מהי המטרה של נספח A.17.1?
נספח A.17.1 עוסק בהמשכיות אבטחת מידע. המטרה בבקרה נספח א' זו היא שהמשכיות אבטחת המידע תהיה מוטמעת במערכות ניהול ההמשכיות העסקית של הארגון. זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.
A.17.1.1 תכנון המשכיות אבטחת מידע
על הארגון לקבוע את דרישותיו לאבטחת מידע ולהמשכיות ניהול אבטחת המידע במצבים שליליים, למשל בעת משבר או אסון. למערכות ה-ISMS הטובות ביותר כבר יהיו בקרות נספח א' רחבות יותר המפחיתות את הצורך ביישום תהליך התאוששות מאסון או תוכנית המשכיות עסקית בהתאם ל-A.17.
למרות מאמץ זה, עדיין עלולים להתרחש אירועים משבשים משמעותיים יותר, ולכן חשוב לתכנן אותם. מה קורה כאשר מרכז נתונים גדול שבו נמצא המידע והיישומים שלכם הופך ללא זמין? מה קורה כאשר מתרחשת פרצת נתונים משמעותית, מתבצעת מתקפת כופר או שאדם מפתח בעסק אינו פעיל, או שאולי המשרד הראשי סובל מהצפה גדולה?
לאחר שקלט את האירועים והתרחישים השונים שיש לתכנן עבורם, הארגון יכול לתעד את התוכנית בכל פרט שנדרש כדי להוכיח שהוא מבין את הנושאים הללו ואת השלבים הנדרשים לטיפול בהם.
ISO 22301 מציע גישה מובנית יותר להמשכיות עסקית המשתלבת באלגנטיות רבה עם הדרישות העיקריות של ISO 27001.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
A.17.1.2 יישום המשכיות אבטחת מידע
הארגון צריך להקים, לתעד, להטמיע ולתחזק תהליכים, נהלים ובקרות כדי להבטיח את רמת ההמשכיות הנדרשת לאבטחת מידע בעת מצב משבש. לאחר שזוהו דרישות, על הארגון ליישם מדיניות, נהלים ובקרות פיזיות או טכניות אחרות שהן נאותות ומידתיות על מנת לעמוד בדרישות אלו.
תיאור האחריות, הפעילויות, הבעלים, לוחות הזמנים, העבודות המפחיתות שיש לבצע (מעבר לסיכונים ולמדיניות שכבר פועלים, למשל תקשורת משברים). יש לזהות מבנה ניהולי ונקודות טריגר רלוונטיות להסלמה כדי להבטיח שאם וכאשר אירוע יגבר בחומרת ההסלמה הרלוונטית לרשות המתאימה תתבצע ביעילות ובזמן. כמו כן, יש להבהיר מתי יש חזרה לעבודה כרגיל וכל תהליכי BCP נעצרים.
A.17.1.3 אימות, סקירה והערכת המשכיות של אבטחת מידע
על הארגון לאמת את בקרות המשכיות אבטחת המידע שהוקמו והיושמו במרווחי זמן קבועים על מנת להבטיח שהן תקפות ויעילות במצבים אלו. הבקרות המיושמות להמשכיות אבטחת המידע חייבות להיבדק, לבחון ולהעריך מעת לעת כדי להבטיח שהן נשמרות כנגד שינויים בעסק, בטכנולוגיות וברמות הסיכון.
המבקר ירצה לראות שיש ראיות של; בדיקות תקופתיות של תוכניות ובקרות; יומנים של הפניות לתוכנית והפעולות שבוצעו עד לפתרון והפקת לקחים; ובדיקה תקופתית וניהול שינויים כדי להבטיח שתכניות נשמרות כנגד שינויים.
מהי המטרה של נספח A.17.2?
נספח A.17.2 עוסק בפיטורים. המטרה בפיקוח נספח א' זה היא להבטיח זמינות של מתקני עיבוד מידע.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
A.17.2.1 זמינות מתקני עיבוד מידע
בקרה טובה מתארת כיצד מיושמים מתקני עיבוד מידע עם מספיק יתירות כדי לעמוד בדרישות הזמינות. יתירות מתייחסת ליישום, בדרך כלל, חומרה כפולה כדי להבטיח זמינות של מערכות עיבוד מידע. העיקרון הוא שאם פריט אחד או יותר נכשל, אז יש פריטים מיותרים שישתלטו.
קריטי לכך היא בדיקה של רכיבים ומערכות מיותרים מעת לעת כדי להבטיח שכשל-אובר יושג במסגרת זמן סבירה. רכיבים מיותרים חייבים להיות מוגנים באותה רמה או יותר מהרכיבים הראשיים.
ארגונים רבים משתמשים בספקים מבוססי ענן ולכן הם ירצו להבטיח שהיתירות תטופל ביעילות בחוזים שלהם עם ספקים וכחלק מהמדיניות ב-A.15.
המבקר יצפה לראות שהבדיקות מתבצעות על בסיס תקופתי, כאשר רכיבים ומערכות מיותרים נמצאים במקום ובשליטה של הארגון.
