עבור לתוכן
ISMS.online

כיצד ליישם את תקן ISO 27001:2022 נספח A לבקרה – 7.10 מדיות אחסון

סיכון בלתי מבוקר של מדיית אחסון יכול בשקט לטרפד את הסמכת ISO 27001:2022 ולחשוף אתכם לכישלון ביקורת או לפעולה רגולטורית. הפכו פגיעויות נסתרות לחוזק הניתן לביקורת על ידי מעקב אחר כל מכשיר, הקצאת בעלות אמיתית וייעול המדיניות לפרקטיקה היומיומית. שליטה פירושה שכל נכס גלוי, כל פעולה מתועדת וכל ביקורת מתקבלת בביטחון.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

מה מגדיר את הסיכון של מדיה אחסון עבור ארגונים מודרניים - ומדוע שליטה בתקן ISO 27001:2022 נספח A 7.10 חיונית?

בנוף שבו נתונים נעים מעבר לגבולות פיזיים ודיגיטליים בקצב הצורך, מדיה לאחסון אינה נכס סטטי וגם לא סימון תאימות פשוט. כיום, זה אומר כל מכשיר או מאגר שעשויים להכיל מידע מוסדר - אפילו אם רק לשניות. המלאי כולל כעת לא רק כוננים חיצוניים ותיקיות ענן, אלא גם נתונים המאוחסנים במטמון של SaaS, אחסון זמני בסמארטפונים, שרתים שיצאו משימוש, כונני USB של משרד ביתי ושיתופי קבצים לא מנוהלים. כל נקודת קצה שנשכחה היא סיכון סמוי ופוטנציאל לביקורת.

אתם שולטים בסיכונים על ידי כך שכל פיסת אחסון תהיה גלויה, בבעלות ובאחריות.

אם הארגון שלך אינו יכול לזהות, לאתר ולהוכיח בעלות על כל אמצעי אחסון המכיל נתונים רגישים או קריטיים לעסקים, אתה עומד בפני שלוש סכנות:

  • אובדן או פרצת נתונים: באמצעות היעלמות, גניבה, העברה לא נכונה או מחיקה לא מלאה.
  • כשל בביקורת: עקב פערים או אי-בהירות ברישומי הנכסים - מכשיר "יתום" יחיד יכול לעצור את האישור באופן מיידי.
  • פעולה רגולטורית: תחת GDPR, NIS 2, או כללים ספציפיים למגזר, שלעתים קרובות מחריפים מהיעדר תיעוד לא פחות מההפרה עצמה.

תקן ISO 27001:2022 דורש לא רק תיעוד של נכסים חיים, אלא תיעוד מלא של כל התקן או מאגר: מתי נרכש, מי אחראי, כיצד נעשה בו שימוש או שותף, כיצד הועבר או הוצא משימוש, וחשוב מכל - כיצד הובטח הסילוק הסופי. תאימות מוכנה לביקורת מתחיל עם מלאי בזמן אמת ורישומים ברורים וברישום מעשי, כולם תואמים להצהרת הישימות (SoA) שלכם ולהתחייבויות רגולטוריות רחבות יותר.

שיטות עבודה מודרניות מומלצות דורשות סקירות רבעוניות של מלאי זה, גישה אגרסיבית כלפי מערכות מידע/מכשירי צל, והסלמה מהירה כאשר נכס כלשהו יורד מהמפה. ללא יסודות אלה, כל אירוע או ביקורת חדשים חושפים סיכונים רבים יותר - ומסירים שליטה מהצוות שלכם.

טייק מפתח:

סיכון מדיה של אחסון הוא סיכון ארגוני במיניאטורה: נכסים שלא עוקבים אחריהם, בעלות מעורפלת או סילוק לקוי הם דגלים אדומים עבור מבקרים, רגולטורים ותוקפים כאחד. שליטה מתחילה במלאי נכסים חי ומקיף בבעלות ומסתיימת ברישומים בלתי ניתנים להפרכה עבור כל מדיה - פיזית או וירטואלית - שאי פעם הכילה נתונים רגישים.

הזמן הדגמה


מדוע רוב תוכניות מדיה לאחסון נכשלות - והיכן נמצאים הפערים הנסתרים?

למרות מסמכי מדיניות חזקים, ארגונים רבים נופלים קורבן ל... אשליה של כיסוירשימת הבדיקה מסמנת "כונני USB", "מחשבים ניידים" ו"מחשבים שולחניים", אך מפספסת את הקצה המתפתח במהירות של שיטות עבודה. שרתים מדור קודם שוכנים מתחת לשולחנות עבודה, תיקיות סנכרון ענן גדלות ללא פיקוח, ושיתופים "זמניים" או מסירות מכשירים נופלים בין הכיסאות. הסיכון המתמשך אינו רק נתונים שנותרים מאחור, אלא... פערים בהוכחה שחושפים ארגונים במהלך ביקורות, חקירות או גילוי פרצות.

המדיום הכי פחות ברור - זה ששכחתם - נוטה לגרום הכי הרבה כאב כשזה חשוב.

רוב תוכניות התקשורת נכשלות לא מכוונה, אלא מ:

  • מלאי נכסים מקוטע: כלים מנותקים, גיליונות אלקטרוניים ידניים ויומני רישום ישנים עוקפים זה את זה, ויוצרים נקודות מתות.
  • בעלות לא ברורה: מערכות ה-IT רושמות רכישות והקצאות, אך משתמשי עסקים מקצים מחדש, משאילים מכשירים או משתפים אישורים.
  • סקירה לא שכיחה: נכסים מדור קודם נשארים ל"בדיקות שנתיות", והופכים למיושמים לפני שמתגלות בעיות (או הפרות).
  • קיצורי דרך אנושיים: כאשר תהליכים מורכבים מדי או מענישים מדי, הצוות עלול לעקוף את המדיניות, במיוחד תחת לוחות זמנים או לחץ.

מה שמסבך את העניינים הוא האופי ההיברידי של אחסון מודרני: מאגרי ענן עשויים להיות משודרגים על ידי משתמשי הקצה, ולפעמים משאירים תמונות במטמון בנקודות קצה או בנתוני דפדפן בלתי נראות ל-IT המרכזי.

כאשר מתרחשים אירועים - אובדן כונן, חשד לדליפה או בקשה של מבקר - האיום הגדול ביותר אינו הפריצה עצמה, אלא נתיב ביקורת מעורפל או שבור. היעדר שושלת ברורה, בעלות עדכנית או השמדה ניתנת לאימות נתפסת ככשל ממשלתי ויכולה להפוך אירועים קלים לכשלים קריטיים בתאימות.

היפוך אמונה:

תאימות מקיפה אינה "סימון תיבות"מדובר בסגירת כל פער שבו נתונים עלולים להפוך לבלתי נשלטים, ושבו ביקורת רגולטורית או ביקורת עלולה להגיע



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


מה נדרש ממדיניות מדיה אחסון תואמת לתקן ISO 27001:2022?

רואי חשבון ורגולטורים שופטים הצלחה לא לפי קיומה של מדיניות מדיה לאחסון, אלא לפי הרלוונטיות שלה בעולם האמיתי, בהירותה ואימוץ שלה. תקן ISO 27001:2022 נספח A 7.10 מצפה שהמדיניות שלכם תהיה ניתנת ליישום, נגישה, ומעל הכל, יעילה בהנעת התנהגות וראיות אמינות.

מדיניות שלא נקראה או שהיא צפופה מדי לביצוע אינה מציעה מגן מפני ההפרה של מחר.

מרכיבים מרכזיים של מדיניות יעילה לאחסון מדיה:

  1. היקף מקיף: מכסים את כל הסוגים (ניתנים להסרה, ניידים, קבועים, מבוססי ענן) ואת כל מקרי השימוש (יצירה, אחסון, העברה, השמדה).
  2. העברת בעלות: הקצאת אחריות ברורה לכל מכשיר - על ידי אדם, צוות או פונקציה ששמם נקוב. אין צורך ב"קבוצה" או ב"ברירת מחדל של מנהלי IT".
  3. מכשירים מותרים/אסורים: יש לפרט במפורש את סוגי המדיה המותרים וספקי הענן/שירותים המאושרים. לחסום כלים לא מאושרים; להגדיר טיפול בחריגים בצורה שקופה.
  4. הוראות טיפול ושימוש: נהלים לאחסון, הצפנה, הובלה ושימוש במדיה - כולל תרחישי "מה אם" התנהגותיים (למשל, עבודה מהבית, נסיעות עסקים או מסירה לצד שלישי).
  5. שלבי הסלמה של אירוע: פרוטוקולים פשוטים ומועברים היטב לדיווח על אובדן, חשד לפגיעה או סטייה ממדיניות - רצוי בשתי לחיצות או פחות.
  6. סקירות ותודות על מחזור חיים: אישור מחדש קבוע של הצוות (למשל, כל שישה חודשים); סקירות מתוזמנות של מכשירים ישנים וקמפיינים לסילוק.
  7. נתיב ביקורת וניהול רישומים: דרישות ליצירת רשומה בלתי ניתנת לשינוי בכל אירוע מרכזי (רכישה, הקצאה, שימוש, העברה, הוצאה משימוש, השמדה).
  8. יושרה בין-מסגרות: שפה והוראות העומדות בחובות רחבות יותר במסגרת GDPR, NIS 2, או תקנות המגזר שלך.

באמצעות כלי ISMS.online, המדיניות לא רק מאוחסנת אלא גם מוצגת באופן פעיל למשתמשים בזרימות עבודה מרכזיות - מה שמבטיח שהצוות רואה, מאשר מחדש ומפעל לפי הדרישות בהתאם למחזורי הביקורת ומשאבי אנוש. תזכורות אוטומטיות ונקודות בקרה של "עדכון מדיניות" הופכות מסמכים פסיביים לנהלים חיים.

דחיפה בגלילה:

אם המדיניות הנוכחית שלכם עדיין נראית כמו ספר PDF, עכשיו זה הזמן להמיר אותה לתהליך עבודה דינמי ומשולב - כזה שהצוות זוכר מתי זה חשוב ושמבקרים רואים אותו בפעולה.



כיצד בונים - ומוכיחים - נתיב ביקורת של מדיית אחסון עמידה בפני פגיעה?

תוכנית תקשורתית חזקה רק כמו הרקורד החלש ביותר שלה. הוכחה ניתנת לביקורת פירושו היכולת להראות - בכל עת - מי שלט במכשיר או במאגר נתונים, כיצד נעשה בו שימוש, וכיצד הוא הושלך או הוצא בסופו של דבר משימוש.

רישום שרשרת משמורת רציף ובלתי ניתן לשינוי הוא ההגנה הטובה ביותר שלך בביקורת או בחקירה.

שלבים ליצירת נתיב ביקורת בר-הוכחה:

  • שילוב מערכת מלאי: יומני נכסים חיים ומתעדכנים באופן רציף המקושרים לזהות משתמש, אירועי שימוש, אישורי מדיניות וסטטוס (פעיל, בהעברה, בבדיקה, הושמד).
  • רישום אירועים: שיטתי, לא אד-הוק. כל העברה, מסירה או שינוי באחריות מפעילים ערך יומן חדש עם זמן, משתמש ומטרה.
  • רישום בלתי משתנה: יומנים עמידים בפני פגיעה, רצוי עם נעילה קריפטוגרפית או בקרת גישה.
  • אישור השמדה: כאשר מכשירים מושמדים (בתוך החברה או על ידי צד שלישי), מצורף תעודה חתומה - עם הוכחת שרשרת משמורת, ובאופן אידיאלי, הפניות לתקנים של צד שלישי (NIST 800-88, ISO).
  • דיווח על חריגים/הפרות: כל האנומליות - אובדן נכסים, הרס מאוחר, התאוששות מאירועים - חייבות להיות מתועדות, מוסברות ומקושרות לסקירות שורש הבעיה.

ויזואליה מוטמעת: זרימת ביקורת אחסון

  • רכש ← רישום ← שימוש יומיומי ← מסירות ← הוצאה משימוש ← השמדה מאובטחת + תעודה ← ביקורת/סקירה.

עם פלטפורמות כמו ISMS.online, כל שלב מתועד בממשק מאוחד - ללא עקבות נייר, ללא גיליונות אלקטרוניים מבודדים וללא רשומות "אבודות בדוא"ל". לוחות מחוונים יכולים לסמן מכשירים יתומים, סקירות איחוריות או סילוקים שלא הושלמו בזמן אמת.

טיפ Pro:

שאלת הזהב של המבקר - "הראה לי את הרשומה עבור מכשיר X מהרכישה ועד היום" - אמורה להפעיל אחזור מיידי. אם זה לוקח יותר מחמש דקות, המערכת שלך בסיכון.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


כיצד נראה שיפור מתמיד של תאימות למדיה אחסון?

בקרות סטטיות ומדיניות של "הגדר ושכח" הן המציאות של אתמול - והגורם העיקרי לרוב כשלי התאימות הקשורים למכשירים. שיפור מתמשך כעת מצופה: ראיות לכך שהארגון שלך סוקר, לומד מאירועים, סוגר פערים ומשפר הן את המדיניות והן את הבקרה המעשית.

שאננות היא האויב - סקירה מתמשכת היא נכס הביטחון הטוב ביותר שלך.

רכיבי מפתח:

  • ביקורות מתוזמנות: סקירות מלאי ושימוש רבעוניות, עם חידושי "סריקה מדור קודם" כדי לאטום IT צללים ומכשירים ישנים.
  • ניתוח אירועים: סקירות לאחר אירוע לא רק עבור פרצות משמעותיות אלא עבור כל היוצאים מן הכלל - כל כונן הבזק שאבד או אירוע השמדה שהוחמץ הוא מקרה בוחן של למידת סיכונים.
  • קצב רענון המדיניות: יש לעדכן את המדיניות בנוגע לטכנולוגיה ולתקנות; לסמן ולנתב קריאות חוזרות/הודאות נדרשות לכל הצוות.
  • תזכורות אוטומטיות: השתמשו ב-ISMS.online כדי לעודד הן את הצוותים התפעוליים (כאשר מגיעים סריקות או ביקורות) והן את משתמשי הקצה (כאשר מתרחשים שינויים במדיניות).
  • לוחות מחוונים: נראות בזמן אמת של סטטוס תאימות, ביקורות שעברו את המועד ופערים במדיניות.
  • דיווחי הדירקטוריון: ערכות מובנות ותקופתיות להנהלה המציגות קווי מגמה (חיוביים או שליליים), פעולות מתקנות וצורכי משאבים לשיפור בר-קיימא.

ארגונים המשתמשים בפלטפורמות ISMS מתקדמות יכולים להגדיר את "ניטור, מדידה, שיפור" כלולאה: כל סיכון או אירוע מחזירים שליטה הדוקה יותר, הכשרה טובה יותר ומיקוד חד יותר ברמת הדירקטוריון. כאשר כל בעל עניין - IT, תפעול, משפט, דירקטוריון - נוגע בלולאת התאימות החיה, הן תוצאות הבטחת הביצוע והן תוצאות הביקורת הופכות לחזויות יותר.

בדיקת מציאות:

אם מחזורי הסקירה או השיפור שלכם הם אד-הוק, או תלויים בזיכרון של מנהל אחד, הסיכון לסחיפה גדל עם כל מכשיר חדש, שינוי צוות או השקת פרויקט.



כיצד עליכם לגשת לסילוק מאובטח - ומה אינו ניתן למשא ומתן לצורך קבלת ביקורת?

סילוק בטוח של מדיות אחסון הוא חובה רגולטורית ותפעולית. מבקרים רוצים לראות לא רק "מדיניות" השמדה, אלא פעולות מאושרותלכל נכס שהוצא משימוש יש רישום השמדה, הקשור לתקנים מוכרים בתעשייה ותעודה שניתן להמציא לפי דרישה.

סילוק ללא הוכחה הוא כשל ציות שמחכה להיחשף.

שיטות עבודה מומלצות:

  • פרוטוקולי NIST 800-88 או ISO 27001 למחיקת והשמדת נתונים.
  • תעודות/הוכחות חתומות לכל אירוע השמדה של ספק צד שלישי:
  • מעקב אוטומטי אחר מכירות מתוזמנות והעלאת אישורים ליומן הנכסים:
  • יומני שרשרת משמורת מלאים: תאריך, משתמש אחראי, יומני מסירה, אישור השמדה.
שיטת סילוק תֶקֶן נדרשת הוכחה קבילות ביקורת
טיהור NIST 800-88 ארה"ב פדרלי תעודה + יומן אירועים תקן הזהב
ISO 27001 נספח A ברמה בינלאומית תעודה + תנאי שימוש, מדיניות חזק
אישור עצמי של הספק ספציפי לספק / ללא תעודה בלבד בינוני/חלש
אין הסמכה ללא חתימה ללא חתימה כישלון ביקורת

מעבר לנכסים פיזיים, אל תתעלמו מאגרים מבוססי ענן ו-SaaS- אישורים בכתב מספקים על מחיקה (עם יומני רישום) נדרשים יותר ויותר, במיוחד במסגרת חוקי הפרטיות והסקטוריאלים. כל פער הוא נטל.

פריט פעולה: שלבו את מדיניות הסילוק ותהליך העבודה שלכם בפלטפורמת התאימות שלכם, באמצעות תזכורות מובנות ורישום אוטומטי. הפכו סריקות מדור קודם לחלק מלוח הזמנים שלכם, תמריצו דיווח על נכסים "שנמצאו", וודאו ששום דבר לא יתעכב מעבר לבדיקה רשמית.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


מי אחראי לסיכון של מדיה אחסון - וכיצד יוצרים אחריות אמיתית?

אין תחליף למדיניות, לוח מחוונים או יומן רישום בעלות ברורה ומאוכפתהשליטה היומיומית נמצאת בידי התפעול, ה-IT או מנהלי נכסים מקומיים, אך האחריות מוטלת על ההנהגה הבכירה ו(בסופו של דבר) על הדירקטוריון.

ציות אמיתי ניכר במי שפועל, מי בודק ומי מעלה את האזעקה.

מנופי ניהול מרכזיים:

  • אחריות בשם: הקצאת אחריות על מכשיר/מחזור חיים לאנשים או צוותים ספציפיים; הימנעות מבעלות "קולקטיבית".
  • סקירת הנהלה: יש צורך בערכות ניהול חודשיות, ביקורות נקודתיות וסקירות דירקטוריון - לא רק מחזורים שנתיים.
  • תיאום בין-תפקודי: שלב ביקורות אחסון בוועדות אבטחה, ניהול סיכונים ופונקציות ביקורת פנימית.
  • ערוץ חושפי שחיתויות: אפשרו הסלמה סודית - עבור פערים או בעיות שעובדים אינם מתקשים לדווח עליהן במעלה השרשרת.
  • ניתוח שורש הבעיה: כל אירוע צריך להוביל לשיפור בתהליך, לא רק לפעולה מתקנת.

ISMS.online מיישמת זאת על ידי מתן אפשרות לתהליכי עבודה של מטלות, טריגרים להסלמה ולוחות מחוונים בזמן אמת לסקירת הנהלה. מחזורי סקירה קבועים והודעות על אירועים הופכים לשגרה מובנית, לא למאמצים חד פעמיים.

כפי שההנהגה מכירה בכך סיכון מדיה אחסון שווה ערך לסיכון מוניטין וסיכון רגולטורי, אבטחה והדגמה של שליטה הופכות כלל-ארגוניות, ולא רק מבודדות ל-IT או לתאימות.



כיצד ISMS.online הופכת את בקרת מדיית האחסון למעשית, ניתנת להוכחה וניתנת להרחבה?

כאשר עונת הביקורת מסתיימת, או שלקוח מבקש הוכחה לבקרות המדיה שלכם, לניחושים אין מקום. ISMS.online מגשר על הפער בין מדיניות לפעולה: מיפוי, מעקב וביקורת של כל מכשיר בסביבות פיזיות, ענן והיברידיות.

עם ISMS.online, תאימות לתקן מדיה אחסון ניתנת לביקורת עוברת מכאב תיאורטי לפרקטיקה יומיומית וקלה.

כיצד ISMS.online מספקת:

  • מלאי נכסים חיים: מודולים מוכנים לשימוש לרישום, סיווג, הקצאה ואיתור של כל המדיה - מעודכנים בזמן אמת.
  • ניהול רישומים מוכן לביקורת: כל פעולה, שינוי בעלים ואירוע השמדה נרשם באופן בלתי משתנה - וניתן לאחזור מיידי על ידי מבקרים.
  • תהליכי עבודה של מדיניות: חבילות מדיניות ותזכורות חוזרות ותקופתיות של הצוות נועלות הוכחה התנהגותית; תזכורות אוטומטיות מבטיחות שאף אחד לא מפספס אף שלב.
  • ניהול נכסים מדור קודם: סריקות ותהליכי עבודה המונעים על ידי לוחות מחוונים חושפים מדיה "נשכחת" או בסיכון לפני שהיא הופכת לממצאים.
  • תאימות לסילוק: תזמון אוטומטי, העלאת אישורי השמדה ובדיקת נאותות ספקים, הכל מטופל בתהליך עבודה אחד.
  • דיווח הניתן להתאמה אישית: לוחות מחוונים של סטטוס תאימות בזמן אמת, תמונות מצב של ראיות וחבילות ניהול מוכנות למבקרים, ללקוחות ולדירקטוריון שלכם.
  • שילוב בין תקנות: ISO 27001, GDPR, NIS 2 ומסגרות אחרות במעקב חלק - מהנכס ועד לתעודה.

אם אתם מתמודדים עם סיכון של מדיית אחסון באמצעות גיליונות אלקטרוניים מפוזרים או תגובות לתרגילי אש, ISMS.online מספק דרך לסגור כל פער - ולהגן על כל תהליך - עם פחות לחץ, עלות נמוכה יותר ואמון גבוה בהרבה בקרב בעלי העניין.



מה הצעד הבא שלך לקראת תאימות בלתי מעורערת לתקנות מדיה אחסון?

כל נכס אחסון שאתם משאירים ללא מעקב, ללא ניהול או ללא סילוק כראוי צובר סיכונים פיננסיים, רגולטוריים ותדמיתיים. הארגונים שזוכים לשבחים בזמן הביקורת, ושזוכים לאמון מצד שותפים, הם אלו שמשלבים תאימות בקצב היומיומי שלהם.

עכשיו זה הרגע לזוז:

  • סקור ומפה את המלאי שלך: זהה בעלים עבור כל מכשיר ומאגר, פיזי או ענן.
  • אוטומציה של זרימות עבודה של מדיניות: מעבר ממדיניות סטטית להנחיות חיות, מוכרות ומדידות.
  • תזמון סריקות מדור קודם: הפוך את קצב הסקירה והסילוק לשגרה, כמו דיווח רבעוני.
  • שינוי תחום התיעוד: הוכחה עולה על כל המדיניות בכל פעם; יש לוודא שכל פעולה נרשמת, מאושרת וניתנת לאחזור תמיד.
  • מינוף ISMS.online: קפיצה מכוונה מפוזרת לבקרה יומיומית וניתנת לביקורת - על פני כל המדיה, המסגרות והרמות בארגון.

אל תתנו למכשיר או לשיתוף הקבצים הבא שאתם "מפספסים" להפוך לקומת העניינים שאף אחד לא רוצה לספר עליה בחדר הישיבות או בתקשורת. עם תיעוד בלתי מעורער, מדיניות חיה וניטור מונחה מערכת, הארגון שלכם הופך עמיד בפני ביקורת, עמיד בפני רגולטורים ובעל אמין בלתי ניתן לערעור - מהמכשיר הראשון ועד האחרון.


שאלות נפוצות

אילו סוגי מדיה לאחסון חייבים לכסות את מדיניות ISO 27001:2022 שלך - ומדוע זה חשוב?

כל מכשיר, מיקום או שירות שיכול לאחסן, להעתיק או לסנכרן נתונים רגישים הם חלק מתחום התאימות שלכם - הרבה מעבר רק למקלות USB וכונני גיבוי. תקן ISO 27001:2022 מכסה נקודות קצה מסורתיות (מחשבים ניידים, מחשבים שולחניים, כוננים קשיחים חיצוניים, שיתופי רשת), אך גם טלפונים ניידים (ארגוניים ו-BYOD), טאבלטים, מדפסות, מכונות צילום, ציוד לעבודה ביתית, פתרונות SaaS/ענן (OneDrive, Dropbox, Google Drive), מדיה מדור קודם (דיסקים, קלטות), ואפילו אחסון "צל" כמו תיקיות ענן אישיות או פחי אשפה הממתינים לאיסוף. ביקורות תופסות באופן שגרתי ארגונים שמפספסים מכשירים במרשם שלהם: ה-NCSC בבריטניה מזהיר כי "מדיה נשלפת שלא טופלה" נותרה מקור מוביל לפריצות ועיכובים בביקורת.

המכשיר ששכחתם להצהיר עליו הוא זה שהמבקר שואל עליו ראשון.

סיווג ומלאי של אמצעי אחסון

  • רשום כל התקני אחסון: מחשבים ניידים, כונני USB, כרטיסי SD, כוננים חיצוניים, שרתים ואחסון בענן.
  • כלול נקודות קצה שאינן ברורות מאליהן: ציוד משרדי ביתי, מכשירים ניידים אישיים המשמשים לעבודה, מדפסות ופלטפורמות SaaS.
  • מיפוי בעלות, הקצאת מנהלי יחידות עסקיות ורישום מיקומים/גישה.
  • שמור רישומי חיים - בזמן אמת, לא תמונות מצב שנתיות.

מדיניות המבוססת על מלאי יסודי סוגרת פערים בביקורת לפני שהם נוצרים.

NCSC בבריטניה: סיכוני מדיה נשלפת

היכן מתרחשים בפועל סיכונים והפסדים של מדיות אחסון?

רוב כשלי התאימות מתרחשים בעדכוני נכסים שגרתיים שלא נענו, החזרות שנשכחו, מכשירים המופקדים בידי צדדים שלישיים, או "נקודות קצה" דיגיטליות (כמו תיקיות ענן) שנותרות ללא מעקב לאחר שעובד עוזב. מועצת הטכנולוגיה של פורבס מדווח שרוב הפריצות מתרחשות עקב "הפסקות בשרשרת", כגון מחשב נייד שהושאל לפגישה, כונן USB שהוכנס למשרד ביתי, או מדיה גיבוי שנחשבת כהרסה אך עדיין ניתנת לשחזור. אפילו השמדה מאובטחת עלולה להיכשל אם ספקים אינם יכולים לספק אישורים עם חותמת זמן והקצאה ייחודית - מה שמציב את הארגון שלך בסיכון משרשרת האספקה ​​​​וחוץ.

כשלים אמיתיים בביקורת מסתתרים בשלבים שדילגו עליהם ובהעברות שקטות, לא בכוונת המדיניות.

נקודות כשל עיקריות

  • רישומי נכסים לא עודכנו לצורך הנפקה, החזרה או סילוק של מכשירים.
  • מכשירים שנעשה בהם שימוש חוזר, נתרמו או נמכרו מחדש ללא מחיקה מאושרת.
  • תיקיות ענן או SaaS אינן מבוטלות כאשר הצוות עוזב.
  • אישורי השמדה של ספקים חסרים, גנריים או בלתי ניתנים לאימות.
  • מכשירים מדור קודם שמצטברים מחוץ לאתר, בבתים או בסניפים.

הגנות פרואקטיביות

  • אוטומציה של ניהול נכסים ודרישה של חתימה כפולה לכל מסירה/סילוק.
  • אימות יעדי גיבוי בענן וסגירת גישה כאשר תפקידי המשתמש משתנים.
  • דרוש, אחסן בארכיון ובחן מעת לעת אישורי השמדה של ספקים - אחסן באופן דיגיטלי ומאובטח.

בלנקו: מחיקת נתונים מאושרת

איך כותבים מדיניות אחסון מדיה שעובדת בפועל ביום-יום?

מדיניות רבות נכשלת בפער בין מילים לביצוע. מדיניות מדיה אחסון הטובה ביותר משתמשת בשפה ברורה ותפעולית - המגדירה כיצד כל מכשיר וחשבון נרשמים, מי אחראי, מה מותר, וכיצד בדיוק מתרחשים מסירות וסילוק. תרחישים היברידיים ומרוחקים חייבים להיכלל במסגרת: כללים לשימוש במכשירים אישיים, עבודה מהבית ותנועות נכסים שאינם משרדיים הם מפורשים - לא משתמעים. חובת חתימות דיגיטליות להקצאת מכשירים, הכשרת צוות והחזרות, ודרישה שיומני רישום (לא מיילים או דפי נייר) יהיו ההוכחה המוגדרת כברירת מחדל.

מדיניות כתובה היא רק חצי מהנתיב הביקורת של הראיות שלך הוא החצי השני שמבקרים רוצים.

רכיבי מדיניות מרכזיים וטבלת ראיות

נקודת מגע במדיניות כיסוי חיוני נדרשת הוכחה
מלאי והקצאה אילו נכסים, למי הם הבעלים, מיקום יומני רישום עם חותמת זמן, משימות
שימוש והדרכה פעולות שאושרו, אישור צוות רישומי הדרכה, קבלה דיגיטלית
העברה ומסירה חתימה כפולה, המוטב רשום כניסה דו-צדדית, יומני רישום מעודכנים
סילוק והשמדה מחיקה מאושרת, נדרשת הוכחה תעודת ספק, תמונות
סקירת מורשת וגרפים בדיקות נכסים תכופות ולא מעודכנות סקירת יומן, תיקון רישום

דרוש פונקציית קריאה/רישום דיגיטלית עבור כל שינויי המדיניות והאישורים. אי מודרניזציה של גישה זו היא סיבה מרכזית לכך שביקורות בעידן הענן מסמנות פערים.

SANS: מדריך מסגרת מדיניות

כיצד יש למפות בקרות מדיה אחסון לתקן ISO 27001:2022 ולחפיפה רגולטורית?

מדיניות יעילה ממפה כל בקרה: עבור נספח A 7.10 או A.8.3 בתקן ISO 27001:2022, יש לשמור על מטריצת תאימות המתייחסת ל-GDPR (סעיפים 5, 30), CCPA, NIS 2 וכל תקן ספציפי לתעשייה. קנסות נובעים לעתים קרובות ממיפויים לא ברורים או "חסרים" - מבקרים ורגולטורים רוצים לראות שלכל שלב במחזור החיים של מדיית אחסון יש הוכחה תואמת, במיוחד עבור בקשות להשמדה ובקשות של נושאי נתונים. באופן דומה, יש למפות בקרות של צד שלישי וספקים - יש לדרוש מספקים לעמוד בסטנדרט לפחות כמו הצוות שלכם.

תֶקֶן רשומות נדרשות נדרשת השמדה/הוכחה מיקוד הרגולטור
ISO 27001: 2022 יומני נכסים, שרשרת משמורת תעודה, הוכחת השמדה ביקורת ניתנת למעקב ובלתי ניתנת לשינוי
GDPR יומני עיבוד ומחיקה רשומות ברורות עם חותמת זמן DSAR, בקשות מחיקה
CCPA/NIS2 רישום, הוכחת מחיקה בזמן תעודות ניתנות לאימות אימות/דו"ח לפי דרישה

מיפוי צולב מראש הוא ההבדל בין ביטחון בביקורת לבין טלטלה.

IAPP: סקירת מדיה לאחסון GDPR

איזו הוכחת מוכנות לביקורת נדרשת עבור בקרות מדיה אחסון?

מבקרים מצפים מהארגון שלכם להציג שרשרת משמורת עבור כל מכשיר וחשבון, עם יומני רישום בלתי ניתנים לשינוי והוכחה מאומתת בשלבי מחזור חיים קריטיים (הקצאה, העברה, החזרה, השמדה מאושרת). ודאות אמיתית פירושה יומני רישום עם חותמת זמן והגנה מפני פגיעה, הניתנים לאחזור תוך דקות - ללא "ניקוי" או תאריך רטרואקטיבי לאחר מעשה. אירועי השמדה דורשים שתי חתימות (IT ו-EQ), כאשר סריקות אישורים ותמונות תהליך מאוחסנות במערכת ה-ISMS שלכם. לאחר כל אירוע או הפרה של נכס, יש לתעד "לקחים שנלמדו", לבצע אמצעים מתקנים ולבצע תרגילי סימולציה מלאים.

כאשר הראיות שלך חזקות יותר מהמדיניות שלך, סיכון הציות מתאדה.

רשימת בדיקה מוכנה לביקורת

  • יומני רישום בלתי ניתנים לשינוי, נגישים למבקרים - ללא עריכה לאחר אירוע
  • אישור כפול להעברה/סילוק
  • אישור ספק מצורף לכל אירוע של ביטול הקצאה או מחיקה
  • תגובה מתועדת לאירוע ומחזור שיפור
  • לדמות תרחישי אובדן נכסים לפחות פעם בשנה, תוך רישום פעולות מתקנות

שבוע אבטחה: שיטות עבודה מומלצות ללוגים בלתי ניתנים לשינוי

מה הופך אחסון מאובטח, סילוק וניהול נכסים מדור קודם לעמידים באמת?

סילוק מאובטח פירושו עמידה בפרוטוקולים מאושרים הן עבור מדיה פיזית והן עבור מדיה דיגיטלית - NIST 800-88, ISO 27001 A.8.3, ותקנים ספציפיים למדינה חלים. ה"מחיקה" הישנה מיושנת; מכשירים וחשבונות חייבים להיות מאושרים כמחיקים או מושמדים פיזית, מתועדים על ידי יומני רישום ייחודיים עם חותמת זמן ותעודות תומכות. ביטול הקצאה בענן וב-SaaS דורש אישור מחיקה מפורש לפני שנכסים יוצאים מהמרשם. קבע סריקות קבועות לאיתור נכסים "רפאים"; דווח על התוצאות להנהלה כדי לשמור על מיקוד ברמה העליונה ושיפור מתמיד כנגד סיכוני מדור קודם.

כל נכס שאתה מוציא משימוש - ומוכיח - הוא סיכון ביקורת עתידי אחד פחות או נתיב אחד פחות לפריצה.

  • תכנון מראש של הוצאת נכסים מהארון והשמדה מאובטחת
  • השתמשו רק בכלי/שירותי השמדה מוסמכים; צלמו ותעדו כל שלב
  • דרוש הוכחת ספק חתומה, מקושרת לנכס/משתמש הספציפי
  • בדיקת אישורים מולבית בין בעלי עניין בתחום ה-IT/עסקי
  • חזור על סריקות מדור קודם רבעוניות, עדכון רישומים והסלמה של כל פריט שלא נכלל בו

Shred-it: השמדת מדיה דיגיטלית ופיזית

כיצד ISMS.online הופכת את תאימות מדיה האחסון לחכמה וקלה יותר?

ISMS.online מאפשר אוטומציה של גילוי נכסים, רישום, מעקב אחר שימוש, תאימות למדיניות, השמדה מאושרת ויצירת ראיות - עבור כל מכשיר, משתמש ותיקיית ענן. רשימות בדיקה חכמות, הנחיות בזמן אמת וזרימות עבודה מודרכות נועלות את התאימות בכל נקודת מגע, עם חתימות דיגיטליות ויומנים בלתי ניתנים לשינוי המוכנים לסקירה חיצונית. רשימות בדיקה להורדה של ISO 27001:2022 נספח A, הדרכות פלטפורמה והדרכה בהדגמה חיה מאיצות את תהליך הקליטה ומכינות אתכם אפילו לביקורת הקשה ביותר ללא פאניקה או עיסוקים בניירת. כתוצאה מכך, תאימות הופכת לשגרה: אתם הופכים לגיבור הביקורת, לא לצוואר הבקבוק.

מוכנות לביקורת ללא מאמץ היא סימן ההיכר של צוות שיכול להוביל גם בזמנים של טורדנות.

מוכנים לסקור את מפת מדיית האחסון שלכם או לספר לכם כיצד תוכלו להפוך את תאימותכם לאוטומטית וללא לחץ? בקרו באתר ISMS.online לניהול רשומות מאובטח ומוכן לביקורת מהיום הראשון.

גלה את ניהול מדיה האחסון של ISMS.online

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.