Zweck der Kontrolle 5.30
Control 5.30 erkennt die wichtige Rolle an, die IKT-Plattformen und -Dienste dabei spielen Aufrechterhaltung der Geschäftskontinuität, nach einer Störung oder einem kritischen Ereignis.
Control 5.30 beschreibt, wie IKT-Dienste mit verschiedenen Schlüsselmetriken und unterstützenden Kontrollen, einschließlich denen einer Organisation, interagieren Wiederherstellungszeitziel (RTO) und die insgesamt Business-Impact-Analyse (BIA).
Das Endziel besteht darin, sicherzustellen, dass die Informationsintegrität und -verfügbarkeit vor, während und nach einer Zeit der Geschäftsunterbrechung gewahrt bleibt.
Attributtabelle der Steuerung 5.30
5.30 ist korrigierend Kontrolle, die das Risiko aufrechterhält, indem sie IKT-Kontinuitätspläne, die zur allgemeinen betrieblichen Belastbarkeit der Organisation beitragen.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Korrektur | #Verfügbarkeit | #Antworten | #Kontinuität | #Elastizität |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Anleitung zur Kontrolle 5.30
Durch Control 5.30 erstellte Prozesse und Verfahren sollten nach einer gründlichen BIA entworfen werden, die berücksichtigt, wie eine Organisationsbedürfnisse bei Betriebsstörungen reagieren zu können.
Eine BIA sollte zur Messung unterschiedliche Wirkungsarten und organisationsspezifische Variablen nutzen wie sich die Geschäftskontinuität auswirken wird, falls einzelne oder alle Produkte und Dienstleistungen aufgrund von Störungen jeglichen Ausmaßes nicht verfügbar oder nicht funktionsfähig sein sollten.
Organisationen sollten zwei Schlüsselvariablen verwenden, um eine vereinbarte RTO zu formulieren, die klare Ziele für die Wiederaufnahme des normalen Betriebs festlegt:
a) Größenordnung der Störung
b) tippe der erlebten Störung
Im Rahmen ihrer BIA sollten Organisationen in der Lage sein, genau anzugeben, welche IKT-Dienste und -Funktionen erforderlich sind, um eine Wiederherstellung zu erreichen, einschließlich individueller Leistung und Kapazität Anforderungen.
Organisationen sollten einer Gefährdungsbeurteilung unterziehen das ihre IKT-Systeme bewertet und die Grundlage für eine (oder mehrere) IKT-Kontinuitätsstrategie(n) bildet, die die Erholung vor, während und nach einer Unterbrechungsphase unterstützt.
Sobald eine Strategie vereinbart wurde, sollten spezifische Prozesse und Pläne eingeführt werden, um sicherzustellen, dass IKT-Dienste robust und ausreichend sind, um zur Wiederherstellung kritischer Prozesse und Systeme vor, während und nach einer Störung beizutragen.
Im Rahmen der IKT-Kontinuitätspläne wird in Control 5.30 dargelegt drei Hauptorientierungspunkte:
- Bei IKT-Vorfällen müssen häufig schnelle Entscheidungen in Bezug auf die Informationssicherheit von leitenden Mitarbeitern getroffen werden, um die Wiederherstellung zu beschleunigen.
- IKT-Kontinuitätsplänen sollte große Aufmerksamkeit gewidmet werden, einschließlich regelmäßiger Tests und Bewertungen sowie der Genehmigung durch die Geschäftsleitung.
- IKT-Kontinuitätspläne sollten die folgenden Informationen enthalten:
Organisationen müssen dafür eine robuste Befehlskette aufrechterhalten umfasst kompetente Personen mit der Fähigkeit, maßgebliche Entscheidungen zu technischen Fragen im Zusammenhang mit der Geschäftskontinuität und der RTO-Einhaltung zu treffen.
Organisationsstrukturen müssen auf dem neuesten Stand sein und umfassend kommuniziert werden, um eine angemessene Kommunikation zu ermöglichen und die Wiederherstellungszeiten zu verkürzen.
Unternehmen sollten Testläufe durchführen, um ihre Wirksamkeit zu messen und wichtige Kennzahlen wie Reaktions- und Lösungszeiten zu messen.
a) Leistungs- und Kapazitätsanforderungen aller Systeme oder Prozesse, die bei Wiederherstellungsbemühungen verwendet werden
b) eine klare RTO für jeden betreffenden IKT-Dienst und wie die Organisation diese wiederherstellen möchte
c) Für jede IKT-Ressource wird ein Wiederherstellungspunktziel (RPO) festgelegt und es werden Verfahren erstellt, die sicherstellen, dass Informationen wiederhergestellt werden können.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Änderungen gegenüber ISO 27002:2013
ISO 27002:2022, Kontrolle 5.30 ist eine neue Kontrolle ohne Vorrang in ISO 27002:2013.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Prozess einzubeziehen Aufbau Ihres ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
