Bedrijfscontinuïteitsmanagement

Uit NORA Online
ISOR:Bedrijfscontinuïteitsmanagement
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Bedrijfscontinuïteitsmanagement (BCM) beschrijft de eisen voor een managementsysteem om organisaties te beschermen tegen ontwrichtende gebeurtenissen, om de kans op deze gebeurtenissen te verkleinen en om te zorgen dat een organisatie zich daar volledig van kan herstellen. Hierbij zal de organisatie zich onder andere richten op ontwikkeling, implementatie en onderhoud van beleid, strategieën en programma’s om de effecten van mogelijk ontwrichtende gebeurtenissen een organisatie te kunnen beheersen. In de cloud-omgeving vertrouwt de CSC, de CSP als derde partij. De CSP zal de CSC zekerheid moeten geven ten aanzien documentatie over assets en resources, incidentmanagement, bedrijfscontinuïteit, disaster recovery plans, beleid, beheerprocessen en back-up management.


Criterium

De CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 H17, Cloud Security Alliance (CSA) BRC, IT-Grundschutz (Basis für Informationssicherheit) C5 5.1 en C5 BCM, SoGP (Standard of Good Practice for Information Security) , ISA62443-2-1 4.3.2.5

Onderliggende normen

IDConformiteitsindicatorStellingPagina
Cloud_B.08.01verantwoordelijkheid voor BCMDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden
Cloud_B.08.02verantwoordelijkheid voor BCMDe verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.Zeker stellen adequate resources voor uitvoeren van BCM-proces
Cloud_B.08.03verantwoordelijkheid voor BCMHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.Committeren aan vastgestelde BCM-vereisten
Cloud_B.08.04verantwoordelijkheid voor BCMHet BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.Vaststellen en communiceren BCM- en BIA-beleid
Cloud_B.08.05beleid en proceduresBeleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices
Cloud_B.08.06bedrijfscontinuïteitsplanningDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit
    Cloud_B.08.07verificatie en updatenDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen
    Cloud_B.08.08verificatie en updatenBij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen
    Cloud_B.08.09computercentraDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen