Control 5.30 – IKT-Bereitschaft für Geschäftskontinuität

ISO 27002: 2022 - Kontrolle 5.30 - IKT -Bereitschaft zur Geschäftskontinuität

ISO 27002:2022 Control 5.30 betont die IKT-Bereitschaft für die Geschäftskontinuität durch die Gewährleistung einer robusten Business Impact Analysis (BIA), Recovery Time Objectives (RTO) und IKT-Kontinuitätsplänen, um Störungen zu minimieren und eine schnelle Wiederherstellung zu ermöglichen.

Zweck der Kontrolle 5.30

Control 5.30 erkennt die wichtige Rolle an, die IKT-Plattformen und -Dienste dabei spielen Aufrechterhaltung der Geschäftskontinuität, nach einer Störung oder einem kritischen Ereignis.

Control 5.30 beschreibt, wie IKT-Dienste mit verschiedenen Schlüsselmetriken und unterstützenden Kontrollen, einschließlich denen einer Organisation, interagieren Wiederherstellungszeitziel (RTO) und die insgesamt Business-Impact-Analyse (BIA).

Das Endziel besteht darin, sicherzustellen, dass die Informationsintegrität und -verfügbarkeit vor, während und nach einer Zeit der Geschäftsunterbrechung gewahrt bleibt.

Attributtabelle der Steuerung 5.30

5.30 ist korrigierend Kontrolle, die das Risiko aufrechterhält, indem sie IKT-Kontinuitätspläne, die zur allgemeinen betrieblichen Belastbarkeit der Organisation beitragen.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Korrektur	#Verfügbarkeit	#Antworten	#Kontinuität	#Elastizität

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Anleitung zur Kontrolle 5.30

Durch Control 5.30 erstellte Prozesse und Verfahren sollten nach einer gründlichen BIA entworfen werden, die berücksichtigt, wie eine Organisationsbedürfnisse bei Betriebsstörungen reagieren zu können.

Eine BIA sollte zur Messung unterschiedliche Wirkungsarten und organisationsspezifische Variablen nutzen wie sich die Geschäftskontinuität auswirken wird, falls einzelne oder alle Produkte und Dienstleistungen aufgrund von Störungen jeglichen Ausmaßes nicht verfügbar oder nicht funktionsfähig sein sollten.

Organisationen sollten zwei Schlüsselvariablen verwenden, um eine vereinbarte RTO zu formulieren, die klare Ziele für die Wiederaufnahme des normalen Betriebs festlegt:

a) Größenordnung der Störung

b) tippe der erlebten Störung

Im Rahmen ihrer BIA sollten Organisationen in der Lage sein, genau anzugeben, welche IKT-Dienste und -Funktionen erforderlich sind, um eine Wiederherstellung zu erreichen, einschließlich individueller Leistung kombiniert mit einem nachhaltigen Materialprofil. Kapazität Anforderungen.

Organisationen sollten einer Gefährdungsbeurteilung unterziehen das ihre IKT-Systeme bewertet und die Grundlage für eine (oder mehrere) IKT-Kontinuitätsstrategie(n) bildet, die die Erholung vor, während und nach einer Unterbrechungsphase unterstützt.

Sobald eine Strategie vereinbart wurde, sollten spezifische Prozesse und Pläne eingeführt werden, um sicherzustellen, dass IKT-Dienste robust und ausreichend sind, um zur Wiederherstellung kritischer Prozesse und Systeme vor, während und nach einer Störung beizutragen.

Im Rahmen der IKT-Kontinuitätspläne wird in Control 5.30 dargelegt drei Hauptorientierungspunkte:

Bei IKT-Vorfällen müssen häufig schnelle Entscheidungen in Bezug auf die Informationssicherheit von leitenden Mitarbeitern getroffen werden, um die Wiederherstellung zu beschleunigen.

Organisationen müssen dafür eine robuste Befehlskette aufrechterhalten umfasst kompetente Personen mit der Fähigkeit, maßgebliche Entscheidungen zu technischen Fragen im Zusammenhang mit der Geschäftskontinuität und der RTO-Einhaltung zu treffen.

Organisationsstrukturen müssen auf dem neuesten Stand sein und umfassend kommuniziert werden, um eine angemessene Kommunikation zu ermöglichen und die Wiederherstellungszeiten zu verkürzen.

IKT-Kontinuitätsplänen sollte große Aufmerksamkeit gewidmet werden, einschließlich regelmäßiger Tests und Bewertungen sowie der Genehmigung durch die Geschäftsleitung.

Unternehmen sollten Testläufe durchführen, um ihre Wirksamkeit zu messen und wichtige Kennzahlen wie Reaktions- und Lösungszeiten zu messen.

IKT-Kontinuitätspläne sollten die folgenden Informationen enthalten:

a) Leistungs- und Kapazitätsanforderungen aller Systeme oder Prozesse, die bei Wiederherstellungsbemühungen verwendet werden

b) eine klare RTO für jeden betreffenden IKT-Dienst und wie die Organisation diese wiederherstellen möchte

c) Für jede IKT-Ressource wird ein Wiederherstellungspunktziel (RPO) festgelegt und es werden Verfahren erstellt, die sicherstellen, dass Informationen wiederhergestellt werden können.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Änderungen gegenüber ISO 27002:2013

ISO 27002:2022, Kontrolle 5.30 ist eine neue Kontrolle ohne Vorrang in ISO 27002:2013.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Prozess einzubeziehen Aufbau Ihres ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet