Skip to main content

5.29 Bezpieczeństwo informacji w czasie zakłóceń działalności

Cel

Zapewnienie ochrony informacji i powiązanych zasobów podczas zakłóceń działalności organizacji oraz ich skutecznego przywracania do wymaganego poziomu bezpieczeństwa w określonym czasie.

Wymagania

Organizacja powinna:

  • Określić wymagania dotyczące adaptacji kontroli bezpieczeństwa informacji w czasie zakłóceń.
  • Włączyć wymagania dotyczące bezpieczeństwa informacji do procesów zarządzania ciągłością działania (BCM).
  • Opracować, wdrożyć, testować oraz regularnie przeglądać plany zapewniające utrzymanie bezpieczeństwa informacji w sytuacjach kryzysowych.
  • Zapewnić, że po wystąpieniu zakłóceń bezpieczeństwo informacji zostanie przywrócone na wymaganym poziomie i w określonym czasie.

Wdrożenie

  • Organizacja powinna wdrożyć i utrzymywać:
    • mechanizmy kontroli bezpieczeństwa wspierające procesy BCM oraz ICT continuity plans,
    • procedury umożliwiające utrzymanie istniejących zabezpieczeń w sytuacjach zakłóceń,
    • środki kompensacyjne dla zabezpieczeń, których nie można utrzymać w czasie kryzysu.
  • W ramach analizy wpływu zakłóceń na działalność (BIA) i oceny ryzyka organizacja powinna uwzględniać konsekwencje utraty poufności, integralności i dostępności informacji.
  • Powinna zostać ustanowiona strategia zarządzania incydentami, uwzględniająca różne rodzaje zakłóceń i sposoby adaptacji zabezpieczeń.
  • Plany ciągłości działania powinny być regularnie testowane w celu oceny skuteczności kontroli bezpieczeństwa informacji.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać i aktualizować procedury bezpieczeństwa informacji w kontekście BCM.
  • Analizować rzeczywiste zakłócenia i wdrażać ulepszenia w planach ciągłości działania.
  • Weryfikować, czy poziom bezpieczeństwa informacji po przywróceniu działalności spełnia wymagania organizacyjne i regulacyjne.

Zapewnienie bezpieczeństwa informacji w czasie zakłóceń działalności organizacji minimalizuje ryzyko utraty krytycznych danych, wspiera odporność operacyjną oraz umożliwia skuteczne zarządzanie sytuacjami kryzysowymi.