- לִרְאוֹת ISO 27002:2022 בקרה 7.10 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 8.3.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 8.3.2 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 8.3.3 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 11.2.5 לקבלת מידע נוסף.
ISO 27001 נספח A 7.10: הגנה על נתונים רגישים על מדיית אחסון
השימוש בהתקני מדיית אחסון, כגון כונני SSD, USB, כוננים חיצוניים וניידים, חיוני למספר רב של פעולות חיוניות לטיפול במידע, כולל גיבוי, אחסון והעברה של נתונים.
אחסון של נתונים רגישים וחשובים במכשירים אלו מהווה סיכונים לדיוק, לחשאיות ולנגישות של משאבי מידע. סיכונים אלה עשויים להיות כרוכים בהיעלמות או גניבה של אמצעי אחסון עם מידע סודי, העברת תוכנות זדוניות בכל רשתות המחשוב הארגוניות באמצעות מדיית האחסון, והתמוטטות או הפחתה באיכות של אמצעי האחסון המשמשים לגיבוי.
ISO 27001:2022 נספח A 7.10 מתאר את הצעדים שארגונים חייבים לנקוט כדי להבטיח את אבטחת אמצעי האחסון לאורך כל מחזור החיים שלה, מהרכישה ועד לסילוקה. יש לקבוע מדיניות ובקרות כדי להבטיח את ביטחונו.
מטרת ISO 27001:2022 נספח A 7.10
ISO 27001:2022 נספח A 7.10 מקל על ארגונים בהפחתת ומיגור סיכונים הקשורים לגישה לא מורשית, שימוש, מחיקה, שינוי ושידור של נתונים סודיים המוחזקים בהתקני מדיה אחסון. הוא קובע נהלים לניהול אמצעי אחסון במהלך כל מחזור החיים שלו.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
מה מכסה נספח A 7.10?
ISO 27001:2022 נספח A 7.10 מתייחס למדיות אחסון דיגיטליות ופיזיות כאחד. לדוגמה, אחסון נתונים על מסמכים פיזיים מוקף גם בשליטה זו.
יחד עם מדיית אחסון נשלפת, דיסקים קשיחים כצורה של אחסון קבוע כפופים גם ל-ISO 27001:2022 נספח A 7.10.
בעלות על נספח א' 7.10
ISO 27001:2022 נספח A 7.10 מחייב ארגונים ליצור ולבצע נהלים מתאימים, בקרות טכניות ומדיניות כלל ארגונית לגבי השימוש באמצעי אחסון על פי סכימת הסיווג של הארגון עצמו וכל טיפול בנתונים דרישות כגון משפטיות וחוזיות תנאים.
מנהלי אבטחת מידע צריך לקחת אחריות על כל מחזור הציות.
הנחיות לגבי ISO 27001:2022 נספח A 7.10 תאימות
מדיית אחסון נשלפת
מדיה נשלפת היא הכרחית לפעולות עסקיות רבות ומועסקות רבות על ידי כוח אדם. עם זאת, הם מהווים את הסיכון הגבוה ביותר לנתונים רגישים.
ISO 27001:2022 נספח A 7.10 מגדיר עשרה תנאים שארגונים חייבים להקפיד עליהם לניהול אמצעי אחסון נשלפים במהלך מחזור החיים שלו:
- ארגונים צריכים ליצור מדיניות המתמקדת ברכישה, הרשאה, שימוש וסילוק של אמצעי אחסון נשלפים, וליידע את כל הצוות והגורמים הרלוונטיים על קיומו.
- ארגונים צריכים, היכן שזה מעשי והכרחי, ליישם הליכי הרשאה להוצאת אמצעי אחסון נשלפים משטחי החברה. בנוסף, יש לשמור יומן של הסרות מעקב אחר ביקורת.
- אחסן את כל אמצעי האחסון הנשלפים במקום מאובטח כמו כספת, בהתחשב ב סיווג מידע הרמה המיוחסת למידע ולכל איום סביבתי ופיזי על התקשורת.
- אם שמירה על הסודיות והאמינות של המידע על מדיה נשלפת היא בעלת חשיבות עליונה, יש להשתמש בשיטות הצפנה כדי להגן על המדיה מפני גישה בלתי מורשית.
- כדי למנוע התדרדרות של אמצעי אחסון נשלפים ואובדן נתונים, יש להעביר את המידע להתקן מדיית אחסון טרי לפני שהסיכון עולה.
- זה חיוני להעתיק ולאחסן נתונים רגישים על מספר מדיות אחסון כדי להפחית את הסיכוי לאיבוד מידע קריטי.
- כדי לצמצם את האפשרות של אובדן נתונים מוחלט, רישום התקני מדיה אחסון נשלפים יכול להיות פתרון בר-קיימא.
- אלא אם כן יש צורך עסקי, אין להשתמש ביציאות USB וחריצי כרטיסי SD.
- יש צורך לפקח על העברת המידע לכל התקני מדיה אחסון נשלפים.
- בעת העברת מידע הכלול במסמכים פיזיים באמצעות דואר או שליח, קיים סיכוי גבוה לגישה לא מורשית. כדי להתמודד עם זה, יש לנקוט באמצעים מתאימים.
הנחיות לגבי שימוש חוזר וסילוק מאובטח של אמצעי אחסון
ISO 27001: 2022 נספח A 7.10 מציע הנחיות לגבי שימוש חוזר וסילוק מאובטח של אמצעי אחסון כדי לעזור לארגונים לצמצם ולהיפטר מהסכנה של הפרת סודיות המידע.
נספח א 7.10 קובע כי על ארגונים ליצור ולבצע תוכניות למיחזור וסילוק אמצעי אחסון, בהתחשב ברגישות הנתונים השמורים באמצעי האחסון.
ארגונים צריכים לשקול את הדברים הבאים בעת הגדרת אמצעים אלה:
- אם הצד הפנימי של הארגון יעשה שימוש חוזר באמצעי אחסון, מידע רגיש המתארח בו צריך להימחק באופן בלתי הפיך או לאתחל מחדש לפני האישור.
- השמדה מאובטחת של מדיית אחסון המארחת מידע רגיש היא הכרחית ברגע שאין בו עוד צורך. ניתן לגרוס מסמכי נייר ולהרוס ציוד דיגיטלי פיזית.
- יש לפתח מערכת לזיהוי אמצעי אחסון שיש להיפטר מהם.
- ארגונים צריכים לבצע בדיקת נאותות בעת בחירת גורם חיצוני לאיסוף וסילוק אמצעי אחסון, ולוודא שהספק הנבחר כשיר ושיש לו את הבקרות המתאימות.
- תיעוד כל הפריטים שהושלכו עבור מסלול ביקורת.
- בעת השלכת אמצעי אחסון מרובים יחד, יש לקחת בחשבון את ההשפעה המצטברת: שילוב של פיסות נתונים שונות מכל מדיית אחסון עלול לגרום להפיכת מידע לא רגיש לחומר רגיש.
לבסוף, ISO 27001:2022 נספח A 7.10 מחייב ארגונים להעריך את הסיכון של נתונים סודיים המאוחסנים על ציוד פגום, כדי לקבוע אם יש להשמיד או לתקן את הציוד.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 7.10 מחליף את ISO 27001:2013 נספח א' 08.3.1, 08.3.2, 08.3.3 ו-11.2.5.
ישנם ארבעה הבדלים בולטים.
שינויים במבנה
בניגוד לגרסת 2013, שבה היו שלושה פקדים נפרדים לניהול מדיה, סילוק מדיה והעברת מדיה פיזית, גרסת 2022 משלבת אותם תחת נספח A 7.10.
דרישות לשימוש חוזר באמצעי אחסון נוספו לגרסת 2022
בניגוד לגרסת 2013, שכיסתה רק סילוק מדיה מאובטחת, גרסת 2022 כוללת גם דרישות לשימוש חוזר במדיה מאובטחת.
דרישות ההעברה הפיזית מקיפות יותר בגרסת 2013
לגרסת 2013 היו דרישות נרחבות יותר להעברת אמצעי אחסון פיזית, כולל אימות מזהה לשליחים ותקני אריזה. לעומת זאת, נספח A 7 7.10 בגרסת 2022 רק מציע לארגונים לפעול בזהירות בבחירת שליחים.
נדרשת מדיניות מדיה אחסון נשלפת ספציפית לנושא בגרסת 2022
בעוד שגרסאות 2022 ו-2013 דומות מבחינת דרישות מדיית אחסון נשלפת, גרסת 2022 מחייבת מדיניות ספציפית לנושא על מדיית אחסון נשלפת. גרסת 2013 לא כיסתה דרישה זו.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 |
נספח א' 5.1.1 נספח א' 5.1.2 |
מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 |
נספח א' 6.1.5 נספח א' 14.1.1 |
אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 |
נספח א' 8.1.1 נספח א' 8.1.2 |
מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 |
נספח א' 8.1.3 נספח א' 8.2.3 |
שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 |
נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 |
העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 |
נספח א' 9.1.1 נספח א' 9.1.2 |
בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 |
נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 |
מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 |
נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 |
זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 |
נספח א' 15.2.1 נספח א' 15.2.2 |
ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 |
נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 |
אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 |
נספח א' 18.1.1 נספח א' 18.1.5 |
דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 |
נספח א' 18.2.2 נספח א' 18.2.3 |
עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 |
נספח א' 16.1.2 נספח א' 16.1.3 |
דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 |
נספח א' 11.1.2 נספח א' 11.1.6 |
כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 |
נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 |
אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 |
נספח א' 6.2.1 נספח א' 11.2.8 |
התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 |
נספח א' 12.6.1 נספח א' 18.2.3 |
ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 |
נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 |
רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מורשות - זכויות גישה |
| בקרות טכנולוגיות | נספח א' 8.19 |
נספח א' 12.5.1 נספח א' 12.6.2 |
התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 |
נספח א' 10.1.1 נספח א' 10.1.2 |
שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 |
נספח א' 14.1.2 נספח א' 14.1.3 |
דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | עקרונות ארכיטקטורת מערכת מאובטחת והנדסה למידה מאירועי אבטחת מידע |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 |
נספח א' 14.2.8 נספח א' 14.2.9 |
בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 |
נספח א' 12.1.4 נספח א' 14.2.6 |
הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 |
נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 |
שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.online נוקט בגישה מבוססת סיכונים, תוך שימוש בשיטות מומלצות ותבניות מובילות בתעשייה, כדי לעזור לך לזהות את הסיכונים שהארגון שלך חשוף אליהם ואת הבקרות הדרושות לניהולם. זה מסייע בהפחתת הסיכון והן עלויות הציות.
צור איתנו קשר עכשיו כדי לארגן הפגנה.