在数字化背景下,信息和通信技术(ICT)的顺畅运行对于维持业务流程至关重要。即使是最短时间的中断,也往往会造成严重的经济损失。黑客在复杂的勒索软件攻击中加密数据和系统,并在支付高额赎金后才释放数据和系统,就是利用了这种潜在的破坏性。
信息安全国际标准 ISO 27001 和 ISO 27002 的更新就是为了阻止这种发展:附件 A 中的安全措施(控制)5.30 "信息和通信技术为业务连续性做好准备 "规定,公司有义务确保信息和通信技术的可用性,即使在发生中断的情况下也是如此。新版 ISO 27001:2022的控制措施在此发出了强烈信号,帮助企业及时武装其组织结构和安全架构,以应对各种威胁情况。阅读以下博文,了解控制 5.30 对您的信息安全管理系统意味着什么,以及它将如何影响未来的审核。
微软团队(Microsoft Teams)等协作工具、主要超大型企业平台上的云应用程序、云服务的使用以及网络化生产(工业 4.0)已成为现代企业日常生活的一部分,而不仅仅是在冠状病毒大流行之后。现代信息和通信技术实现了快速高效的工作流程,已成为各行各业维护业务流程不可替代的工具。
反过来说,这也意味着信息和通信技术的安全性和可用性非常重要,必须通过适当的措施和流程对其进行系统监控和保护,以防止中断,从而保证流程的顺利进行,并将潜在的损失降到最低。这一点正变得越来越重要,尤其是在地缘政治冲突导致网络威胁加剧的时代。为此,企业可以使用一系列工具,下文将对这些工具进行概括说明,然后结合 ISO 27001 中的控制 5.30 进行考量。
您需要了解的信息安全 "新生力量":专家对 38 个用户问题的 38 个回答。
业务连续性管理(BCM),例如ISO 22301,是一种管理流程,通过创建、实施和审查(应急)计划和策略,确保关键业务功能在中断期间和中断之后不会长时间中断,或能够尽快重新启动。
该标准从(应急)准备组织和应急规划的角度阐述了预防措施,以提高业务流程的可靠性。此外,作为(应急)响应组织的一部分,还规划并采取了反应措施(灾难恢复),以便在信息技术流程中断时能够做出快速和有针对性的响应,并减少停机时间,例如通过公司内高度的信息和通信技术安全来减少停机时间。
作为战略规划的一部分,业务连续性管理包括确定潜在风险和薄弱环节,评估业务流程的关键性,制定应对中断的计划,并通过定期演习和模拟来测试这些计划。业务连续性管理的目的是确保公司能够快速有效地应对中断,并提高利益相关者对公司交付和运营能力的信心。
业务影响分析 (BIA) 是业务连续性管理中用于记录组织内关键流程和业务功能并确定它们之间及其基础资源之间相互依赖关系的方法。因此,它是一种战略流程,有助于识别和评估业务活动中断的影响。BIA 是确定所需重新启动时间的基础。
BIA 通常包括评估业务流程的关键性,确定支持这些流程所需的资源,以及确定中断对这些流程和资源的影响。该分析有助于企业了解中断可能造成的后果,并据此确定响应和恢复工作的优先顺序。
业务影响分析的结果可为制定业务连续性计划 (BCP) 和其他风险管理策略提供依据,以确保公司做好更充分的准备来管理突发事件,并通过系统和结构的高可用性将其影响降至最低。
关于开展业务影响分析(BIA)的更多建议,也可在 的ISO/TS 22317 指南中找到。
信息和通信技术(ICT)对公司的业务连续性有重大影响。例如,中断会产生重大影响,特别是在关键基础设施(KRITIS)领域。因此,新版 ISO/IEC 27001:2022附件 A 中的控制 5.30 "信息和通信技术为业务连续性做好准备 "非常重要。
该措施的目的是根据业务连续性目标以及由此衍生、实施和验证的信息和通信技术连续性要求,确保关键信息和通信技术系统的高可用性。这包括在业务影响评估过程中确定影响类型和影响标准。
在此基础上确定优先业务活动,并分配恢复时间目标(RTO)。然后,BIA 确定这些优先活动需要哪些资源,并为其分配一个 RTO。这些资源的一个子集将包括信息和通信技术服务。此外,还应为优先考虑的信息和通信技术资源确定恢复点(RPO = 恢复点目标)及其距离。
根据所有这些流程的结果,组织需要确定和选择信息和通信技术连续性战略,考虑中断前、中断期间和中断后的各种选择。在此基础上,制定、实施和测试连续性计划(包括响应和恢复程序),以满足所需的信息和通信技术就绪状态。
在这方面,还应参考国际标准化组织的标准 ISO/IEC 27031,这是一份为业务连续性做好信息和通信技术准备的指南,其中为公司提供了确保信息和通信技术系统可用性的建议。
要通过修订后的 ISO 27001:2022 标准认证,组织必须...
您需要付出哪些努力才能获得认证?立即了解。无义务且免费。
在安哈尔特-比特费尔德(Anhalt-Bitterfeld)发生的行政黑客攻击事件中,一些市政服务在数周或数月内无法使用。不过,这个例子也说明了连续性和既定应急计划的重要性。
因此,安全措施控制 5.30 "信息和通信技术为业务连续性做好准备 "是修订后的信息安全标准 ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 的一个重要方面,目的是加强公司的应变能力。
然而,企业有时会发现,在实施过程中很难评估所使用的信息和通信技术的关键性及其潜在风险,这反过来又会直接影响到优先级排序链。可以说,业务影响评估和风险分析是业务连续性管理的支柱。因此,在认证之前,值得与经验丰富的专家一起审查和优化自身在业务连续性方面的努力以及信息和通信技术解决方案的可用性。
由于过渡期的存在,企业有足够的时间调整其信息安全管理以适应新的要求并获得认证。但是,不应低估整个变更过程的持续时间和工作量。如果要确保安全,最好尽早处理新要求和向新标准的过渡。
了解更多有关......的信息,无需承担任何义务,并且免费。
Hans-Jürgen Fengler 是业务连续性管理系统 (ISO 22301) 的专家和产品经理,也是 BSI 关键性条例 (BSI-KritisV) 的专家和信息安全领域法规的审核员。
