ISO 27001 – Anhang A.17: Informationssicherheitsaspekte des Business Continuity Managements

Was ist das Ziel von Anhang A.17.1?

In Anhang A.17.1 geht es um die Kontinuität der Informationssicherheit. Das Ziel dieser Anhang-A-Kontrolle besteht darin, dass die Informationssicherheitskontinuität in die Geschäftskontinuitätsmanagementsysteme der Organisation eingebettet werden soll. Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.17.1.1 Planung der Kontinuität der Informationssicherheit

Die Organisation muss ihre Anforderungen an die Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen, z. B. während einer Krise oder Katastrophe, ermitteln. Die besten ISMS verfügen bereits über umfassendere Anhang-A-Kontrollen, die die Notwendigkeit der Implementierung eines Disaster-Recovery-Prozesses oder eines Geschäftskontinuitätsplans gemäß A.17 abmildern.

Trotz dieser Bemühungen kann es immer noch zu schwerwiegenderen Zwischenfällen kommen, daher ist eine entsprechende Planung wichtig. Was passiert, wenn ein großes Rechenzentrum mit Ihren Informationen und Anwendungen nicht verfügbar ist? Was passiert, wenn es zu einem schwerwiegenden Datenverstoß kommt, ein Ransomware-Angriff erfolgt, eine wichtige Person im Unternehmen außer Gefecht gesetzt wird oder die Zentrale möglicherweise von einer größeren Überschwemmung heimgesucht wird?

Nachdem die verschiedenen Ereignisse und Szenarien berücksichtigt wurden, die geplant werden müssen, kann die Organisation den Plan dann in allen erforderlichen Details dokumentieren, um nachzuweisen, dass sie diese Probleme und die zu ihrer Lösung erforderlichen Schritte versteht.

ISO 22301 bietet einen strukturierteren Ansatz für die Geschäftskontinuität, der sehr elegant mit den Hauptanforderungen von ISO 27001 harmoniert.

A.17.1.2 Umsetzung der Kontinuität der Informationssicherheit

Die Organisation muss Prozesse, Verfahren und Kontrollen einrichten, dokumentieren, implementieren und aufrechterhalten, um das erforderliche Maß an Kontinuität für die Informationssicherheit während einer Störsituation sicherzustellen. Sobald Anforderungen identifiziert wurden, muss die Organisation Richtlinien, Verfahren und andere physische oder technische Kontrollen implementieren, die angemessen und verhältnismäßig sind, um diese Anforderungen zu erfüllen.

Beschreibung der Verantwortlichkeiten, Aktivitäten, Eigentümer, Zeitpläne und durchzuführenden Abhilfemaßnahmen (über bereits bestehende Risiken und Richtlinien hinaus, z. B. Krisenkommunikation). Es sollten eine Managementstruktur und relevante Eskalationsauslösepunkte identifiziert werden, um sicherzustellen, dass bei zunehmender Schwere eines Ereignisses die entsprechende Eskalation an die zuständige Behörde effektiv und zeitnah erfolgt. Es sollte auch klargestellt werden, wann zum normalen Geschäftsbetrieb zurückgekehrt ist und alle BCP-Prozesse gestoppt werden.

A.17.1.3 Überprüfen, überprüfen und bewerten Sie die Kontinuität der Informationssicherheit

Die Organisation muss die eingerichteten und implementierten Kontrollen zur Informationssicherheitskontinuität in regelmäßigen Abständen überprüfen, um sicherzustellen, dass sie in diesen Situationen gültig und wirksam sind. Die für die Kontinuität der Informationssicherheit implementierten Kontrollen müssen regelmäßig getestet, überprüft und bewertet werden, um sicherzustellen, dass sie Änderungen im Geschäft, in den Technologien und im Risikoniveau standhalten.

Der Prüfer möchte sehen, dass Beweise vorliegen für: Regelmäßige Prüfung von Plänen und Kontrollen; Protokolle der Planaufrufe und der bis zur Lösung durchgeführten Maßnahmen sowie gewonnene Erkenntnisse; und regelmäßige Überprüfung und Änderungsmanagement, um sicherzustellen, dass Pläne vor Änderungen geschützt sind.

Was ist das Ziel von Anhang A.17.2?

In Anhang A.17.2 geht es um Entlassungen. Das Ziel dieser Anhang-A-Kontrolle besteht darin, die Verfügbarkeit von Informationsverarbeitungseinrichtungen sicherzustellen.

A.17.2.1 Verfügbarkeit von Informationsverarbeitungseinrichtungen

Eine gute Kontrolle beschreibt, wie Informationsverarbeitungseinrichtungen mit ausreichender Redundanz implementiert werden, um Verfügbarkeitsanforderungen zu erfüllen. Redundanz bezieht sich auf die Implementierung von typischerweise doppelter Hardware, um die Verfügbarkeit von Informationsverarbeitungssystemen sicherzustellen. Das Prinzip besteht darin, dass, wenn ein oder mehrere Elemente ausfallen, redundante Elemente die Aufgabe übernehmen.

Entscheidend hierfür ist das regelmäßige Testen redundanter Komponenten und Systeme, um sicherzustellen, dass ein Failover in einem angemessenen Zeitrahmen erreicht wird. Redundante Komponenten müssen mindestens so gut geschützt sein wie die primären Komponenten.

Viele Organisationen nutzen Cloud-basierte Anbieter und möchten daher sicherstellen, dass Redundanz in ihren Verträgen mit Lieferanten und im Rahmen der Richtlinie in A.15 wirksam berücksichtigt wird.

Der Prüfer erwartet, dass regelmäßig Tests durchgeführt werden, bei denen redundante Komponenten und Systeme vorhanden sind und sich unter der Kontrolle der Organisation befinden.