עבור לתוכן
ISMS.online

ISO 27001:2022 נספח A 6.7 – עבודה מרחוק

ISO 27001:2022 נספח א' בקרה 6.7 מדגיש את החשיבות של עבודה מרחוק מאובטחת על ידי הטמעת בקרות גישה, אמצעי אבטחה פיזיים ומדיניות הגנה על נתונים כדי להפחית סיכונים הקשורים לסביבות מרוחקות.

מְחַבֵּר
מייק ג'נינגס
עודכן בספטמבר 3, 2025
4/5 כוכבים

מהו ISO 27001:2022 נספח A 6.7?

ISO 27001:2022 נספח A 6.7, עבודה מרחוק מספק הנחיות כיצד לארגונים יש מדיניות על מנת להבטיח גישה מאובטחת למערכות מידע ורשתות בעת עבודה מרחוק. עוד היא ממליצה על יישום א מערכת ניהול אבטחת מידע הכולל נהלים להגנה על גישה מרחוק.

השלכות אבטחת מידע של עבודה מרחוק

עבודה מרחוק הפכה למגמה רווחת יותר, כאשר הטכנולוגיה התקדמה כדי לאפשר לעובדים לעבוד מרחוק מבלי להשפיע על הפרודוקטיביות והיעילות. עם זאת, זה בא עם פוטנציאל לחששות אבטחת מידע.

בהיותו בעל עסק, יש צורך להגן על הקניין הרוחני מפני פושעי סייבר ולהבטיח את בטיחות הנתונים מפני האקרים. בפעולה, ניתן להישמר מפני פשעי סייבר ולהבטיח את אבטחת המידע.

עבודה מרחוק יכולה להציג מגוון סיכוני אבטחה שיש לטפל בהם, כגון:

בקרת גישה

עבודה מרחוק יכולה להיות מועילה, ולספק גישה רבה יותר לנתונים ולמערכות חסויים. עם זאת, זה בא עם כמה שיקולי אבטחה.

עבודה מרחוק, אם לא מפקחת עליה כראוי, עלולה להיות פגיעה לבעיות אבטחה כגון פריצה, תוכנות זדוניות, גישה לא מורשית ועוד. זה קורה במיוחד אם העובדים אינם נמצאים בסביבה מאובטחת.

אובדן ביטחון פיזי

עבודה מרחוק יכולה להשפיע גם על העסק ביטחון פיזי. מכיוון שהצוות אינו נוכח יותר במשרד או בבניין, ייתכן שהם לא יוכלו לזהות פעילויות חשודות.

סודיות

עבודה מרחוק עלולה להוות סיכון לסודיות. לדוגמה, עובדים עשויים לגשת למידע סודי ללא רשות מהחברה.

עובדים יכולים לקבל בקלות גישה לנתונים ארגוניים סודיים מהאינטרנט הציבורי. יתרה מכך, ישנם אפילו אתרים שבהם הצוות יכול להעלות נתונים חסויים לצפייה ציבורית.

פרטיות

לעבודה מרחוק יכולה להיות השפעה על הפרטיות של ארגון. לדוגמה, אם עובדים עובדים מהבית, הם עלולים להיות מועדים יותר לא להחביא את החפצים האישיים שלהם.

נכס זה עשוי להחזיק נתונים סודיים שעלולים לסכן את פרטיות החברה.

הגנה על נתונים

עבודה מרחוק עלולה להוות סכנה לנתונים של העסק. עובדים יכולים, למשל, לקבל גישה למידע החברה מרחוק, וניתן לאחסן נתונים אלה במספר מיקומים.

במקרה של עזיבת עובדים ממקום העבודה ולקחו איתם את המכשיר, אחזור נתונים המאוחסנים במחשבים, שרתים ו מכשירים ניידים עשוי להתגלות כמאתגר יותר.

העובד עלול לטעות או לפעול בחוסר תום לב עם המכשיר, תוך סיכון אבטחת הנתונים.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


מהי המטרה של ISO 27001:2022 נספח A 6.7?

המטרה של ISO 27001:2022 נספח A 6.7 היא להבטיח לאנשי מרוחקים את בקרות הגישה הנדרשות כדי להגן על הסודיות, השלמות והזמינות של מידע, נהלים ומערכות סודיים או קנייניים מפני גישה או חשיפה בלתי מורשית על ידי אנשים לא מורשים.

ארגונים חייבים להבטיח את אבטחת המידע כאשר הצוות פועל מרחוק. לפיכך, עליהם להנפיק מדיניות מותאמת לגבי עבודה מרחוק המפרטת את התנאים וההגבלות הרלוונטיים לאבטחת מידע. יש להפיץ מדיניות זו לכל הצוות, כולל הדרכה כיצד להשתמש בטכנולוגיות גישה מרחוק בצורה מאובטחת ובטוחה.

מדיניות זו עשויה להתייחס ל:

  • התנאים שבהם מותר לעבוד מרחוק.
  • תהליכים להבטחת עובדים מרוחקים יש גישה למידע סודי.
  • הבטחת מידע מוגן כאשר הוא מועבר בין מיקומים פיזיים שונים כרוכה בשמירה על נהלים מסוימים.

חיוני להקים ברור מערכת לדיווח על אירועים, כולל פרטי הקשר הנכונים. זה יכול לעזור למנוע פרצות אבטחה או תקריות אחרות.

המדיניות צריכה לכסות גם הצפנה, חומות אש, עדכוני תוכנת אנטי-וירוס והדרכות עובדים כיצד להשתמש בצורה מאובטחת בחיבורים מרוחקים.

מה כרוך ואיך לעמוד בדרישות

על מנת לעמוד בנספח A 6.7, ארגונים המציעים עבודה מרחוק צריכים להוציא מדיניות לגבי עבודה מרחוק המפרטת את התקנות והמגבלות הקשורות.

יש להעריך את המדיניות מעת לעת, במיוחד כאשר הטכנולוגיה או החקיקה משתנים.

יש ליידע את כל הצוות, הקבלנים והגופים המעורבים בפעילויות עבודה מרחוק על המדיניות.

יש לתעד את המדיניות, להנגיש לבעלי עניין, כגון רגולטורים ורואי חשבון, ולהתעדכן.

ארגונים חייבים לוודא שיש להם את אמצעי ההגנה הדרושים כדי לאבטח מידע רגיש או סודי המועבר או מאוחסן באופן אלקטרוני במהלך פעולות מרחוק.

בהתאם לנספח A 6.7, יש לקחת בחשבון את הדברים הבאים:

  • שקול את האבטחה הפיזית של אתר העבודה המרוחק, הקיים והמוצע, הכולל את בטיחות המקום, האזור שמסביב ומערכות המשפט של האזורים שבהם יושב הצוות.
  • כללי סביבה פיזית מאובטחת, כגון ארונות תיוק הניתנים לנעילה, הובלה מאובטחת בין אתרים, תקנות גישה מרחוק, שולחן עבודה נקי, הדפסה וסילוק נתונים ונכסים קשורים, וכן דיווח על אירועים ביטחוניים, יש ליישם.
  • הסביבות הפיזיות הצפויות לעבודה מרחוק.
  • יש להבטיח תקשורת מאובטחת, תוך התחשבות בצרכי הגישה מרחוק של הארגון, רגישות הנתונים המועברים ופגיעות המערכות והיישומים.
  • גישה מרחוק, כגון גישה וירטואלית לשולחן העבודה, מאפשרת עיבוד ואחסון של מידע במכשירים אישיים.
  • הסכנה של גישה לא מורשית לנתונים או נכסים מאנשים מחוץ לסביבת העבודה המרוחק - כגון קרובי משפחה וחברים - היא אמיתית.
  • הסיכון של גישה לא מורשית לנתונים או נכסים על ידי אנשים באזורים ציבוריים הוא דאגה.
  • ההעסקה של רשתות ביתיות וציבוריות כאחד, כמו גם כללים או איסורים הקשורים להגדרת שירותי רשת אלחוטית, היא הכרחית.
  • שימוש באמצעי אבטחה, כמו חומות אש והגנה נגד תוכנות זדוניות, הוא חיוני.
  • ודא שניתן לפרוס ולהפעיל מערכות מרחוק עם פרוטוקולים מאובטחים.
  • יש לאפשר מנגנוני אימות מאובטח כדי להעניק הרשאות גישה, תוך התחשבות ברגישות של מנגנוני אימות חד-גורם כאשר מורשית גישה מרחוק לרשת הארגון.

הנחיות ואמצעים שיש לקחת בחשבון צריכים לכלול:

  • על הארגון לספק ציוד מתאים וריהוט אחסון לפעילויות עבודה מרחוק, תוך איסור שימוש בציוד בבעלות פרטית שאינה בשליטתו.
  • עבודה זו כוללת את הדברים הבאים: הגדרת העבודה המותרת, סיווג המידע שניתן להחזיק, והרשאה לעובדים מרוחקים לגשת למערכות ושירותים פנימיים.
  • יש לספק הכשרה לאלו העובדים מרחוק ולמי שמציעים תמיכה. זה אמור לכסות כיצד לנהל עסקים בצורה מאובטחת מחוץ למשרד.
  • הבטחת ציוד תקשורת מתאים, כגון דרישת נעילות מסך של המכשיר וטיימרים לחוסר פעילות עבור גישה מרחוק, היא חיונית.
  • אפשר הפעלת מעקב אחר מיקום המכשיר.
  • התקנת יכולות ניגוב מרחוק היא חובה.
  • ביטחון פיזי.
  • יש להקפיד על הנחיות וכללים בנוגע לגישה של משפחה ומבקרים לציוד ולנתונים.
  • העסק מספק תמיכה ותחזוקה בחומרה ותוכנה.
  • מתן ביטוח.
  • הפרוטוקול לגיבוי נתונים והמשכיות פעולות.
  • ביקורת וניטור אבטחה.
  • עם הפסקת פעילות העבודה מרחוק, יש לבטל את הסמכות ואת זכויות הגישה ולהחזיר את כל הציוד.


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


שינויים והבדלים מ-ISO 27001:2013

ISO 27001:2022 נספח A 6.7 הוא עיבוד של נספח A 6.2.2 מ-ISO 27001:2013 ולא אלמנט חדש.

ISO 27001:2022 נספח A 6.7 ו-6.2.2 חולקים קווי דמיון רבים, אם כי המינוח והניסוח שונים. ב-ISO 27001:2013, 6.2.2 מכונה עבודה מרחוק, בעוד ש-6.7 ידוע בתור עבודה מרחוק. שינוי זה בא לידי ביטוי בגרסה החדשה של התקן, המחליף עבודה מרחוק בעבודה מרחוק.

בנספח A 6.7 ל-ISO 27001:2022, התקן מתאר מה מתאים כעבודה מרחוק, כולל עבודה מרחוק - שם הבקרה הראשוני בגרסת ISO 27001:2013.

גרסה 2022 של הנחיות היישום דומות במידה רבה, אם כי השפה והמונחים שונים. כדי להבטיח למשתמשים את התקן להבין, משתמשים בשפה ידידותית למשתמש.

חלק מההוספות בוצעו בנספח א' 6.7, וחלק מהמחקות בוצעו ב-6.2.2.

נוסף ל-ISO 27001:2022 נספח A 6.7 עבודה מרחוק

  • להבטיח אבטחה פיזית עם ארונות תיוק ניתנים לנעילה, לספק הוראות הובלה וגישה מאובטחות, להורות על מדיניות שולחן ברורה, להגדיר פרוטוקולי הדפסה/סילוק מידע/נכסים ולהטמיע מערכת תגובה לאירועים.
  • הצפי הוא שאנשים יעבדו מרחוק. צפויות נסיבות פיזיות.
  • הסיכון של גישה לא מורשית למידע או למשאבים של זרים בשטחים ציבוריים.
  • שיטות מאובטחות לפריסה מרחוק והגדרת מערכות.
  • מנגנונים מאובטחים קיימים כדי לאמת ולאפשר הרשאות גישה, תוך התחשבות ברגישות של מנגנוני אימות חד-גורם כאשר גישה מרחוק לרשת הארגון מופעלת.

הוסר מ-ISO 27001:2013 נספח A 6.2.2 עבודה מרחוק

  • היישום של רשתות ביתיות והתקנות או המגבלות על הגדרת שירותי רשת אלחוטית נחוצים.
  • יש להפעיל מדיניות ונהלים לצמצום מחלוקות בנוגע לזכויות על קניין רוחני שפותחו על ציוד בבעלות פרטית.
  • קבלת גישה למכונות בבעלות פרטית (כדי להבטיח את בטיחותן או למטרות חקירה) עשויה להיות אסורה על פי חוק.
  • ארגונים עשויים להיות אחראים לרישוי תוכנה בתחנות עבודה שנמצאות בבעלות פרטית של הצוות שלהם או של משתמשים חיצוניים.

תקן ISO 27001:2022 נותן הצהרות של מטרות וטבלאות תכונות עבור כל בקרה, ומסייע למשתמשים להבין וליישם את הבקרות בצורה יעילה יותר.

גרסת ISO 27001:2013 חסרה את שני הרכיבים הללו.

טבלה של כל בקרות ISO 27001:2022 נספח A

בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.

ISO 27001:2022 בקרות ארגוניות
נספח א' סוג בקרה מזהה ISO/IEC 27001:2022 נספח A מזהה ISO/IEC 27001:2013 נספח A שם נספח א'
בקרות ארגוניות נספח א' 5.1 נספח א' 5.1.1
נספח א' 5.1.2 		מדיניות אבטחת מידע
בקרות ארגוניות נספח א' 5.2 נספח א' 6.1.1 תפקידים ואחריות של אבטחת מידע
בקרות ארגוניות נספח א' 5.3 נספח א' 6.1.2 הפרדת תפקידים
בקרות ארגוניות נספח א' 5.4 נספח א' 7.2.1 אחריות ניהול
בקרות ארגוניות נספח א' 5.5 נספח א' 6.1.3 קשר עם הרשויות
בקרות ארגוניות נספח א' 5.6 נספח א' 6.1.4 צור קשר עם קבוצות עניין מיוחדות
בקרות ארגוניות נספח א' 5.7 NEW מודיעין סייבר
בקרות ארגוניות נספח א' 5.8 נספח א' 6.1.5
נספח א' 14.1.1 		אבטחת מידע בניהול פרויקטים
בקרות ארגוניות נספח א' 5.9 נספח א' 8.1.1
נספח א' 8.1.2 		מלאי מידע ונכסים נלווים אחרים
בקרות ארגוניות נספח א' 5.10 נספח א' 8.1.3
נספח א' 8.2.3 		שימוש מקובל במידע ובנכסים נלווים אחרים
בקרות ארגוניות נספח א' 5.11 נספח א' 8.1.4 החזרת נכסים
בקרות ארגוניות נספח א' 5.12 נספח א' 8.2.1 סיווג מידע
בקרות ארגוניות נספח א' 5.13 נספח א' 8.2.2 תיוג מידע
בקרות ארגוניות נספח א' 5.14 נספח א' 13.2.1
נספח א' 13.2.2
נספח א' 13.2.3 		העברת מידע
בקרות ארגוניות נספח א' 5.15 נספח א' 9.1.1
נספח א' 9.1.2 		בקרת גישה
בקרות ארגוניות נספח א' 5.16 נספח א' 9.2.1 ניהול זהות
בקרות ארגוניות נספח א' 5.17 נספח א' 9.2.4
נספח א' 9.3.1
נספח א' 9.4.3 		מידע אימות
בקרות ארגוניות נספח א' 5.18 נספח א' 9.2.2
נספח א' 9.2.5
נספח א' 9.2.6 		זכויות גישה
בקרות ארגוניות נספח א' 5.19 נספח א' 15.1.1 אבטחת מידע ביחסי ספקים
בקרות ארגוניות נספח א' 5.20 נספח א' 15.1.2 טיפול באבטחת מידע במסגרת הסכמי ספקים
בקרות ארגוניות נספח א' 5.21 נספח א' 15.1.3 ניהול אבטחת מידע בשרשרת אספקת ה-ICT
בקרות ארגוניות נספח א' 5.22 נספח א' 15.2.1
נספח א' 15.2.2 		ניטור, סקירה וניהול שינויים של שירותי ספקים
בקרות ארגוניות נספח א' 5.23 NEW אבטחת מידע לשימוש בשירותי ענן
בקרות ארגוניות נספח א' 5.24 נספח א' 16.1.1 תכנון והכנה לניהול אירועי אבטחת מידע
בקרות ארגוניות נספח א' 5.25 נספח א' 16.1.4 הערכה והחלטה על אירועי אבטחת מידע
בקרות ארגוניות נספח א' 5.26 נספח א' 16.1.5 תגובה לאירועי אבטחת מידע
בקרות ארגוניות נספח א' 5.27 נספח א' 16.1.6 למידה מתקריות אבטחת מידע
בקרות ארגוניות נספח א' 5.28 נספח א' 16.1.7 אוסף ראיות
בקרות ארגוניות נספח א' 5.29 נספח א' 17.1.1
נספח א' 17.1.2
נספח א' 17.1.3 		אבטחת מידע בזמן שיבוש
בקרות ארגוניות נספח א' 5.30 NEW מוכנות ICT להמשכיות עסקית
בקרות ארגוניות נספח א' 5.31 נספח א' 18.1.1
נספח א' 18.1.5 		דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
בקרות ארגוניות נספח א' 5.32 נספח א' 18.1.2 זכויות קניין רוחני
בקרות ארגוניות נספח א' 5.33 נספח א' 18.1.3 הגנה על רשומות
בקרות ארגוניות נספח א' 5.34 נספח א' 18.1.4 פרטיות והגנה על PII
בקרות ארגוניות נספח א' 5.35 נספח א' 18.2.1 סקירה עצמאית של אבטחת מידע
בקרות ארגוניות נספח א' 5.36 נספח א' 18.2.2
נספח א' 18.2.3 		עמידה במדיניות, כללים ותקנים לאבטחת מידע
בקרות ארגוניות נספח א' 5.37 נספח א' 12.1.1 נהלי הפעלה מתועדים
ISO 27001:2022 בקרות אנשים
נספח א' סוג בקרה מזהה ISO/IEC 27001:2022 נספח A מזהה ISO/IEC 27001:2013 נספח A שם נספח א'
אנשים בקרות נספח א' 6.1 נספח א' 7.1.1 סריקה
אנשים בקרות נספח א' 6.2 נספח א' 7.1.2 תנאי העסקה
אנשים בקרות נספח א' 6.3 נספח א' 7.2.2 מודעות, חינוך והדרכה לאבטחת מידע
אנשים בקרות נספח א' 6.4 נספח א' 7.2.3 תהליך משמעתי
אנשים בקרות נספח א' 6.5 נספח א' 7.3.1 אחריות לאחר סיום או שינוי עבודה
אנשים בקרות נספח א' 6.6 נספח א' 13.2.4 הסכמי סודיות או סודיות
אנשים בקרות נספח א' 6.7 נספח א' 6.2.2 עבודה מרחוק
אנשים בקרות נספח א' 6.8 נספח א' 16.1.2
נספח א' 16.1.3 		דיווח אירועי אבטחת מידע
ISO 27001:2022 בקרות פיזיות
נספח א' סוג בקרה מזהה ISO/IEC 27001:2022 נספח A מזהה ISO/IEC 27001:2013 נספח A שם נספח א'
בקרות פיזיות נספח א' 7.1 נספח א' 11.1.1 היקפי אבטחה פיזית
בקרות פיזיות נספח א' 7.2 נספח א' 11.1.2
נספח א' 11.1.6 		כניסה פיזית
בקרות פיזיות נספח א' 7.3 נספח א' 11.1.3 אבטחת משרדים, חדרים ומתקנים
בקרות פיזיות נספח א' 7.4 NEW ניטור אבטחה פיזית
בקרות פיזיות נספח א' 7.5 נספח א' 11.1.4 הגנה מפני איומים פיזיים וסביבתיים
בקרות פיזיות נספח א' 7.6 נספח א' 11.1.5 עבודה באזורים מאובטחים
בקרות פיזיות נספח א' 7.7 נספח א' 11.2.9 Clear Desk ומסך ברור
בקרות פיזיות נספח א' 7.8 נספח א' 11.2.1 מיקום ומיגון ציוד
בקרות פיזיות נספח א' 7.9 נספח א' 11.2.6 אבטחת נכסים מחוץ לשטח
בקרות פיזיות נספח א' 7.10 נספח א' 8.3.1
נספח א' 8.3.2
נספח א' 8.3.3
 נספח א' 11.2.5 		אחסון מדיה
בקרות פיזיות נספח א' 7.11 נספח א' 11.2.2 כלי עזר תומכים
בקרות פיזיות נספח א' 7.12 נספח א' 11.2.3 אבטחת כבלים
בקרות פיזיות נספח א' 7.13 נספח א' 11.2.4 תחזוקת ציוד
בקרות פיזיות נספח א' 7.14 נספח א' 11.2.7 סילוק מאובטח או שימוש חוזר בציוד
ISO 27001:2022 בקרות טכנולוגיות
נספח א' סוג בקרה מזהה ISO/IEC 27001:2022 נספח A מזהה ISO/IEC 27001:2013 נספח A שם נספח א'
בקרות טכנולוגיות נספח א' 8.1 נספח א' 6.2.1
נספח א' 11.2.8 		התקני נקודת קצה של משתמש
בקרות טכנולוגיות נספח א' 8.2 נספח א' 9.2.3 זכויות גישה מועדפות
בקרות טכנולוגיות נספח א' 8.3 נספח א' 9.4.1 הגבלת גישה למידע
בקרות טכנולוגיות נספח א' 8.4 נספח א' 9.4.5 גישה לקוד המקור
בקרות טכנולוגיות נספח א' 8.5 נספח א' 9.4.2 אימות מאובטח
בקרות טכנולוגיות נספח א' 8.6 נספח א' 12.1.3 ניהול קיבולת
בקרות טכנולוגיות נספח א' 8.7 נספח א' 12.2.1 הגנה מפני תוכנות זדוניות
בקרות טכנולוגיות נספח א' 8.8 נספח א' 12.6.1
נספח א' 18.2.3 		ניהול נקודות תורפה טכניות
בקרות טכנולוגיות נספח א' 8.9 NEW ניהול תצורה
בקרות טכנולוגיות נספח א' 8.10 NEW מחיקת מידע
בקרות טכנולוגיות נספח א' 8.11 NEW מיסוך נתונים
בקרות טכנולוגיות נספח א' 8.12 NEW מניעת דליפת נתונים
בקרות טכנולוגיות נספח א' 8.13 נספח א' 12.3.1 גיבוי מידע
בקרות טכנולוגיות נספח א' 8.14 נספח א' 17.2.1 יתירות של מתקנים לעיבוד מידע
בקרות טכנולוגיות נספח א' 8.15 נספח א' 12.4.1
נספח א' 12.4.2
נספח א' 12.4.3 		רישום
בקרות טכנולוגיות נספח א' 8.16 NEW פעולות ניטור
בקרות טכנולוגיות נספח א' 8.17 נספח א' 12.4.4 סנכרון שעון
בקרות טכנולוגיות נספח א' 8.18 נספח א' 9.4.4 שימוש בתוכניות שירות מורשות - זכויות גישה
בקרות טכנולוגיות נספח א' 8.19 נספח א' 12.5.1
נספח א' 12.6.2 		התקנת תוכנה על מערכות תפעוליות
בקרות טכנולוגיות נספח א' 8.20 נספח א' 13.1.1 אבטחת רשתות
בקרות טכנולוגיות נספח א' 8.21 נספח א' 13.1.2 אבטחת שירותי רשת
בקרות טכנולוגיות נספח א' 8.22 נספח א' 13.1.3 הפרדת רשתות
בקרות טכנולוגיות נספח א' 8.23 NEW סינון אינטרנט
בקרות טכנולוגיות נספח א' 8.24 נספח א' 10.1.1
נספח א' 10.1.2 		שימוש בקריפטוגרפיה
בקרות טכנולוגיות נספח א' 8.25 נספח א' 14.2.1 מחזור חיים של פיתוח מאובטח
בקרות טכנולוגיות נספח א' 8.26 נספח א' 14.1.2
נספח א' 14.1.3 		דרישות אבטחת יישומים
בקרות טכנולוגיות נספח א' 8.27 נספח א' 14.2.5 עקרונות ארכיטקטורת מערכת מאובטחת והנדסה למידה מאירועי אבטחת מידע
בקרות טכנולוגיות נספח א' 8.28 NEW קידוד מאובטח
בקרות טכנולוגיות נספח א' 8.29 נספח א' 14.2.8
נספח א' 14.2.9 		בדיקות אבטחה בפיתוח וקבלה
בקרות טכנולוגיות נספח א' 8.30 נספח א' 14.2.7 פיתוח במיקור חוץ
בקרות טכנולוגיות נספח א' 8.31 נספח א' 12.1.4
נספח א' 14.2.6 		הפרדת סביבות פיתוח, בדיקה וייצור
בקרות טכנולוגיות נספח א' 8.32 נספח א' 12.1.2
נספח א' 14.2.2
נספח א' 14.2.3
נספח א' 14.2.4 		שינוי הנהלה
בקרות טכנולוגיות נספח א' 8.33 נספח א' 14.3.1 מידע על בדיקה
בקרות טכנולוגיות נספח א' 8.34 נספח א' 12.7.1 הגנה על מערכות מידע במהלך בדיקות ביקורת

מי אחראי על התהליך הזה?

החובה העיקרית לתכנן א מדיניות אבטחת מידע לעובדים מרוחקים נמצאת קצין אבטחת המידע של הארגון. עם זאת, גם בעלי עניין אחרים צריכים להיות מעורבים בתהליך.

מנהלי IT ו-HR אחראים במשותף לוודא שהמדיניות מיושמת ומתוחזקת, ושהעובדים יבינו אותה ויעמדו בה.

אם יש לך תוכנית לניהול ספקים, סביר להניח שהאדם האחראי על ניהול הקבלנים והספקים יהיה אחראי לגיבוש מדיניות אבטחה עבור עובדים חיצוניים באותה מחלקה.



[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]

מה המשמעות של השינויים הללו עבורך?

ISO 27001:2022 נותר ללא שינוי ברובו; לכן, אתה פשוט צריך לוודא שתהליכי אבטחת המידע שלך תואמים למהדורה החדשה.

שינוי פקדים מסוימים והבהרת דרישות מסוימות היה השינוי העיקרי. לנספח A 6.7 הייתה ההשפעה המשמעותית ביותר - אם אתה מבצע מיקור חוץ או מעסיק אנשים מרחוק, עליך לוודא שיש להם אמצעי אבטחה מתאימים.

אם הארגון שלך כבר מחזיק ב- ISO 27001 הסמכה, התהליך שתפעיל לניהול אבטחת מידע יעמוד בתקנות החדשות.

אם אתה מחפש לחדש את שלך ISO 27001 הסמכה, אינך צריך לנקוט בשום פעולה. רק ודא שהנהלים שלך עדיין תואמים את התקן החדש.

אם אתה מתחיל מההתחלה, יש צורך לשקול כיצד לשמור על הנתונים והמידע של החברה שלך מפני התקפות סייבר וסיכונים אחרים.

חיוני להתייחס ברצינות לסיכוני סייבר ולנהל אותם כחלק מהתוכנית העסקית הכוללת, ולא רק להתייחס אליהם כבעיה עבור מחלקות IT או אבטחה.

כיצד ISMS.online עזרה

השמיים פלטפורמת ISMS.online מסייע בכל היבט של יישום ISO 27001:2022, מביצוע פעילויות הערכת סיכונים ועד לתכנון מדיניות, נהלים והנחיות כדי לעמוד במפרטי התקן.

ISMS.online מספקת פלטפורמה לתיעוד ושיתוף ממצאים עם עמיתים. יתר על כן, זה מאפשר לך ליצור ולאחסן רשימות ביקורת של כל המשימות הדרושות ליישום ISO 27001, מה שמאפשר לך לפקח על אמצעי האבטחה של הארגון שלך בצורה נוחה.

אנו מספקים לארגונים סט של כלים אוטומטיים כדי להפוך את הדגמת התאימות ל-ISO 27001 לפשוטה.

צור איתנו קשר עכשיו כדי להזמין הדגמה.

מייק ג'נינגס

מייק הוא מנהל מערכת הניהול המשולבת (IMS) כאן ב-ISMS.online. בנוסף לאחריותו היומיומית להבטיח שניהול אירועי אבטחה של IMS, מודיעין איומים, פעולות מתקנות, הערכות סיכונים וביקורות מנוהלים ביעילות ומתעדכנים, מייק הוא מבקר ראשי מוסמך עבור ISO 27001 וממשיך לשפר את כישוריו האחרים בתקנים ובמסגרות של אבטחת מידע וניהול פרטיות כולל Cyber ​​Essentials, ISO 27001 ועוד רבים אחרים.

דרישות ISO 27001:2022

ISO 27001:2022 נספח A בקרות

בקרות ארגוניות

אנשים בקרות

בקרות פיזיות

בקרות טכנולוגיות

לגבי ISO 27001