Sự cố hoặc gián đoạn của các tiện ích như điện, khí đốt, nước hoặc hệ thống làm mát cần thiết cho hoạt động liên tục và bình thường của các cơ sở xử lý thông tin có thể dẫn đến nguy cơ xâm phạm tài sản thông tin hoặc có thể làm gián đoạn hoạt động kinh doanh .
Ví dụ, sự cố của thiết bị điều hòa không khí trong một trung tâm dữ liệu có thể dẫn đến nhiệt độ tăng đột ngột khi trung tâm dữ liệu bị ảnh hưởng bởi đợt nắng nóng. Điều này có thể khiến các máy chủ lưu trữ trang web và/hoặc dữ liệu khách hàng bị tắt, và do đó dẫn đến mất dữ liệu khả dụng và gián đoạn hoạt động kinh doanh.
Tiêu chuẩn Kiểm soát 7.11 đề cập đến cách các tổ chức có thể loại bỏ rủi ro đối với tính khả dụng và tính toàn vẹn của tài sản thông tin do sự cố của các tiện ích hỗ trợ như khí đốt, làm mát, viễn thông, nước và điện.
Mục đích của Kiểm soát 7.11
Kiểm soát 7.11 cho phép các tổ chức loại bỏ và giảm thiểu rủi ro đối với tính khả dụng và tính toàn vẹn của tài sản thông tin cũng như tính liên tục của hoạt động kinh doanh bằng cách đưa ra các biện pháp thích hợp để bảo vệ các tiện ích hỗ trợ khỏi các sự cố và gián đoạn như mất điện.
Bảng Thuộc tính
Tiêu chuẩn Kiểm soát 7.11 mang tính chất vừa phát hiện vừa phòng ngừa vì nó yêu cầu các tổ chức phải có biện pháp chủ động và thực hiện các biện pháp phòng ngừa để chống lại các rủi ro ảnh hưởng đến hoạt động bình thường và liên tục của các tiện ích cần thiết cho cơ sở xử lý thông tin như trung tâm dữ liệu, hệ thống mạng và thiết bị máy tính.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa #Thám tử | #Tính toàn vẹn #Tính khả dụng | #Bảo vệ #Phát hiện | #An ninh vật lý | #Sự bảo vệ |
Quyền sở hữu kiểm soát 7.11
Kiểm soát 7.11 bao gồm việc xác định rủi ro đối với hoạt động liên tục của các tiện ích hỗ trợ và triển khai các biện pháp và kiểm soát thích hợp để đảm bảo tính khả dụng và tính toàn vẹn của tài sản thông tin không bị ảnh hưởng bởi sự cố của các tiện ích này.
Trong khi vai trò và nỗ lực của nhóm quản lý cơ sở là rất quan trọng, người quản lý an ninh thông tin phải chịu trách nhiệm tuân thủ Kiểm soát 7.11.
Hướng dẫn chung về tuân thủ
Sau khi nhấn mạnh rằng các tiện ích hỗ trợ như cấp nước, điện, thông tin liên lạc, xử lý nước thải và điều hòa không khí đóng vai trò quan trọng đối với các hoạt động được thực hiện tại các cơ sở xử lý thông tin.
Hướng dẫn chung liệt kê bảy khuyến nghị chính mà các tổ chức nên lưu ý để tuân thủ Kiểm soát 7.11:
- Các tổ chức phải tuân thủ hướng dẫn của nhà sản xuất khi cấu hình, sử dụng và bảo trì các thiết bị dùng để kiểm soát tiện ích.
- Các công ty tiện ích cần được kiểm toán để đảm bảo rằng họ phù hợp để thực hiện các mục tiêu tăng trưởng kinh doanh và hoạt động cùng các công ty tiện ích khác mà không có bất kỳ vấn đề nào.
- Tất cả các thiết bị hỗ trợ tiện ích phải được kiểm tra và thử nghiệm thường xuyên để đảm bảo không có sự gián đoạn hoặc hỏng hóc nào xảy ra.
- Tùy thuộc vào mức độ rủi ro đối với tài sản thông tin và tính liên tục của hoạt động kinh doanh , hệ thống báo động có thể được thiết lập cho các thiết bị hỗ trợ tiện ích bị trục trặc.
- Để giảm thiểu rủi ro, các tiện ích nên có nhiều nguồn cấp dữ liệu với định tuyến vật lý riêng biệt.
- Mạng kết nối với thiết bị hỗ trợ tiện ích phải được tách biệt khỏi mạng kết nối với cơ sở CNTT.
- Thiết bị hỗ trợ tiện ích chỉ được phép kết nối Internet khi thực sự cần thiết và kết nối này phải được thiết lập theo cách an toàn.
Hướng dẫn bổ sung
Ngoài Hướng dẫn chung, Kiểm soát 7.11 bao gồm các khuyến nghị về hai vấn đề cụ thể:
- Thủ tục khẩn cấp
Các tổ chức nên xác định người liên lạc khẩn cấp và ghi lại thông tin liên lạc của người đó. Những thông tin này nên được cung cấp cho tất cả nhân viên trong trường hợp xảy ra sự cố hoặc gián đoạn.
Các công tắc và van khẩn cấp để dừng các tiện ích như nước, gas và điện phải được đặt gần lối thoát hiểm.
Hệ thống chiếu sáng và thông tin liên lạc khẩn cấp phải sẵn sàng để sử dụng trong trường hợp khẩn cấp xảy ra.
- Kết nối mạng
Các tổ chức có thể cân nhắc việc có thêm các tuyến đường từ các nhà cung cấp dịch vụ thay thế để tăng khả năng kết nối mạng nhằm ngăn ngừa sự cố hoặc gián đoạn của các tiện ích hỗ trợ.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/7.11 thay thế 27002:2013/(11.2.2)
Mặc dù phiên bản 2022 khá giống với phiên bản 2013 nhưng vẫn có một điểm khác biệt chính.
Phiên bản ISO 27002:2022 đưa ra hai yêu cầu sau trong Hướng dẫn chung:
- Mạng kết nối với thiết bị hỗ trợ tiện ích phải được tách biệt khỏi mạng kết nối với cơ sở CNTT.
- Thiết bị hỗ trợ tiện ích chỉ được phép kết nối Internet khi thực sự cần thiết và kết nối này phải được thiết lập theo cách an toàn.
