ISO 27001 – נספח A.18: תאימות

מהי המטרה של נספח A.18.1?

נספח A.18.1 עוסק בעמידה בדרישות משפטיות וחוזיות. המטרה היא למנוע הפרות של חובות משפטיות, סטטוטוריות, רגולטוריות או חוזיות הקשורות לאבטחת מידע ושל כל דרישות אבטחה.

זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.

A.18.1.1 זיהוי חקיקה ישימה ודרישות חוזיות

בקרה טובה מתארת ​​כיצד יש לזהות במפורש, לתעד ולעדכן את כל הדרישות החוקיות, הרגולטוריות והחוזיות הרלוונטיות וגישת הארגון לעמוד בדרישות אלו עבור כל מערכת מידע וארגון. במילים פשוטות, הארגון צריך להבטיח שהוא מתעדכן ומתעד חקיקה ורגולציה המשפיעים על השגת היעדים העסקיים שלו ועל תוצאות ה-ISMS.

חשוב שהארגון יבין את החקיקה, הרגולציה והדרישות החוזיות שעליו לעמוד בהן ויש לרשום אותן בצורה מרכזית בפנקס כדי לאפשר קלות ניהול ותיאום. הזיהוי של מה שרלוונטי יהיה תלוי במידה רבה; היכן הארגון ממוקם או פועל; מה אופי העסקים של הארגון; ואופי המידע המטופל בתוך הארגון. זיהוי החקיקה, הרגולציה והדרישות החוזיות הרלוונטיות עשוי לכלול התקשרות עם מומחים משפטיים, גופים רגולטוריים ומנהלי חוזים.

זהו תחום שלעתים קרובות תופס ארגונים מכיוון שבדרך כלל יש הרבה יותר חקיקה ורגולציה המשפיעים על הארגון ממה שנחשב לראשונה. המבקר יחפש לראות כיצד הארגון זיהה ורשם את התחייבויותיו המשפטיות, הרגולטוריות והחוזיות; את האחריות לעמידה בדרישות אלה וכל מדיניות, נהלים ובקרות אחרות הנדרשות לעמידה בבקרות.

בנוסף, הם יחפשו לראות שהרישום הזה מתוחזק על בסיס קבוע נגד כל שינוי רלוונטי - במיוחד בחקיקה בתחומים משותפים שהם מצפים שכל ארגון יושפע מהם.

A.18.1.2 זכויות קניין רוחני

בקרה טובה מתארת ​​כיצד ההליכים המתאימים מבטיחים עמידה בדרישות חקיקה, רגולטוריות וחוזיות הקשורות לזכויות קניין רוחני ושימוש במוצרי תוכנה קנייניים. במילים פשוטות, על הארגון ליישם נהלים מתאימים המבטיחים שהוא עומד בכל הדרישות שלו, בין אם הן חקיקתיות, רגולטוריות או חוזיות - הקשורות לשימוש שלו במוצרי תוכנה או זכויות קניין רוחני.

ישנם שני היבטים של ניהול IPR שיש לקחת בחשבון; הגנה על IPR בבעלות הארגון; ומניעת שימוש לרעה או הפרה של IPR של אחרים. הראשון יטופל גם עם A.13.24 עבור הסכמי סודיות וסודיות, שבהם אנו מציעים גם לחברות לנהל את חוזי האב הרחבים יותר שלהן עם צדדים שלישיים מ-A.15 עבור שרשרת האספקה ​​באופן ספציפי. עבור הצוות, A7.1.2 תנאי העסקה ותנאי העסקה יכסו גם את הקניין הרוחני.

סביר להניח שיהיה צורך במדיניות, תהליכים ובקרות טכניות עבור שני ההיבטים הללו. בתוך רישומי נכסים ומדיניות שימוש מקובלת, סביר להניח שיהיה צורך לעשות שיקולי IPR - למשל כאשר נכס נמצא או מכיל הגנת IPR של נכס זה, יש לקחת בחשבון את היבט IPR. בקרות כדי להבטיח שרק תוכנות מורשות ובעלות רישיון נמצאות בשימוש בתוך הארגון צריכות לכלול בדיקה וביקורת קבועים.

המבקר ירצה לראות שרשומים של רישיונות בבעלות הארגון לשימוש בתוכנות של אחרים ובנכסים אחרים נשמרים ומתעדכנים. עניין במיוחד עבורם יהיה להבטיח כי כאשר הרישיונות כוללים מספר מקסימלי של משתמשים או התקנות, שלא יחרוג ממספר זה ומספרי משתמשים והתקנה ייבדקו מעת לעת כדי לבדוק תאימות. המבקר יבחן גם כיצד הארגון מגן על הקניין הרוחני שלו, אשר עשוי לכלול; אובדן נתונים ובקרות מניעה; מדיניות ותוכניות מודעות המכוונות לחינוך משתמשים; או הסכמי סודיות וסודיות שנמשכים לאחר סיום העסקה.

A.18.1.3 הגנה על רשומות

בקרה טובה מתארת ​​כיצד רשומות מוגנות מפני אובדן, השמדה, זיוף, גישה בלתי מורשית ושחרור לא מורשה, בהתאם לדרישות החקיקה, הרגולטוריות, החוזיות והעסקיות.

סוגים שונים של רשומות ידרשו ככל הנראה רמות ושיטות הגנה שונות. זה קריטי שהרישומים יהיו מוגנים בצורה נאותה ומידתיות מפני אובדן, השמדה, זיוף, גישה לא מורשית או שחרור. ההגנה על רשומות חייבת לעמוד בכל חקיקה, תקנה או התחייבויות חוזיות רלוונטיות. חשוב במיוחד להבין כמה זמן יש, צריך או יכול להישמר רשומות ואילו בעיות טכניות או פיזיות עשויות להשפיע על אלה לאורך זמן - בהתחשב בכך שחקיקה מסויימת עשויה לנצח אחרים לגבי שמירה והגנה. המבקר יבדוק כי נעשו שיקולים להגנה על רשומות בהתבסס על דרישות עסקיות, חובות משפטיות, רגולטוריות וחוזיות.

A.18.1.4 פרטיות והגנה על מידע אישי מזהה

בקרה טובה מתארת ​​כיצד פרטיות והגנה על מידע אישי מזהה מובטחת עבור חקיקה ורגולציה רלוונטיים. כל מידע שטופל המכיל מידע אישי מזהה (PII) עשוי להיות כפוף לחובות של חקיקה ורגולציה. ל-PII צפויים במיוחד דרישות גבוהות לסודיות ויושרה, ובמקרים מסוימים גם זמינות (למשל מידע בריאותי, מידע פיננסי). על פי חקיקה מסוימת (למשל ה-GDPR) סוגים מסוימים של PII מוגדרים כ"רגישים" נוספים ודורשים בקרה נוספת כדי להבטיח ציות.

חשוב להשתמש בקמפיינים למודעות עם צוות ובעלי עניין כדי להבטיח הבנה חוזרת של האחריות האישית להגנה על PII ופרטיות. המבקר יחפש לראות כיצד מטופל PII, אם הבקרות המתאימות יושמו, האם הן במעקב, בבדיקה ובמידת הצורך משופרת. הם גם יחפשו לבדוק שדרישות הטיפול מתקיימות, ומבוקרות כראוי. יש גם אחריות נוספת, למשל GDPR יצפה לביקורת קבועה עבור תחומים שבהם נתונים אישיים נמצאים בסיכון. ארגונים חכמים יקשרו את הביקורות הללו לצד ביקורת ה-ISO 27001 שלהם וימנעו כפילות או פערים.

A.18.1.5 הסדרת בקרות קריפטוגרפיות

בקרה טובה מתארת ​​כיצד נעשה שימוש בבקרות קריפטוגרפיות בהתאם לכל ההסכמים, החקיקה והתקנות הרלוונטיים. השימוש בטכנולוגיות קריפטוגרפיות כפוף לחקיקה ורגולציה בטריטוריות רבות וחשוב שארגון יבין את אלו הישימים ויישם בקרה ותוכניות מודעות המבטיחות עמידה בדרישות כאלה. זה נכון במיוחד כאשר הצפנה מועברת או בשימוש בטריטוריות שאינן מקום המגורים או הפעילות הרגילים של הארגון או המשתמש. חוקי יבוא/יצוא חוצה גבולות עשויים לכלול דרישות הנוגעות לטכנולוגיות הצפנה או לשימוש. המבקר יחפש לראות שנעשו שיקולים לרגולציה המתאימה של בקרות הצפנה ויושמו בקרות ותוכניות מודעות רלוונטיות כדי להבטיח ציות.

מהי המטרה של נספח A.18.2?

נספח A.18.2 עוסק בסקירות אבטחת מידע. המטרה בנספח זה היא להבטיח שאבטחת מידע מיושמת ומופעלת בהתאם למדיניות ולנהלים הארגוניים.

A.18.2.1 סקירה עצמאית של אבטחת מידע

בקרה טובה מתארת ​​את גישת הארגון לניהול אבטחת מידע ויישומה (כלומר יעדי בקרה, בקרות, מדיניות, תהליכים ונהלים לאבטחת מידע) נבדקת באופן עצמאי במרווחי זמן מתוכננים או כאשר מתרחשים שינויים משמעותיים.

כדאי לקבל סקירה עצמאית של סיכוני אבטחה ובקרות כדי להבטיח חוסר משוא פנים ואובייקטיביות וכן ליהנות מעיניים רעננות. זה לא אומר שהוא חייב להיות חיצוני, פשוט תהנה מעמית אחר שיבדוק את המדיניות בנוסף למחבר/מנהל הראשי. בדיקות אלו צריכות להתבצע במרווחי זמן קבועים ומתוכננים, וכאשר מתרחשים שינויים משמעותיים ורלוונטיים לאבטחה - ISO מפרש רגיל להיות לפחות שנתי.

המבקר יחפש הן סקירת אבטחה עצמאית רגילה והן סקירה כאשר מתרחשים שינויים משמעותיים, כמו גם יקח אמון שקיימת תוכנית לביקורות קבועות. הם גם ידרשו ראיות לכך שבדיקות בוצעו וכל בעיה או שיפורים שזוהו בביקורות מנוהלים כראוי.

A.18.2.2 עמידה במדיניות ותקני אבטחה

מנהלי ISMS צריכים לבדוק באופן קבוע את התאימות של עיבוד מידע ונהלים בתחום אחריותם. מדיניות יעילה רק אם היא נאכפת והציות נבדק ונבדק על בסיס תקופתי. בדרך כלל מוטלת האחריות של ההנהלה הקובעת לוודא שהצוות הכפוף להם מציית למדיניות ולבקרות הארגוניות, אך יש להשלים זאת על ידי סקירה וביקורת עצמאית מדי פעם. כאשר מזוהה אי התאמה, יש לרשום ולנהל אותה, תוך זיהוי מדוע היא התרחשה, באיזו תדירות היא מתרחשת והצורך בפעולות שיפור כלשהן הקשורות לבקרה או למודעות, חינוך או הכשרה של המשתמש שגרמו ל- אי ציות.

המבקר יחפש לראות ששניהם; מדיניות מניעה יזומה, בקרות ותוכניות מודעות קיימות, מיושמות ויעילות; ומעקב אחר תאימות תגובתי, סקירה וביקורת קיימים גם כן. הם גם יחפשו לראות שיש ראיות לאופן שבו מתבצעים שיפורים לאורך זמן כדי להבטיח שיפור ברמות התאימות או התחזוקה אם הציות כבר עומד על 100%. זה משתלב בדרישות העיקריות של ISO 27001 עבור 9 ו-10 סביב ביקורות פנימיות, סקירות הנהלה, שיפורים ואי התאמה. מודעות הצוות ומעורבותם בהתאם ל-A 7.2.2 חשובה גם לקשור לחלק זה למען אמון בציות.

A.18.2.3 סקירת תאימות טכנית

מערכות מידע צריכות להיבדק באופן קבוע על עמידה במדיניות ובסטנדרטים של אבטחת המידע של הארגון. בדרך כלל נעשה שימוש בכלים אוטומטיים כדי לבדוק מערכות ורשתות לתאימות טכנית ויש לזהות אותם וליישם אותם בהתאם. כאשר נעשה שימוש בכלים כגון אלה, יש צורך להגביל את השימוש בהם למספר אנשים מורשים ככל האפשר ולשלוט בקפידה ולתאם את השימוש בהם כדי למנוע פגיעה בזמינות המערכת ובתקינותם. רמות נאותות של בדיקות ציות יהיו תלויות בדרישות העסקיות וברמות הסיכון, והמבקר יצפה לראות ראיות לשיקולים אלו. הם גם יצפו להיות מסוגלים לבדוק את לוחות הזמנים והרישומים של הבדיקות.

כיצד ISMS.online עוזר עם תאימות?

ISMS.online מקל במידה ניכרת על צד התאימות של אבטחת מידע. תהליכי האישור המובנים והתזכורות האוטומטיות לסקירות הופכים את החיים להרבה יותר קלים ומציעים 'תוכנית חיים' כדי להראות למבקרים שאתה שולט ב-ISMS. כלי סיכון החקיקה הרלוונטי המאוכלס מראש כולל תחומי חקיקה ורגולציה נפוצים רבים שמתעלמים מהם לעתים קרובות, כמו גם מקל על כל תחום הניהול הזה. ביקורות פנימיות וחיצוניות, פעולות מתקנות, שיפורים ואי-התאמות כולם מנוהלים בקלות עם הכלים והתכונות שנבנו מראש. תאימות למשאבי אנוש, בין אם צוות, ספקים או אחרים, מודגמת בקלות גם עם הכלי Policy Pack. שותפי ISMS.online מציעים גם בדיקות בריאות עצמאיות של מומחים ותמיכה בביקורת הפועלים בתוך הפלטפורמה שלך במידת הצורך.