Zweck der Kontrolle 5.29
Trotz des breiten Spektrums an Präventionsmaßnahmen, die Organisationen zur Verfügung stehen ISO 27002:2022 Wenn Sie sich daran halten, können und werden Störungen der Geschäftskontinuität und des Standardbetriebs auftreten.
Control 5.29 beschreibt die betrieblichen Anpassungen, die Organisationen zum Schutz bei Störungen vornehmen sollten Informationen und schützen Unternehmenswerte.
Attributtabelle
5.22 hat einen doppelten Zweck präventiv und korrigierend Kontrolliere das hält das Risiko aufrecht durch die Umsetzung eines Plans, der die Informationssicherheit in Zeiten von Störungen erhöht und Schäden an den Vermögenswerten der Organisation mindert.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Kontinuität | #Schutz |
| #Korrektur | #Integrität | #Antworten | #Elastizität | |
| #Verfügbarkeit |
Eigentum an der Kontrolle 5.29
Kontrolle 5.29 bezieht sich auf betriebsbereit Informationssicherheitsprozess und -verfahren die aktiviert werden, sobald kritische Ereignisse oder Betriebsunterbrechungen auftreten.
Daher sollte die Verantwortung für Control 5.29 bei einem Mitglied des leitenden Managementteams liegen, das die täglichen Abläufe und/oder Kontinuitätsplanungsvoraussetzungen der Organisation überwacht, wie z Chief Operating Officer (COO).
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 5.29
Control 5.29 legt fest, dass Informationssicherheit ein wesentlicher Bestandteil des Gesamtkonzepts einer Organisation sein sollte Verfahren zum Geschäftskontinuitätsmanagement.
Organisationen sollten Pläne erstellen, die auf die Aufrechterhaltung abzielen Integrität der Informationssicherheitwiederherstellen und anschließend wiederherstellen, falls die Informationen infolge einer Betriebsunterbrechung oder eines Systemausfalls in irgendeiner Weise gefährdet sein sollten.
Das Sicherheitsniveau sollte auf das Niveau vor der Unterbrechung wiederhergestellt werden, und zwar so rechtzeitig, dass weitere Schäden abgemildert werden.
Dabei sollten Organisationen:
- Implementieren und pflegen Sie allgemeine Informationssicherheitskontrollen, einschließlich Geschäftssystemen und IKT-Plattformen, die in den umfassenderen Kontinuitätsplänen der Organisation enthalten sind.
- Implementieren Sie Prozesse, die darauf abzielen, die Informationssicherheitskontrollen während jeder Störung aufrechtzuerhalten.
- Setzen Sie gegebenenfalls kompensierende Kontrollen für alle Bemühungen im Zusammenhang mit der Informationssicherheit ein, die während einer Unterbrechungsphase nicht aufrechterhalten werden können.
Ergänzende Anleitung
Control 5.29 erkennt die äußerst variable Natur der Kontinuitätsplanung an und gibt diese an Unternehmen einen erheblichen Spielraum bei der Umsetzung der Informationssicherheit Kontrollen, die speziell auf die verschiedenen Arten von Geschäftsunterbrechungen zugeschnitten sind, denen Unternehmen ausgesetzt sein können.
Die ISO fordert die Organisation auf, sich auf zwei Schlüsselbereiche zu konzentrieren Formulierung eines Business-Continuity-Plans:
a) Verlust der Vertraulichkeit
b) die Integrität von Informationen
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-5.29 ersetzt die folgenden drei Kontrollen aus 27002:2013:
- 17.1 - Informationssicherheit planen Kontinuität
- 17.1.2 – Umsetzung der Kontinuität der Informationssicherheit
- 17.1.3 – Überprüfen, überprüfen und bewerten Sie die Kontinuität der Informationssicherheit
Angesichts der Komplexität von Geschäftskontinuitätsplänen – und der Tatsache, dass sie sich je nach Art der Unterbrechung unterscheiden – hat die ISO ihre Leitlinien vereinfacht, indem sie von einem granularen Ansatz abweicht und Organisationen auffordert, stattdessen einige grundlegende Punkte bei der Ausarbeitung fachspezifischer Pläne zu berücksichtigen Pläne (siehe oben).
Beispielsweise heißt es in einem Teil der Leitlinien in 17.1.2:
„Personal zur Reaktion auf Vorfälle mit der erforderlichen Verantwortung, Autorität und Kompetenz zur Bewältigung eines Vorfalls und Aufrechterhaltung der Informationssicherheit sind nominiert.“
Trotz ihrer Bedeutung für eine effektive Kontinuitätsplanung erwähnt 5.29 die Incident-Response-Teams nicht ausdrücklich und vertraut darauf, dass die Organisation sie in allen Punkten der Leitlinien berücksichtigt, insbesondere:
- Implementieren und pflegen Sie allgemeine Informationssicherheitskontrollen, einschließlich Geschäftssystemen und IKT-Plattformen, die in den umfassenderen Kontinuitätsplänen der Organisation enthalten sind.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Eine cloudbasierte Plattform für ISO 27002 Mit der Implementierung von ISMS.online können Sie Ihre Risikomanagementprozesse im Bereich der Informationssicherheit einfach und effektiv verwalten.
Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
