Was ist das Ziel von Anhang A.17.1?
In Anhang A.17.1 geht es um die Kontinuität der Informationssicherheit. Das Ziel dieser Anhang-A-Kontrolle besteht darin, dass die Informationssicherheitskontinuität in die Geschäftskontinuitätsmanagementsysteme der Organisation eingebettet werden soll. Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.
A.17.1.1 Planung der Kontinuität der Informationssicherheit
Die Organisation muss ihre Anforderungen an die Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen, z. B. während einer Krise oder Katastrophe, ermitteln. Die besten ISMS verfügen bereits über umfassendere Anhang-A-Kontrollen, die die Notwendigkeit der Implementierung eines Disaster-Recovery-Prozesses oder eines Geschäftskontinuitätsplans gemäß A.17 abmildern.
Trotz dieser Bemühungen kann es immer noch zu größeren Störungen kommen, daher ist es wichtig, sich darauf vorzubereiten. Was passiert, wenn ein wichtiges Rechenzentrum mit Ihren Informationen und Anwendungen nicht mehr erreichbar ist? Was passiert, wenn ein schwerwiegender Datenverstoß auftritt, ein Ransomware-Angriff erfolgt, eine Schlüsselperson im Unternehmen ausfällt oder die Zentrale von einer schweren Überschwemmung heimgesucht wird?
Nachdem die verschiedenen Ereignisse und Szenarien berücksichtigt wurden, die geplant werden müssen, kann die Organisation den Plan dann in allen erforderlichen Details dokumentieren, um nachzuweisen, dass sie diese Probleme und die zu ihrer Lösung erforderlichen Schritte versteht.
ISO 22301 bietet einen strukturierteren Ansatz für die Geschäftskontinuität, der sehr elegant mit den Hauptanforderungen von ISO 27001 harmoniert.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
A.17.1.2 Umsetzung der Kontinuität der Informationssicherheit
Die Organisation muss Prozesse, Verfahren und Kontrollen einrichten, dokumentieren, implementieren und aufrechterhalten, um das erforderliche Maß an Kontinuität für die Informationssicherheit während einer Störsituation sicherzustellen. Sobald Anforderungen identifiziert wurden, muss die Organisation Richtlinien, Verfahren und andere physische oder technische Kontrollen implementieren, die angemessen und verhältnismäßig sind, um diese Anforderungen zu erfüllen.
Beschreibung der Verantwortlichkeiten, Aktivitäten, Eigentümer, Zeitpläne und durchzuführenden Abhilfemaßnahmen (über bereits bestehende Risiken und Richtlinien hinaus, z. B. Krisenkommunikation). Es sollten eine Managementstruktur und relevante Eskalationsauslösepunkte identifiziert werden, um sicherzustellen, dass bei zunehmender Schwere eines Ereignisses die entsprechende Eskalation an die zuständige Behörde effektiv und zeitnah erfolgt. Es sollte auch klargestellt werden, wann zum normalen Geschäftsbetrieb zurückgekehrt ist und alle BCP-Prozesse gestoppt werden.
A.17.1.3 Überprüfen, überprüfen und bewerten Sie die Kontinuität der Informationssicherheit
Die Organisation muss die eingerichteten und implementierten Kontrollen zur Informationssicherheitskontinuität in regelmäßigen Abständen überprüfen, um sicherzustellen, dass sie in diesen Situationen gültig und wirksam sind. Die für die Kontinuität der Informationssicherheit implementierten Kontrollen müssen regelmäßig getestet, überprüft und bewertet werden, um sicherzustellen, dass sie Änderungen im Geschäft, in den Technologien und im Risikoniveau standhalten.
Der Prüfer möchte sehen, dass Beweise vorliegen für: Regelmäßige Prüfung von Plänen und Kontrollen; Protokolle der Planaufrufe und der bis zur Lösung durchgeführten Maßnahmen sowie gewonnene Erkenntnisse; und regelmäßige Überprüfung und Änderungsmanagement, um sicherzustellen, dass Pläne vor Änderungen geschützt sind.
Was ist das Ziel von Anhang A.17.2?
In Anhang A.17.2 geht es um Entlassungen. Das Ziel dieser Anhang-A-Kontrolle besteht darin, die Verfügbarkeit von Informationsverarbeitungseinrichtungen sicherzustellen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
A.17.2.1 Verfügbarkeit von Informationsverarbeitungseinrichtungen
Eine gute Kontrolle beschreibt, wie Informationsverarbeitungseinrichtungen mit ausreichender Redundanz implementiert werden, um Verfügbarkeitsanforderungen zu erfüllen. Redundanz bezieht sich auf die Implementierung von typischerweise doppelter Hardware, um die Verfügbarkeit von Informationsverarbeitungssystemen sicherzustellen. Das Prinzip besteht darin, dass, wenn ein oder mehrere Elemente ausfallen, redundante Elemente die Aufgabe übernehmen.
Entscheidend hierfür ist das regelmäßige Testen redundanter Komponenten und Systeme, um sicherzustellen, dass ein Failover in einem angemessenen Zeitrahmen erreicht wird. Redundante Komponenten müssen mindestens so gut geschützt sein wie die primären Komponenten.
Viele Organisationen nutzen Cloud-basierte Anbieter und möchten daher sicherstellen, dass Redundanz in ihren Verträgen mit Lieferanten und im Rahmen der Richtlinie in A.15 wirksam berücksichtigt wird.
Der Prüfer erwartet, dass regelmäßig Tests durchgeführt werden, bei denen redundante Komponenten und Systeme vorhanden sind und sich unter der Kontrolle der Organisation befinden.
