קפוץ לנושא
מהי המטרה של נספח A.8.1?
נספח A.8.1 עוסק באחריות לנכסים. המטרה בנספח זה היא לזהות נכסי מידע בהיקף של מערכת הניהול ולהגדיר אחריות הגנה מתאימה.
זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.
א.8.1.1 מלאי נכסים
כל הנכסים הקשורים למתקני מידע ועיבוד מידע צריכים להיות מזוהים ומנוהלים לאורך מחזור החיים, תמיד מעודכנים.
יש להרכיב רישום או מלאי של נכסים אלה המציגים כיצד הם מנוהלים ונשלטים, בהתבסס על חשיבותם (שגם משתלב היטב בסיווג המידע להלן). מחזור החיים הזה של המידע כולל בדרך כלל שלבי יצירה, עיבוד, אחסון, שידור, מחיקה והשמדה.
A.8.1.2 בעלות על נכסים
לכל נכסי המידע חייבים להיות בעלים. בעלות על ניהול נכסים יכולה להיות שונה גם מבעלות חוקית, והיא יכולה להיעשות ברמה אינדיבידואלית, מחלקה או ישות אחרת. יש להקצות בעלות כאשר הנכסים נוצרים.
בעל הנכס אחראי לניהול יעיל של הנכס לאורך כל מחזור החיים של הנכס. הם יכולים להאציל ניהול גם של זה והבעלות יכולה להשתנות במהלך מחזור החיים הזה כל עוד שניהם מתועדים.
A.8.1.3 שימוש מקובל בנכסים
שימוש מקובל במידע ובנכסים חשוב לעשות נכון. כללים לשימוש מקובל בנכסים מתועדים לעתים קרובות ב"מדיניות שימוש מקובל". הכללים לשימוש מקובל חייבים לקחת בחשבון עובדים, עובדים זמניים, קבלנים וצדדים שלישיים אחרים, היכן שניתן, בכל נכסי המידע שיש להם גישה אליהם.
חשוב שלכל הגורמים הרלוונטיים תהיה גישה למכלול כללי השימוש המקובל המתועד ואלו מחוזקים במהלך הכשרה שוטפת ומודעות לאבטחת מידע, פעילות הקשורה לציות.
A.8.1.4 החזרת נכסים
כל העובדים ומשתמשי הצד החיצוני צפויים להחזיר כל נכס ארגוני ומידע עם סיום העסקתם, החוזה או ההסכם שלהם. ככזו חייבת להיות חובה על עובדים ומשתמשים חיצוניים להחזיר את כל הנכסים והתחייבויות אלו צפויות בהסכמים הרלוונטיים עם עובדים, קבלנים ואחרים.
נדרש גם תהליך מוצק ומתועד כדי להבטיח שהחזרת הנכסים מנוהלת כראוי וניתן להוכיח את זה עבור כל אדם או ספק שעוברים אותו - זה מתיישב עם בקרות היציאה בנספח 7 לאבטחת משאבי אנוש ובנספח 13.2.4 להסכמי סודיות, ונספח א'15 לפעילות ספקים.
כאשר נכסים אינם מוחזרים בהתאם לתהליך, אלא אם הוסכם ומתועד אחרת כחלק מתהליך היציאה, יש לרשום את אי ההחזרה כאירוע ביטחוני ולבצע מעקב בהתאם לנספח A.16. הליך החזרת הנכסים לעולם אינו הוכחה מטופשת וזה גם מדגיש את הצורך בביקורת תקופתית של נכסים כדי להבטיח את המשך ההגנה עליהם.
מהי המטרה של נספח A.8.2?
נספח A.8.2 עוסק בסיווג מידע. המטרה בנספח זה היא להבטיח שהמידע יקבל רמת הגנה נאותה בהתאם לחשיבותו לארגון (ולבעלי עניין כגון לקוחות).
A.8.2.1 סיווג מידע
מידע חייב להיות מסווג במונחים של דרישות משפטיות, ערך, קריטיות ורגישות לכל חשיפה או שינוי בלתי מורשה, מסווג באופן אידיאלי כדי לשקף פעילות עסקית במקום לעכב או לסבך אותה. לדוגמה, מידע שזמין לציבור, למשל באתר אינטרנט, עשוי להיות מסומן כ'ציבורי', בעוד שמידע סודי או מסחרי בסודיות ברור שהמידע רגיש יותר מאשר ציבורי.
סיווג מידע הוא אחת מהבקרות המרכזיות המשמשות כדי להבטיח שהנכסים מוגנים בצורה נאותה ומידתית. לארגונים רבים יש 3-4 אפשרויות סיווג כדי לאפשר ניהול יעיל של המידע תוך התחשבות בערכו ובחשיבותו. עם זאת, זה יכול להיות פשוט או מורכב ככל הנדרש כדי להבטיח את רמת הפירוט הנכונה להגנה על נכסים.
זכרו שאם אתם שומרים על זה ממש פשוט ויש לכם מעט מדי סיווגים, זה עלול לומר שאתם מעל או תחת בקרות הנדסיות. אפשרויות סיווג רבות מדי עלולות לבלבל את משתמשי הקצה לגבי מה לאמץ וליצור תקורה נוספת בסכימת הניהול. כמו בכל בקרות, זה צריך להיבדק באופן קבוע כדי להבטיח את התאמתו המתמשכת למטרה.
A.8.2.2 תיוג מידע
יש לפתח וליישם מערך נהלים מתאים לתיוג מידע בהתאם לתכנית סיווג המידע שאומצה על ידי הארגון. נהלים לתיוג מידע יצטרכו לכסות מידע ונכסים קשורים בפורמטים פיזיים ואלקטרוניים כאחד. תיוג זה צריך לשקף את תכנית הסיווג שנקבעה ב-8.2.1.
התוויות צריכות להיות ניתנות לזיהוי בקלות וקלות לניהול הלכה למעשה, אחרת לא יעקוב אחריהן. לדוגמה, יכול להיות קל יותר להחליט דה פקטו שהכל חסוי במערכות הדיגיטליות אלא אם כן צוין אחרת במפורש, במקום לגרום לצוות לתייג כל עדכון CRM בהצהרת סודיות!
היה ברור היכן נעשה תיוג זה בפועל ותעד אותו במדיניות שלך ואז זכור לכלול אותו בהכשרה לצוות.
א.8.2.3 טיפול בנכסים
יש לפתח וליישם נהלים לטיפול בנכסים בהתאם לתכנית סיווג המידע. יש לשקול את הדברים הבאים; הגבלות גישה לכל רמת סיווג; שמירה על רישום רשמי של מקבלי הנכסים המורשים; אחסון נכסי IT בהתאם למפרט היצרן, סימון מדיה לגורמים מורשים.
אם הארגון מטפל בנכסי מידע עבור לקוחות, ספקים ואחרים, חשוב להדגים מדיניות מיפוי, למשל סיווג לקוחות של מפות רגישות רשמיות לארגון המסחרי שלנו בסודיות, או שהסיווג הנוסף יטופל בדרכים אחרות. להראות שהוא מוגן.
מהי המטרה של נספח A.8.3?
נספח A.8.3 עוסק בטיפול במדיה. המטרה בנספח זה היא למנוע חשיפה, שינוי, הסרה או השמדה בלתי מורשית של מידע המאוחסן במדיה.
A.8.3.1 ניהול של מדיה נשלפת
יש לקבוע נהלים לניהול מדיה נשלפת בהתאם לתכנית הסיווג. שימוש כללי במדיה נשלפת חייב להעריך סיכונים וייתכן שיהיה צורך לבצע הערכות סיכונים ספציפיות לשימוש גם מעבר לכך. יש לאפשר מדיה נשלפת רק אם יש סיבה עסקית מוצדקת.
אם לא נדרש עוד, יש להפוך את התוכן של כל מדיה לשימוש חוזר בלתי ניתנת לשחזור ולהרוס או למחוק בצורה מאובטחת. יש לאחסן את כל המדיה בסביבה בטוחה ומאובטחת, בהתאם למפרטי היצרן וטכניקות נוספות כמו קריפטוגרפיה שנחשבות במידת הצורך (כלומר כחלק מהערכת הסיכונים).
כאשר הדבר נחוץ ומעשי, יש לדרוש אישור עבור מדיה שהוסרה מהארגון, ולשמור רישום על מנת לשמור על עקבות ביקורת.
A.8.3.2 סילוק מדיה
כאשר המדיה אינה נחוצה עוד, יש להשליך בצורה מאובטחת על ידי ביצוע נהלים מתועדים. נהלים אלה ממזערים את הסיכון של דליפת מידע סודי לצדדים לא מורשים.
הנהלים צריכים להיות פרופורציונליים לרגישות המידע הנפטר. דברים שצריך לקחת בחשבון כוללים; האם התקשורת מכילה מידע סודי או לא; וקיום נהלים המסייעים לזהות את הפריטים שעלולים. דורשים סילוק בטוח.
A.8.3.3 העברת מדיה פיזית
כל מדיה המכילה מידע צריכה להיות מוגנת מפני גישה בלתי מורשית, שימוש לרעה או שחיתות במהלך תחבורה (אלא אם כבר זמין לציבור).
יש לשקול את הדברים הבאים כדי להגן על מדיה בעת ההובלה; יש להשתמש בהובלה או שליחים אמינים - אולי יש לסכם עם ההנהלה רשימה של שליחים מורשים; אריזה צריכה להספיק על מנת להגן על התכולה מכל נזק פיזי במהלך ההעברה; ויש לשמור יומנים, המזהים את תוכן המדיה ואת ההגנה המוחלת.
כמו כן, יש לציין כי כאשר מידע סודי במדיה אינו מוצפן, יש לשקול הגנה פיזית נוספת על המדיה.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
