在数字化背景下,信息和通信技术(ICT)的平稳运行对于维持业务流程至关重要。即使是最短时间的中断和破坏,也往往伴随着严重的经济损失。黑客在复杂的勒索软件攻击中加密数据和系统,并在支付高额赎金后才释放数据和系统,就是利用了这种潜在的破坏性。
信息安全国际标准 ISO 27001 和 ISO 27002 的更新就是为了阻止这种发展:附件 A 中的安全措施(控制)5.30 "信息和通信技术为业务连续性做好准备 "要求公司确保信息和通信技术在中断情况下的可用性。新版 ISO 27001:2022 的控制措施在此发出了强烈的信号,帮助企业与时俱进地武装其组织结构和安全架构,以应对各种威胁情况。请阅读以下博文,了解控制 5.30 对您的信息安全管理系统意味着什么,以及它将如何影响未来的审核。
微软团队(Microsoft Teams)等协作工具、主要超大型企业平台上的云应用程序、云服务的使用或网络化生产(工业 4.0)已成为现代企业日常生活的一部分,而不仅仅是在科罗娜大流行之后。当代信息和通信技术实现了快速高效的工作流程,已成为各行各业维护业务流程不可替代的工具。
反过来说,这也意味着信息和通信技术的安全性和可用性具有极高的优先级--必须通过适当的措施和流程对其进行系统监控和保护,以防止中断,从而保证流程的顺利进行,并将潜在的损失降到最低。这一点正变得越来越重要,尤其是在地缘政治冲突导致网络威胁加剧的时代。为此,公司可以使用多种工具,下文将对这些工具进行一般性说明,然后结合 ISO 27001 中的控制 5.30 进行考虑。
业务连续性管理(BCM),例如 ISO 22301 标准,是一种管理流程,通过制定、实施和测试(应急)计划和策略,确保关键业务功能在中断期间和中断之后不会长时间中断,或能够尽快重新启动。
该标准描述了(应急)准备组织和应急计划方面的预防措施,以提高业务流程的可靠性。此外,作为(应急)管理组织的一部分,还规划并采取了反应性措施(灾难恢复),以便在信息技术流程中断的情况下做出快速、有针对性的反应,并减少停机时间,例如通过公司内高度的信息和通信技术安全来减少停机时间。
作为战略规划的一个组成部分,业务连续性管理涉及确定潜在风险和薄弱环节,评估业务流程的关键性,制定应对中断的计划,并通过定期演习和模拟来测试这些计划。业务连续性管理的目标是确保公司能够快速有效地应对中断,提高利益相关者对公司交付和运营能力的信心。
在业务连续性管理中,业务影响分析(BIA)是一种用于捕捉组织内关键流程和业务功能,并确定它们之间及其基础资源之间相互依赖关系的方法。因此,它是一种战略流程,有助于识别和评估业务活动中断的影响。BIA 是确定所需重新启动时间的基础。
BIA 通常包括评估业务流程的关键性、确定支持这些流程所需的资源,以及确定中断对这些流程和资源的影响。该分析有助于组织了解中断的潜在影响,并据此确定响应和恢复工作的优先次序。
业务影响分析的结果可为制定业务连续性计划(BCP)和其他风险管理战略提供信息,以确保组织做好更充分的准备来管理突发事件,并通过系统和结构的高可用性将其影响降至最低。
关于开展业务影响分析 (BIA) 的更多建议,请参阅ISO/TS 22317指南。
信息和通信技术(ICT)对企业的业务连续性有重大影响。中断会造成重大影响,特别是在关键基础设施(CRITIS)等领域。因此,新版 ISO/IEC 27001:2022 附件 A 中的控制 5.30 "信息和通信技术为业务连续性做好准备 "非常重要。
活动结束后,您将了解新版 ISO 27001:2022 的要求和具体内容,并能够将信息安全纳入综合管理系统。从内容来看
该措施的目的是根据业务连续性目标和由此衍生、实施和审查的信通技术连续性要求,确保关键信通技术系统的高可用性。这涉及在 BIA 流程中界定影响类型和影响标准。
在此基础上,确定优先业务活动,并为其指定恢复时间目标(RTO)。然后,BIA 确定这些优先活动需要哪些资源,并为其分配一个 RTO。这些资源的一个子集将包括信通技术服务。此外,还应为按优先顺序排列的信息和通信技术资源确定恢复点(RPO = 恢复点目标)及其时间间隔。
根据所有这些流程的结果,企业必须确定和选择信息和通信技术连续性战略,其中要考虑到中断前、中断期间和中断后的时间选择。在此基础上,制定、实施和测试连续性计划(包括响应和恢复程序),以满足所需的信息和通信技术就绪状态。
在这方面,还应参考国际标准化组织的 ISO/IEC 27031 标准,这是一份为业务连续性做好信息和通信技术准备的指南,为企业提供了确保信息和通信技术系统可用性的建议。
要通过修订后的 ISO 27001:2022 标准认证,组织必须...
获得认证需要付出哪些努力?立即了解。无义务且免费。
安哈尔特-比特费尔德行政黑客攻击事件的突出事例表明,信息和通信技术在当今世界具有高度相关性。不过,这个例子也说明了连续性和既定应急计划的重要性。
因此,安全措施控制 5.30 "信息和通信技术为业务连续性做好准备 "是修订后的信息安全标准 ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 的一个重要方面,以加强公司的应变能力。
然而,在实施过程中,各组织有时很难评估已部署的信息和通信技术的关键性及其潜在风险,这反过来又直接影响到优先级排序链。可以说,业务影响评估和风险分析是业务连续性管理的支柱。因此,在认证之前,值得与经验丰富的专家合作,对自己在业务连续性和信息与通信技术解决方案可用性方面所做的努力进行测试和优化。
由于过渡期的存在,企业有足够的时间根据新要求调整其信息安全管理并获得认证。然而,整个变更过程的持续时间和工作量不容小觑。如果要确保安全,最好尽早处理新要求和向新标准的过渡。
Hans-Jürgen Fengler 是业务连续性管理系统 (ISO 22301) 的专家和产品经理,也是 BSI 关键性条例 (BSI-KritisV) 的专家和信息安全领域法规的审核员。
