ISO 27701 Abschnitt 6.14: Gewährleistung der Kontinuität der Informationssicherheit
Kurz gesagt bedeutet Kontinuitätsplanung, sicherzustellen, dass ein Unternehmen seine Geschäftstätigkeit fortsetzen kann, wenn Probleme auftreten und Datenschutzinformationen – oder ganze Informationsverarbeitungseinrichtungen – gefährdet oder nicht verfügbar sind.
Geschäftskontinuität ist eng mit Backup und Disaster Recovery (BUDR) verbunden – einem technischen IKT-Konzept, das Redundanzschichten, Backups, Asset-Duplizierung und Alarmierung umfasst.
Was in ISO 27701 Abschnitt 6.14 behandelt wird
ISO 27701 konzentriert sich auf zwei Schlüsselbereiche des Kontinuitätsmanagements: Datenschutz, Informationssicherheit und Redundanz, über 4 Unterabschnitte:
- ISO 27701 6.14.1.1 – Planung der Kontinuität der Informationssicherheit (ISO 27002 Steuerung 5.29)
- ISO 27701 6.14.1.2 – Umsetzung der Kontinuität der Informationssicherheit (ISO 27002 Control 5.29)
- ISO 27701 6.14.1.3 – Verifizierung, Erneuerung und Bewertung der Kontinuität der Informationssicherheit (ISO 27002 Control 5.29)
- ISO 27701 6.14.2.1 – Verfügbarkeit von Informationsverarbeitungseinrichtungen (ISO 27002 Control 8.14)
Jeder Unterabschnitt enthält Leitlinieninformationen aus ISO 27002, die im Zusammenhang mit der Sicherheit von Datenschutzinformationen angewendet werden.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 6.14.1.1 – Planung der Kontinuität der Informationssicherheit
Referenzen ISO 27002-Steuerung 5.29
Organisationen sollten die Sicherheit vertraulicher Informationen als integralen Bestandteil eines umfassenderen Geschäftskontinuitätsmanagementverfahrens betrachten.
Die ISO fordert die Organisation auf, sich bei der Formulierung von Geschäftskontinuitätsplänen auf zwei Schlüsselbereiche zu konzentrieren:
- Verlust der Vertraulichkeit
- Die Integrität von Informationen
Die Integrität der Datenschutz- und Informationssicherheit sollte jederzeit gewahrt bleiben. Sollten personenbezogene Daten oder datenschutzrelevante Vermögenswerte in irgendeiner Weise kompromittiert werden, sollten Unternehmen so viel wie möglich tun, um sie zeitnah und effizient und auf dem gleichen Niveau wie vor der Störung wiederherzustellen.
Organisationen sollten:
- Arbeiten Sie mit allgemeinen Sicherheitskontrollen für den Datenschutz, die im Einklang mit den Geschäftskontinuitätsplänen funktionieren.
- Halten Sie sich an Prozesse, die in Zeiten von Unterbrechungen oder Geschäftsausfällen die Sicherheitskontrollen für den Datenschutz aufrechterhalten.
Wenn es zu einem bestimmten Zeitpunkt nicht möglich ist, Datenschutzkontrollen zur Informationssicherheit aufrechtzuerhalten (insbesondere in Zeiten von Störungen), sollten Organisationen „ausgleichende“ Kontrollen einführen, die darauf abzielen, ein möglichst hohes Maß an Informationssicherheit zu erreichen.
ISO 27701 Abschnitt 6.14.1.2 – Umsetzung der Kontinuität der Informationssicherheit
Referenzen ISO 27002-Steuerung 5.29
Siehe ISO 27701 Abschnitt 6.14.1.1
ISO 27701 Abschnitt 6.14.1.3 – Verifizieren, Erneuern und Bewerten der Informationssicherheit
Referenzen ISO 27002-Steuerung 5.29
Siehe ISO 27701 Abschnitt 6.14.1.1
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.14.2.1 – Verfügbarkeit von Informationsverarbeitungseinrichtungen
Referenzen ISO 27002-Steuerung 8.14
Organisationen sollten bestrebt sein, sicherzustellen, dass Unternehmensdienste und Datenschutzinformationssysteme jederzeit betriebsbereit sind.
ISO empfiehlt Duplizierung als Redundanzmechanismus – Unternehmen sollten einen Bestand an Ersatzteilen, doppelten Hardware- und Softwarekomponenten, Ersatznetzwerkgeräten und Peripheriegeräten führen, die gegen fehlerhafte Anlagen im gesamten Netzwerk ausgetauscht werden können.
Es sollten Warnungen eingerichtet werden, um zunächst fehlerhafte Verarbeitungseinrichtungen für Datenschutzinformationen zu identifizieren und so schnell wie möglich alternative Systeme bereitzustellen.
Organisationen sollten:
- Stellen Sie eine dauerhafte Beziehung zu zwei separaten Dienstleistern sicher und reduzieren Sie so das Risiko von Ausfallzeiten.
- Berücksichtigen Sie beim Entwurf und der Implementierung von Netzwerken Redundanzmaßnahmen, z. B. mehrere Domänencontroller und BUDR-Pläne.
- Nutzen Sie geografisch getrennte Standorte für Backups und zugehörige Datendienste.
- Nutzen Sie bekannte Branchentechniken wie Lastausgleich und automatisches Failover zwischen zwei identischen redundanten Softwarekomponenten oder Systemen.
- Testen Sie Redundanzmaßnahmen regelmäßig, um sicherzustellen, dass sie im Bedarfsfall den Geschäftsanforderungen gerecht werden.
- Arbeiten Sie mit doppelten Speicherkomponenten (RAID-Arrays, CPUs) und Netzwerkgeräten mit übereinstimmenden Firmware-Versionen.
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.14.1.1 | Planung der Kontinuität der Informationssicherheit |
5.29 – Informationssicherheit während einer Störung für ISO 27002 |
Keine Präsentation |
| 6.14.1.2 | Umsetzung der Kontinuität der Informationssicherheit |
5.29 – Informationssicherheit während einer Störung für ISO 27002 |
Keine Präsentation |
| 6.14.1.3 | Überprüfen, erneuern und bewerten Sie die Kontinuität der Informationssicherheit |
5.29 – Informationssicherheit während einer Störung für ISO 27002 |
Keine Präsentation |
| 6.14.2.1 | Verfügbarkeit von Informationsverarbeitungseinrichtungen |
8.14 – Redundanz von Informationsverarbeitungsanlagen für ISO 27002 |
Keine Präsentation |
Wie ISMS.online hilft
Unsere ISMS.online-Lösungen erleichtern Organisationen die Projektüberwachung und stellen sicher, dass die Richtlinien und Verfahren für Datenverantwortliche und -verarbeiter dem ISO-Standard entsprechen.
Unser Online-System stellt außerdem sicher, dass Systemimplementierer einen einzigen Ort für Referenz und Zusammenarbeit haben. Mit unserer Assured Results Method (ARM) können Sie sicher sein, dass Sie alle Kriterien erfüllen, die Sie zur Einhaltung des Standards benötigen.
Erfahren Sie mehr von Buchen Sie eine praktische Demo.
