Control 5.30 - Préparation aux TIC pour la continuité des activités

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Objectif du contrôle 5.30

Control 5.30 reconnaît le rôle important joué par les plateformes et services TIC dans maintenir la continuité des activités, suite à une perturbation ou à un événement critique.

Control 5.30 décrit comment les services TIC interagissent avec diverses mesures clés et contrôles de support, y compris les objectif de temps de récupération (RTO) et l'ensemble analyse d'impact sur l'entreprise (BIA).

L’objectif final est de garantir que l’intégrité et la disponibilité des informations sont maintenues avant, pendant et après une période de perturbation des activités.

Attributs Table de contrôle 5.30

5.30 est un correctif contrôle qui maintient le risque en créant Plans de continuité des TIC qui contribuent au niveau global de résilience opérationnelle de l'organisation.

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Correctif	#Disponibilité	#Répondre	#Continuité	#Résistance

Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Orientations générales de contrôle 5.30

Les processus et procédures créés via le contrôle 5.30 doivent être rédigés à la suite d'une BIA approfondie, qui considère comment un besoins de l'organisation réagir en cas de perturbation opérationnelle.

Un BIA doit utiliser différents types d’impact et des variables spécifiques à l’organisation pour évaluer comment la continuité des activités sera affectée, si un ou tous les produits et services devaient être rendus indisponibles ou inutilisables, en raison d'un niveau de perturbation quelconque.

Les organisations doivent utiliser deux variables clés pour formuler un RTO convenu, qui fixe des objectifs clairs pour la reprise des opérations normales :

a) le ampleur de la perturbation

b) l' type des perturbations subies

Dans leur BIA, les organisations devraient être en mesure de spécifier précisément quels services et fonctions TIC sont nécessaires pour réaliser la reprise, y compris les services individuels. performance , capacité exigences.

Les organisations devraient subir une évaluation des risques qui évalue leurs systèmes TIC et constitue la base d’une ou plusieurs stratégies de continuité des TIC qui soutiennent la reprise avant, pendant et après une période de perturbation.

Une fois qu'une stratégie a été convenue, des processus et des plans spécifiques doivent être mis en place pour garantir que les services TIC sont suffisamment résilients et adéquats pour contribuer à la reprise des processus et des systèmes critiques, avant, pendant et après une interruption.

Dans le cadre des plans de continuité TIC, le Contrôle 5.30 définit trois points d’orientation principaux:

Les incidents informatiques nécessitent souvent que des décisions rapides soient prises en matière de sécurité de l'information par des membres du personnel senior, afin d'accélérer la récupération.

Les organisations doivent maintenir une chaîne de commandement solide qui comprend des personnes compétentes avec la capacité de prendre des décisions faisant autorité sur les questions techniques liées à la continuité des activités et au respect des RTO.

Les structures organisationnelles doivent être à jour et largement communiquées, pour faciliter une communication adéquate et accélérer les temps de rétablissement.

Les plans de continuité des TIC doivent faire l'objet d'une grande attention, notamment de tests et d'évaluations réguliers et d'approbation par la haute direction.

Les organisations doivent effectuer des tests pour évaluer leur efficacité et mesurer des indicateurs clés tels que les temps de réponse et de résolution.

Les plans de continuité des TIC doivent contenir les informations suivantes :

a) exigences de performance et de capacité de tout système ou processus utilisé dans les efforts de rétablissement

b) un RTO clair pour chaque service TIC en question, et comment l'organisation vise à les restaurer

c) un objectif de point de récupération (RPO) est désigné pour chaque ressource TIC et des procédures sont créées pour garantir que les informations peuvent être restaurées.

La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Modifications par rapport à la norme ISO 27002:2013

ISO 27002: 2022, le contrôle 5.30 est un nouveau contrôle sans priorité dans la norme ISO 27002:2013.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	NEW	Intelligence de la menace
5.23	NEW	Sécurité des informations pour l'utilisation des services cloud
5.30	NEW	Préparation aux TIC pour la continuité des activités
7.4	NEW	Surveillance de la sécurité physique
8.9	NEW	Gestion de la configuration
8.10	NEW	Suppression des informations
8.11	NEW	Masquage des données
8.12	NEW	Prévention des fuites de données
8.16	NEW	Activités de surveillance
8.23	NEW	filtrage web
8.28	NEW	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	NEW	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	NEW	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	NEW	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Tamisage
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	NEW	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	NEW	Gestion de la configuration
8.10	NEW	Suppression des informations
8.11	NEW	Masquage des données
8.12	NEW	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	NEW	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	NEW	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	NEW	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.

Notre plateforme est intuitif et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de construire votre SMSI, car cela vous aide à construire un système véritablement durable.

Contactez-nous dès aujourd'hui pour réserver une démo.