Trainingen Referenties Werken bij Vacatures
Kennisbank Over ons Team Cuccibu Contact
Onze diensten
Kwaliteit
Milieu & Energie
Arboveiligheid
Informatiebeveiliging
Risicomanagement
Managementservices
Trainingen Referenties Werken bij Vacatures Kennisbank Over ons Team Cuccibu Contact
Blogs Bedrijfscontinuïteit in relatie met ISO 27001

Bedrijfscontinuïteit in relatie met ISO 27001

Datum: 07-09-2023

Organisaties moeten voorbereid zijn op verstoringen, noodgevallen of andere risico’s die de continuïteit van de bedrijfsvoering kunnen verstoren. Denk bijvoorbeeld aan de langdurige uitval van een medewerker, stroomuitval of een grootschalige cyberaanval. In augustus 2022 werd een grote zorgorganisatie getroffen door een cyberaanval. Het ging om een ransomware-aanval, waarbij alle digitale informatie van organisatie versleuteld werd. Als gevolg van de aanval moesten meer dan 100 locaties van de zorgprofesssional haar deuren tijdelijk sluiten. Het is dus essentieel om maatregelen te treffen voor preventie en snel herstel van calamiteiten. Bedrijfscontinuïteitsmanagement (BCM) helpt organisaties bij het identificeren van potentiële risico’s en het ontwikkelen van een strategie om de continuïteit van de bedrijfsvoering te herstellen in het geval een calamiteit zich voordoet. BCM is ook een essentieel proces in de ISO 27001 norm.

Bedrijfscontinuïteit en informatiebeveiliging

ISO 27001 is dé internationale norm voor informatiebeveiliging. Het beschrijft de eisen voor het integer en adequaat omgaan met gevoelige informatie van een organisatie. Daarnaast is in de norm structureel aandacht voor privacy en bedrijfscontinuïteit. Een organisatie kan namelijk alle risico’s rond de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige informatie hebben afgedekt, maar als zij bijvoorbeeld slachtoffer worden van een cyberaanval dan moet dit de informatiebeveiliging niet in gevaar brengen. Daarom is bedrijfscontinuïteit essentieel bij informatiebeveiliging. Vooral in een wereld waarin we steeds meer afhankelijk zijn van IT-systemen.

Beheersmaatregelen uit de Annex A (ISO 27001)

In de Annex A van ISO 27001 zijn beheersmaatregelen opgenomen die expliciet gaan over continuïteit van de bedrijfsvoering. Deze beheersmaatregelen zorgen er o.a. voor dat de continuïteit van een informatiebeveiligingssysteem wordt opgenomen in het bedrijfscontinuïteitsplan van de organisatie.

A.5.29 Informatiebeveiliging tijdens een verstoring
De beheersmaatregel in ISO 27001 is als volgt: ‘De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.’

Het doel van deze maatregel is het beschermen van informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring. De norm eist dat organisaties het volgende dienen te implementeren en te onderhouden:

  • Beheersmaatregelen voor informatiebeveiliging, ondersteunende systemen en hulpmiddelen binnen bedrijfscontinuïteit- en ICT-continuïteitsplannen.
  • Processen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een verstoring in stand te houden.
  • Compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die tijdens een verstoring niet kunnen worden gehandhaafd.

A.5.30 ICT-gereedheid voor bedrijfscontinuïteit
De beheersmaatregel in ISO 27001 beschrijft: ‘De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.’

Het doel van deze maatregel is het waarborgen van de beschikbaarheid van informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring. De organisatie behoort er voor te zorgen dat:

  • Er een adequate organisatiestructuur is die voorbereid op een verstoring, deze verwacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie.
  • ICT-continuïteitsplannen, met inbegrip van respons- en herstelprocedures waarin wordt beschreven hoe de organisatie gepland heeft een verstoring van de ICT-diensten te beheren:
    • Regelmatig door middel van oefeningen en tests worden geëvalueerd
    • Door het management worden goedgekeurd
  • ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten:
    • Prestatie- en capaciteitsspecificaties om te voldoen aan de bedrijfscontinuïteitseisen en -doelstellingen zoals gespecificeerd in de BIA.
    • De RTO (Recovery Time Objective is de hersteltijd, de tijd die nodig is om de bedrijfsprocessen weer operationeel te hebben) van elk geprioriteerde ICT-dienst en de procedures voor het herstel van die componenten.
    • De RPO (Recovery Point Objective is het maximale dataverlies, het verlies aan gegevens dat kan/mag optreden) van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen.

Als onderdeel van een beheersmaatregelen
Ook in andere beheersmaatregelen komt bedrijfscontinuïteit terug als onderdeel. Zo bestaat er een sterk verband tussen redundantie (cruciale systemen in de ICT-infrastructuur worden dubbel voorzien) en de gereedheid van ICT voor bedrijfscontinuïteit, vooral indien korte hersteltijden zijn vereist. De beheersmaatregel stelt dat informatieverwerkende faciliteiten met voldoende redundantie geïmplementeerd moeten worden om aan de beschikbaarheidseisen te voldoen. Het doel is de ononderbroken werking van informatieverwerkende faciliteiten te waarborgen (A.8.14). Veel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. Ook de maatregelen voor de bescherming tegen malware (A.8.7) en de back-up van informatie (A.8.13) hebben een link met bedrijfscontinuïteit. Een organisatie moet passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen en herstellen van gegevens en software.

Echter, de ISO 27001 norm omschrijft niet hoe een organisatie bedrijfscontinuïteit moet implementeren. Hiervoor kan een organisatie het beste de ISO 22301 raadplegen. Deze norm is ook opgebouwd conform de High Level Structure dus goed naast elkaar te implementeren.

Opstellen bedrijfscontinuïteitsplan

Om bedrijfscontinuïteit in jouw informatiebeveiligingsmanagementsysteem (ISMS) vorm te geven raden wij aan om een bedrijfsontinuïteitsplan (BCP) op te stellen. Dit is niet hetzelfde als een bedrijfsnoodplan. Een bedrijfsnoodplan is een draaiboek waarin systematisch staat aangegeven wat een organisatie moet doen als een calamiteit zich voordoet. Dit heeft meer betrekking op wat er moet gebeuren tijdens of direct na de calamiteit om de mensen en bedrijfsmiddelen in veiligheid te brengen. Het doel van een bedrijfscontinuïteitsplan is om de schade als gevolg van een calamiteit te minimaliseren en zo snel als mogelijk terug te keren naar een “normale” bedrijfsvoering. Hiervoor worden de kritische processen en waar deze van afhankelijk zijn in kaart gebracht. In het BCP staat wat de organisatie moet doen als deze processen worden getroffen. Meer weten over het opstellen van een BCP? Lees ons blog of bekijk onze video.

Hulp nodig?

Heeft jouw organisatie hulp nodig bij het in kaart brengen van de risico’s en het opstellen van een bedrijfscontinuïteitsplan? Onze ervaren information security consultants helpen graag! Neem vrijblijvend contact met ons op en we vertellen je graag over de mogelijkheden.

Bron: NOS – Tandartsbedrijf betaalt internetcriminelen losgeld na ransomware-aanval, ISO/IEC 27001:2022 (nl), ISO/IEC 27002:2022 (nl), Arboportaal

Bedrijfscontinuïteit en Informatiebeveiliging