כחלק מתקן ISO 27001:2022, נספח A 5.1 מציין שארגונים חייבים להיות בעלי אבטחת מידע מסמך מדיניות במקום. זה בשביל להגן על עצמם מפני איומי אבטחת מידע.
יש להתחשב בצרכים העסקיים, כמו גם בתקנות ובחקיקה החלים, בעת פיתוח מדיניות.
מסמך מדיניות אבטחת מידע הוא בעצם קומנדיום של בקרות נספח א' שמחזק את ההצהרות המרכזיות של הארגון לגבי אבטחה ומעמיד אותן לרשות מחזיקי העניין.
בגרסת 2022 של התקן, מדיניות צריכה להיכלל גם בתוכנית החינוך, ההכשרה והמודעות, כמתואר ב-People Controls A.6.3.
המדיניות הארגונית מציינת את העקרונות שחברים וגורמי מפתח כמו ספקים חייבים לדבוק בהם. מדיניות זו צריכה להיבדק באופן קבוע ולעדכן לפי הצורך.
An מדיניות אבטחת מידע מטרתה לספק לעובדים, להנהלה ולגורמים חיצוניים (למשל לקוחות וספקים) מסגרת לניהול מידע אלקטרוני, לרבות רשתות מחשבים.
יש להגדיר, לאשר על ידי ההנהלה מדיניות אבטחה, לפרסם ולהעביר לעובדים ולגורמים חיצוניים רלוונטיים.
בנוסף להפחתת הסיכון לאובדן נתונים עקב איומים פנימיים וחיצוניים, מדיניות אבטחת מידע מבטיחה שכל העובדים יבינו את תפקידם בהגנה על נתוני הארגון.
בנוסף לעמוד בסטנדרטים כגון ISO 27001, מדיניות אבטחת מידע יכולה גם להוכיח עמידה בחוקים ובתקנות.
אבטחת סייבר האיומים כוללים מרגלים תאגידים והאקטיביסטים, קבוצות טרור, מדינות לאום עוינות וארגוני פשע. איומים אלו מבקשים לגשת לנתונים שלא כדין, לשבש פעולות דיגיטליות או לפגוע במידע.
האיומים על אבטחת סייבר ואבטחת מידע כוללים:
מדיניות אבטחת מידע נועדה להגן על המידע הרגיש של החברה שלך מפני גניבה וגישה לא מורשית.
In בהתאם לתקן ISO 27001, בקרת נספח א' 5.1 מנחה את המטרה והיישום של קביעת מדיניות אבטחת מידע בארגון.
נדרשת מדיניות אבטחת מידע כוללת על ידי נספח א בקרה 5.1 לארגונים לנהל את אבטחת המידע שלהם. ההנהלה הבכירה חייבת לאשר את ההנחיות, אותן יש לבחון באופן שוטף אם מתרחשים שינויים בסביבת אבטחת המידע.
הגישה המתאימה היא להיפגש באופן קבוע, לפחות פעם בחודש, עם פגישות נוספות לפי הצורך. בנוסף לשיתוף מדיניות עם בעלי עניין פנימיים וחיצוניים, ההנהלה חייבת לאשר כל שינוי לפני יישומם.
A נוהל הפעלה מפורט המתאר כיצד תיושם מדיניות אבטחת המידע צריכה להיות מבוססת ולתמוך במדיניות אבטחת מידע.
הפוליסה צריכה להיות מאושרת על ידי העליון ניהול ותקשור לצוות ולבעלי עניין.
בנוסף לנתינה כיוון לגישת הארגון לניהול אבטחת מידע, ניתן להשתמש במדיניות לפיתוח נהלי הפעלה מפורטים יותר.
כנדרש על ידי תקני ISO/IEC 27000, מדיניות חיונית להקמה ותחזוקה של מערכת ניהול אבטחת מידע (ISMS). מדיניות מוגדרת היטב נשארת קריטית גם אם הארגון לא מתכוון לכך ליישם את ISO 27001 או כל אישור רשמי אחר.
יש לבחון את מדיניות אבטחת המידע באופן קבוע כדי להבטיח את המשך התאמתה, הלימותן ויעילותן.
כאשר מתבצעים שינויים בעסק, הסיכונים, הטכנולוגיה, החקיקה או התקנות שלו, או אם חולשות אבטחה, אירועים או תקריות מצביעות על צורך בשינויי מדיניות.
כחלק מגרסה ISO 27001 2013, בקרה זו ממזגת את נספח A בקרות 5.1.1 מדיניות לאבטחת מידע ו-5.1.2 סקירת מדיניות לאבטחת מידע.
בקרת נספח A 5.1 אינץ' ISO 27001:2022 עודכן עם תיאור מטרתו והנחיית יישום מורחבת, כמו גם טבלת תכונות המאפשרת למשתמשים ליישב את הפקדים של נספח A עם הטרמינולוגיה של התעשייה.
על פי נספח A 5.1, מדיניות אבטחת מידע ומדיניות ספציפית לנושא צריכה להיות מוגדרת, מאושרת על ידי ההנהלה, מפרסמת, מועברת לצוות המתאים ומקבלת אישור לכך.
מדיניות אבטחת המידע של ארגון צריכה לשקול את הגודל, הסוג והרגישות של נכסי מידע, תקני תעשייה ודרישות ממשלתיות רלוונטיות.
על פי סעיף 5.1.2 של ISO 27001:2013, מטרת נספח A היא להבטיח שמדיניות אבטחת מידע מוערכת באופן שוטף אם מתעוררים שינויים בסביבת אבטחת המידע.
על פי ISO 27001:2013 ו-ISO 27001:2022, ההנהלה הבכירה צריכה לפתח מדיניות אבטחה המאושרת על ידי ההנהלה הבכירה ומתארת כיצד הארגון יגן על הנתונים שלו. עם זאת, שתי הגרסאות של הפוליסות מכסות דרישות שונות.
על פי ISO 27001:2013, מדיניות אבטחת מידע צריכה לתת מענה לדרישות הבאות:
מדיניות אבטחת מידע צריכה לכלול את ההצהרות הבאות:
לעומת זאת, לתקן ISO 27001:2022 יש דרישות מקיפות יותר.
כחלק ממדיניות אבטחת המידע, יש לקחת בחשבון את הדרישות הבאות:
יש לכלול הצהרות הנוגעות לדברים הבאים במדיניות אבטחת המידע:
בנוסף, תקן ISO 27001:2022 עודכן כך שיכלול מדיניות ספציפית לנושא לניהול אירועי אבטחת מידע, ניהול נכסים, אבטחת רשתות, ניהול תקריות ופיתוח מאובטח כמדיניות ספציפית לנושא. לצורך יצירת מסגרת הוליסטית יותר, חלק מהדרישות של ISO 27001:2013 הוסרו או אוחדו.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
עם ISMS.online, תהיה לך גישה לסט שלם של כלים ומשאבים שיעזרו לך לנהל את מערכת ניהול אבטחת המידע ISO 27001 משלך (ISMS), בין אם אתה חדש או כבר הסמכה.
יתר על כן, ISMS.online מספק תהליכים אוטומטיים כדי לעזור לפשט את תהליך הבדיקה כולו. תהליכים אלו חוסכים כמויות ניכרות של זמן ניהול בהשוואה לשיטות עבודה אחרות.
תקבל התחלה עם מדיניות ובקרות ISO 27001 מ-ISMS.online.
זרימות עבודה אינטואיטיביות, כלים, מסגרות, מדיניות ובקרות, תיעוד והנחיה ניתנים לפעולה, כמו גם הנחיות ניתנות לפעולה מקלים על יישום ISO 27001 על ידי הגדרת ההיקף, זיהוי סיכונים ויישום בקרות המבוססות על האלגוריתמים שלנו - בין אם הם נוצרו מאפס או מבוסס על תבניות שיטות עבודה מומלצות בתעשייה.
פנה אלינו עוד היום ל קבע הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
