Zweck der Kontrolle 8.13
Der Backup-Vorgang einer Organisation sollte ein breites Spektrum an Maßnahmen umfassen, die die Ausfallsicherheit verbessern und vor Geschäftsverlusten schützen, indem ein robuster und streng verwalteter Satz von Backup-Jobs unter Verwendung dedizierter Software und Dienstprogramme mit angemessenen Aufbewahrungsniveaus und vereinbarten Wiederherstellungszeiten eingerichtet wird.
Control 8.13 befürwortet a themenspezifisch Ansatz für Backups, der maßgeschneiderte Prozesse für jedes einzelne Thema umfasst und die verschiedenen Arten von Daten (und damit verbundenen Risikostufen) berücksichtigt, die Unternehmen während ihres gesamten Betriebs verarbeiten und darauf zugreifen.
Attributtabelle der Steuerung 8.13
Kontrolle 8.13 ist ein korrigierend Kontrolliere das hält das Risiko aufrecht durch die Implementierung von Richtlinien, die eine zeitnahe Wiederherstellung nach Daten- und/oder Systemverlusten oder -unterbrechungen ermöglichen.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Korrektur | #Integrität | #Genesen | #Kontinuität | #Schutz |
| #Verfügbarkeit |
Eigentum an der Kontrolle 8.13
Control 8.13 befasst sich mit täglichen Sicherungsvorgängen, die von Mitarbeitern des technischen Supports durchgeführt werden sollten, die für die Wartung des Netzwerks der Organisation verantwortlich sind.
Daher sollte das Eigentum an Control 8.13 bei der Person liegen, die für den täglichen IKT-Betrieb der Organisation verantwortlich ist, oder bei der Person, die einen ausgelagerten IKT-Vertrag überwacht.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 8.13
Organisationen sollten themenspezifische Richtlinien entwerfen, die direkt darauf eingehen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert.
Backup-Einrichtungen sollten mit dem vorrangigen Ziel implementiert werden, sicherzustellen, dass alle geschäftskritischen Daten, Software und Systeme nach den folgenden Ereignissen wiederhergestellt werden können:
- Datenverlust
- Intrusion
- Betriebsunterbrechung
- Ausfall von Systemen, Anwendungen oder Speichermedien
Jeder gemäß Control 8.13 erstellte Backup-Plan sollte darauf abzielen:
- Skizzieren Sie klare und prägnante Wiederherstellungsverfahren, die alle relevanten kritischen Systeme und Dienste abdecken.
- Erstellen Sie funktionsfähige Kopien aller Systeme, Daten oder Anwendungen, die von einem Backup-Auftrag abgedeckt werden.
- Erfüllen Sie die individuellen kommerziellen und betrieblichen Anforderungen der Organisation (z. B. Wiederherstellungszeitziele, Backup-Typen, Backup-Häufigkeit) (siehe Kontrolle 5.30).
- Speichern Sie Backups an einem geeigneten Ort, der vor Umwelteinflüssen geschützt ist, physisch von den Quelldaten getrennt ist, um einen vollständigen Datenverlust zu verhindern, und auf den zu Wartungszwecken sicher zugegriffen werden kann (siehe Kontrolle 8.1).
- Verpflichtung zur regelmäßigen Prüfung von Backup-Jobs, um die Datenverfügbarkeit zu gewährleisten, falls eine kurzfristige Wiederherstellung von Dateien, Systemen oder Anwendungen erforderlich sein sollte. Backup-Tests sollten an den vereinbarten Wiederherstellungszeiten der Organisation gemessen werden, um die Einhaltung im Falle eines Datenverlusts oder einer Systemunterbrechung sicherzustellen.
- Verschlüsseln Sie gesicherte Daten entsprechend ihrer Risikostufe.
- Überprüfen Sie, ob Daten verloren gegangen sind, bevor Sie Sicherungsaufträge ausführen.
- Implementieren Sie ein Berichtssystem, das das Wartungspersonal über den Status von Backup-Jobs – einschließlich vollständiger oder teilweiser Ausfälle – informiert, damit Abhilfemaßnahmen ergriffen werden können.
- Beziehen Sie Daten von Cloud-basierten Plattformen ein, die nicht direkt von der Organisation verwaltet werden.
- Speichern Sie Sicherungsdaten gemäß einer themenspezifischen Aufbewahrungsrichtlinie, die die zugrunde liegende Art und den Zweck der gesicherten Daten berücksichtigt, einschließlich der Übertragung und/oder Archivierung auf Speichermedien (siehe Steuerung 8.10).
Unterstützende Kontrollen
- 5.30
- 8.1
- 8.10
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
ISO 27002:2022-8.13 ersetzt ISO 27002:2003-12.3.1 (Informationssicherung).
ISO 27002:2022-8.13 enthält die gleichen betrieblichen Standards wie sein Gegenstück aus dem Jahr 2003, mit zusätzlichen Anleitungen in den folgenden Bereichen:
- Überprüfen Sie, ob Daten verloren gegangen sind, bevor Sie Sicherungsjobs ausführen
- Implementierung eines Berichtssystems
- Cloudbasierte Plattformen
- Speicherung von Backups gemäß einer themenspezifischen Aufbewahrungs- und Archivierungsrichtlinie
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISMS.online hilft Ihnen auch dabei, die Einhaltung des ISO 27002-Standards nachzuweisen, indem es ein Management-Dashboard, Berichte und Prüfprotokolle bereitstellt.
Unsere cloudbasierte Plattform bietet:
- Ein benutzerfreundliches und anpassbares Dokumentationsverwaltungssystem.
- Zugriff auf eine Bibliothek ausgefeilter, vorgefertigter Dokumentationsvorlagen.
- Ein vereinfachter Prozess zur Durchführung interner Audits.
- Eine effiziente Methode zur Kommunikation mit Management und Stakeholdern.
- Ein Workflow-Modul zur Optimierung des Implementierungsprozesses.
ISMS.online bietet all diese Funktionen und noch mehr.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
