 oznacza dla Twojego systemu zarządzania bezpieczeństwem informacji i jak wpłynie na przyszłe audyty.

TREŚĆ

Bezpieczeństwo teleinformatyczne w organizacji i jego znaczenie dla współczesnych procesów biznesowych

Narzędzia do współpracy, takie jak Microsoft Teams, aplikacje w chmurze na platformach największych hiperskalerów, korzystanie z usług w chmurze i produkcja sieciowa (Przemysł 4.0) stały się częścią codziennego życia w nowoczesnych firmach, i to nie tylko od czasu pandemii koronawirusa. Nowoczesne technologie informacyjno-komunikacyjne umożliwiają szybkie i wydajne przepływy pracy i stały się niezastąpionymi narzędziami do utrzymywania procesów biznesowych we wszystkich branżach.

Z drugiej strony oznacza to, że bezpieczeństwo i dostępność ICT są bardzo ważne - i muszą być systematycznie monitorowane i chronione przed zakłóceniami za pomocą odpowiednich środków i procesów w celu zagwarantowania płynności procesów i ograniczenia potencjalnych szkód do minimum. Staje się to coraz ważniejsze, zwłaszcza w czasach zwiększonych cyberzagrożeń podsycanych przez konflikty geopolityczne. Firmy mają w tym celu do dyspozycji szereg narzędzi, które zostały wyjaśnione w sposób ogólny poniżej, a następnie rozważone w kontekście kontroli 5.30 w ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Pytania i odpowiedzi dotyczące nowej ISO 27001:2022

Co musisz wiedzieć o "nowym dziecku w bloku" bezpieczeństwa informacji: 38 odpowiedzi naszych ekspertów na 38 pytań użytkowników.

  • Na czym polegają nowe mechanizmy kontrolne?
  • Kiedy należy przejść na nowy standard?
  • Gdzie mogę znaleźć listę korespondencji starej i nowej?
  • ... a także 35 innych!
Pobierz FAQ dla nowej ISO 27001 już teraz i skorzystaj z wiedzy naszych ekspertów

Zarządzanie ciągłością działania

Zarządzanieciągłością działania (BCM), na przykład zgodnie z normą ISO 22301, to proces zarządzania, który zapewnia, że krytyczne funkcje biznesowe nie zostaną przerwane na długo w trakcie i po zakłóceniu lub mogą zostać ponownie uruchomione tak szybko, jak to możliwe, poprzez tworzenie, wdrażanie i przegląd planów i strategii (awaryjnych).

Norma opisuje środki zapobiegawcze w zakresie organizacji gotowości (na wypadek awarii) i planowania awaryjnego w celu zwiększenia niezawodności procesów biznesowych. Ponadto środki reaktywne (odzyskiwanie danych po awarii) są planowane i podejmowane w ramach organizacji reagowania (kryzysowego) w celu umożliwienia szybkiej i ukierunkowanej reakcji w przypadku zakłócenia procesów IT oraz ograniczenia przestojów, na przykład poprzez wysokie bezpieczeństwo teleinformatyczne w firmie.

BCM jako część planowania strategicznego obejmuje identyfikację potencjalnych zagrożeń i słabych punktów, ocenę krytyczności procesów biznesowych, opracowywanie planów reagowania na zakłócenia i testowanie tych planów poprzez regularne ćwiczenia i symulacje. Celem zarządzania ciągłością działania jest zapewnienie, że firma może szybko i skutecznie reagować na zakłócenia, a zaufanie interesariuszy do jej zdolności do dostarczania i działania jest zwiększone.

Analiza wpływu na biznes

Analiza wpływu na biznes (BIA) to metoda stosowana w zarządzaniu ciągłością działania w celu rejestrowania krytycznych procesów i funkcji biznesowych w organizacji oraz identyfikowania współzależności między nimi i ich podstawowymi zasobami. Jest to zatem proces strategiczny, który pomaga zidentyfikować i ocenić wpływ zakłóceń na działalność biznesową. BIA stanowi podstawę do określenia wymaganych czasów ponownego uruchomienia.

BIA zazwyczaj obejmuje ocenę krytyczności procesów biznesowych, identyfikację zasobów wymaganych do obsługi tych procesów oraz określenie wpływu zakłóceń na te procesy i zasoby. Analiza pomaga firmom zrozumieć potencjalne konsekwencje zakłóceń i odpowiednio ustalić priorytety działań w zakresie reagowania i odzyskiwania danych.

Wyniki BIA mogą pomóc w opracowaniu planu ciągłości działania (BCP) i innych strategii zarządzania ryzykiem, aby zapewnić, że firma jest lepiej przygotowana do zarządzania nieoczekiwanymi zdarzeniami i minimalizowania ich wpływu poprzez wysoką dostępność systemów i struktur.

Dalsze zalecenia dotyczące przeprowadzania analizy wpływu na biznes (BIA) można również znaleźć w wytycznych normy ISO/TS 22317.

Norma ISO 27001:2022 jest podstawą ciągłości biznesowej

Technologie informacyjno-komunikacyjne (ICT) mają znaczący wpływ na ciągłość działania firmy. Zakłócenia mogą mieć znaczący wpływ, zwłaszcza na przykład w obszarze infrastruktury krytycznej (KRITIS). Z tego powodu kontrola 5.30 " Gotowość ICT do zapewnienia ciągłości działania" w załączniku A do nowej normy ISO/IEC 27001:2022 ma ogromne znaczenie.

Celem tego środka jest zapewnienie wysokiego poziomu dostępności krytycznego systemu ICT na podstawie celów ciągłości działania oraz wynikających z nich, wdrożonych i zweryfikowanych wymogów ciągłości ICT. Obejmuje to definiowanie typów wpływu i kryteriów wpływu w ramach procesu BIA.

Priorytetowe działania operacyjne są identyfikowane na tej podstawie i przypisywany jest im cel czasu odzyskiwania (RTO). Następnie BIA określa, które zasoby są wymagane dla tych priorytetowych działań, a także przypisuje im RTO. Podzbiór tych zasobów będzie obejmował usługi ICT. Ponadto dla priorytetowych zasobów ICT należy również zdefiniować punkty odzyskiwania (RPO = Recovery Point Objective) i ich odległości.

W oparciu o wyniki wszystkich tych procesów organizacje muszą zidentyfikować i wybrać strategie ciągłości działania ICT, które uwzględniają opcje przed, w trakcie i po zakłóceniu. Na tej podstawie opracowywane, wdrażane i testowane są plany ciągłości (w tym procedury reagowania i odzyskiwania) w celu spełnienia wymaganej gotowości ICT.

W tym kontekście należy również odnieść się do normy ISO/IEC 27031, przewodnika po gotowości ICT w zakresie ciągłości działania, który zawiera zalecenia dla firm dotyczące zapewnienia dostępności systemów ICT.

Wpływ kontroli 5.30 na certyfikację

Aby uzyskać certyfikat zgodności ze zmienioną normą ISO 27001:2022, organizacje muszą ...

  • posiadać odpowiednią strukturę organizacyjną, aby przygotować się na incydent, powstrzymać go i zareagować na niego. Wymaga to również personelu z niezbędną odpowiedzialnością, uprawnieniami i kompetencjami.
  • opracować wiążące plany ciągłości działania ICT, w tym procedury reagowania i odzyskiwania, szczegółowo opisujące, w jaki sposób organizacja zamierza poradzić sobie z zakłóceniem usług ICT. Plany te muszą być zatwierdzone przez kierownictwo wyższego szczebla i regularnie oceniane poprzez ćwiczenia i testy.
  • uwzględniają następujące informacje w swoich planach ciągłości działania:
    - Specyfikacje wydajności i pojemności w celu spełnienia wymagań i celów ciągłości działania określonych w BIA
    - RTO każdej priorytetowej usługi ICT i procedury przywracania tych komponentów
    - RPO priorytetowych zasobów ICT określonych jako informacje i procedury przywracania informacji

Certyfikacja ISO 27001

Jakiego wysiłku należy się spodziewać, aby uzyskać certyfikację? Dowiedz się już teraz. Bez zobowiązań i bezpłatnie.

Dowiedz się więcej o certyfikacji ISO 27001

Bezpieczeństwo ICT dla ciągłości działania - podsumowanie

Znamienny przykład włamania administracyjnego w Anhalt-Bitterfeld, w wyniku którego niektóre usługi komunalne były niedostępne przez tygodnie lub miesiące, pokazuje duże znaczenie technologii informacyjno-komunikacyjnych w dzisiejszym świecie. Jednak przykład ten pokazuje również, jak ważna jest ciągłość i ustalone plany awaryjne.

Kontrola środka bezpieczeństwa 5.30 "Gotowość ICT do ciągłości działania" jest zatem ważnym aspektem zmienionych norm bezpieczeństwa informacji ISO/IEC 27001:2022 i ISO/IEC 27002:2022 w celu wzmocnienia odporności firm.

Jednak organizacje czasami mają trudności z oceną krytyczności wykorzystywanych technologii informacyjno-komunikacyjnych i ich potencjału ryzyka podczas wdrażania, co z kolei ma bezpośredni wpływ na łańcuch ustalania priorytetów. BIA i analiza ryzyka stanowią niejako kręgosłup zarządzania ciągłością działania. W okresie poprzedzającym certyfikację warto zatem zweryfikować i zoptymalizować własne wysiłki na rzecz ciągłości działania i dostępności rozwiązań ICT z doświadczonymi specjalistami.

DQS: Proste wykorzystanie bezpieczeństwa.

Dzięki okresom przejściowym firmy mają wystarczająco dużo czasu na dostosowanie zarządzania bezpieczeństwem informacji do nowych wymagań i uzyskanie certyfikatu. Nie należy jednak lekceważyć czasu trwania i wysiłku całego procesu zmian. Jeśli chcesz być po bezpiecznej stronie, lepiej zająć się nowymi wymaganiami i przejściem na nowy standard wcześniej niż później.

Chętnie odpowiemy na Twoje pytania

Dowiedz się więcej o ... bez zobowiązań i bezpłatnie.

Jesteśmy tu dla Ciebie. Prosimy o kontakt.

Jako eksperci w dziedzinie audytu i certyfikacji z prawie 40-letnim doświadczeniem, chętnie pomożemy w ocenie aktualnego statusu, na przykład w ramach audytu delta. Dowiedz się od naszych ekspertów o najważniejszych zmianach i ich znaczeniu dla Twojej organizacji.

Zaufanie i wiedza

Nasze teksty są pisane wyłącznie przez naszych wewnętrznych ekspertów ds. systemów zarządzania i wieloletnich audytorów. Jeśli masz jakiekolwiek pytania do autora, skontaktuj się z nami.

Masz pytania?

Jesteśmy do Państwa dyspozycji.
Skontaktuj się