Mục đích của Kiểm soát 8.6
Quản lý năng lực, trong bối cảnh CNTT, không chỉ giới hạn ở việc đảm bảo các tổ chức có đủ không gian trên máy chủ và phương tiện lưu trữ liên quan để truy cập dữ liệu và phục hồi sau thảm họa (BUDR).
Các tổ chức cần đảm bảo rằng họ có khả năng hoạt động với một bộ nguồn lực phục vụ cho nhiều chức năng kinh doanh khác nhau, bao gồm nhân sự, xử lý thông tin, quản lý địa điểm văn phòng vật lý và các cơ sở kèm theo.
Tất cả các chức năng này đều có khả năng ảnh hưởng xấu đến việc kiểm soát quản lý thông tin của một tổ chức.
Kiểm soát 8.6 là biện pháp kiểm soát phòng ngừa và phát hiện có mục đích kép , giúp duy trì rủi ro bằng cách triển khai các biện pháp kiểm soát phát hiện nhằm xác định và duy trì năng lực xử lý thông tin đầy đủ trên toàn tổ chức.
Bảng Thuộc tính
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa #Thám tử | #Tính toàn vẹn #Tính khả dụng | #Bảo vệ #Xác định #Phát hiện | #Tính liên tục | #Quản trị và Hệ sinh thái #Bảo vệ |
Quyền sở hữu kiểm soát 8.6
Kiểm soát 8.6 liên quan đến khả năng hoạt động liên tục của một tổ chức như một doanh nghiệp.
Do đó, quyền sở hữu phải thuộc về Giám đốc điều hành (hoặc cấp quản lý tương đương trong tổ chức), chịu trách nhiệm về tính toàn vẹn và hiệu quả hàng ngày của các chức năng kinh doanh trong tổ chức.
Hướng dẫn chung về Kiểm soát 8.6
Theo nghĩa rộng không chỉ dành riêng cho một loại tài nguyên cụ thể nào, Control 8.6 bao gồm 7 điểm hướng dẫn chung:
- Các tổ chức nên coi tính liên tục của hoạt động kinh doanh là ưu tiên hàng đầu khi triển khai các biện pháp kiểm soát quản lý năng lực, bao gồm việc triển khai toàn diện các biện pháp kiểm soát phát hiện để đánh dấu các vấn đề tiềm ẩn trước khi chúng xảy ra.
- Quản lý năng lực phải dựa trên các chức năng chủ động của việc điều chỉnh và giám sát . Cả hai yếu tố này phải hoạt động hài hòa để đảm bảo rằng các hệ thống và chức năng kinh doanh không bị tổn hại.
- Về mặt hoạt động, các tổ chức nên thực hiện các bài kiểm tra căng thẳng thường xuyên để thẩm vấn khả năng đáp ứng nhu cầu kinh doanh chung của hệ thống. Các bài kiểm tra như vậy nên được xây dựng trên cơ sở từng trường hợp cụ thể và có liên quan đến lĩnh vực hoạt động mà chúng nhắm tới.
- Các biện pháp kiểm soát quản lý năng lực không nên chỉ giới hạn ở dữ liệu hiện tại hoặc nhu cầu hoạt động của tổ chức mà phải bao gồm mọi kế hoạch mở rộng về mặt thương mại và kỹ thuật (cả về mặt vật lý và kỹ thuật số) để có thể sẵn sàng cho tương lai ở mức khả thi nhất.
- Việc mở rộng nguồn lực tổ chức phụ thuộc vào thời gian và chi phí khác nhau, tùy thuộc vào hệ thống hoặc chức năng kinh doanh đang xem xét. Các nguồn lực đắt hơn và khó mở rộng hơn phải chịu sự giám sát chặt chẽ hơn để bảo vệ tính liên tục của hoạt động kinh doanh .
- Ban quản lý cấp cao nên lưu ý đến những điểm lỗi đơn lẻ liên quan đến sự phụ thuộc vào nhân sự chủ chốt hoặc nguồn lực cá nhân. Nếu có bất kỳ khó khăn nào phát sinh với bất kỳ yếu tố nào trong số này, thường có thể dẫn đến những biến chứng khó khắc phục hơn nhiều.
- Xây dựng kế hoạch quản lý năng lực tập trung cụ thể vào các hệ thống và chức năng kinh doanh quan trọng.
Hướng dẫn – Quản lý nhu cầu
27002:2022-8.6 ủng hộ phương pháp tiếp cận hai mặt đối với quản lý năng lực nhằm tăng năng lực hoặc giảm nhu cầu về một nguồn lực hoặc một nhóm nguồn lực.
Khi cố gắng tăng năng lực, các tổ chức nên:
- Hãy cân nhắc việc thuê nhân viên mới để thực hiện chức năng kinh doanh.
- Mua, thuê hoặc cho thuê cơ sở vật chất hoặc không gian văn phòng mới.
- Mua, thuê hoặc thuê thêm khả năng xử lý, lưu trữ dữ liệu và RAM (tại chỗ hoặc lưu trữ trên đám mây).
- Hãy cân nhắc sử dụng các tài nguyên đám mây có khả năng mở rộng và đàn hồi , có thể mở rộng theo nhu cầu tính toán của tổ chức , với sự can thiệp tối thiểu.
Khi cố gắng giảm nhu cầu, các tổ chức nên:
- Xóa dữ liệu lỗi thời để giải phóng không gian lưu trữ trên máy chủ và phương tiện đính kèm.
- Xử lý an toàn mọi bản sao thông tin cứng mà tổ chức không còn cần nữa và không có nghĩa vụ pháp lý phải thu thập, theo luật định hoặc thông qua cơ quan quản lý.
- Ngừng sử dụng bất kỳ tài nguyên ICT, ứng dụng hoặc môi trường ảo nào không còn cần thiết.
- Kiểm tra kỹ các tác vụ CNTT theo lịch trình (bao gồm báo cáo, chức năng bảo trì tự động và quy trình hàng loạt) để tối ưu hóa tài nguyên bộ nhớ và giảm không gian lưu trữ do dữ liệu đầu ra chiếm dụng.
- Tối ưu hóa mọi mã ứng dụng hoặc truy vấn cơ sở dữ liệu được chạy thường xuyên đủ để ảnh hưởng đến năng lực hoạt động của tổ chức.
- Giới hạn lượng băng thông được phân bổ cho các hoạt động không quan trọng trong phạm vi mạng của tổ chức. Điều này có thể bao gồm hạn chế truy cập Internet và ngăn chặn phát trực tuyến video/âm thanh từ các thiết bị làm việc.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-8.6 thay thế 27002:2013-12.1.3 (Quản lý năng lực).
27002:2022-8.6 bao gồm một bộ hướng dẫn toàn diện hơn nhiều hướng dẫn các tổ chức về cách tăng năng lực hoặc giảm nhu cầu.
Ngoài ra, 27002:2013-12.1.3 không có hướng dẫn cụ thể nào về cách tăng năng lực, trái ngược với 27002:2022-8.6 phác thảo các phương án hành động cụ thể dẫn đến không gian thở khi vận hành rộng hơn.
27002:2013-12.1.3 cũng không có hướng dẫn nào về cách kiểm tra khả năng hoạt động hoặc kiểm toán khả năng quản lý năng lực liên tục của một tổ chức , ngoài việc đề xuất một kế hoạch quản lý năng lực.
Theo sự phát triển nhanh chóng của điện toán đám mây trong thập kỷ qua, 27002:2022-8.6 đưa ra lời khuyên rõ ràng cho các tổ chức về việc sử dụng các tài nguyên dựa trên đám mây có khả năng tự động mở rộng theo yêu cầu kinh doanh.
27002:2013-12.1.3 không đề cập đến cơ sở lưu trữ hoặc tính toán ngoài trang web.
