ISO 27001:2022 נספח A 5.10 מתאר את הכללים לשימוש מקובל ונהלים לטיפול במידע ובנכסים אחרים.
יש לזהות, לתעד וליישם אותם.
מטרת מדיניות זו היא לקבוע הנחיות ברורות כיצד על הצוות לפעול בעת התמודדות עם נכסי מידע, תוך הבטחת סודיות, אמינות ונגישות של נכסי אבטחת המידע של הארגון.
השימוש המקובל ב נכסי מידע המדיניות (AUA) חלה על כל חברי הארגון ועל כל הנכסים שבבעלותם או המופעלים על ידם. מדיניות זו חלה על כל שימוש, לרבות מטרות מסחריות, בנכסי מידע.
דוגמאות לנכסי מידע כוללות:
ניצול מידע ונכסים קשורים אחרים מחייב ליישם אותם בדרכים שאינן מסכנות את הזמינות, האמינות או האמינות של נתונים, שירותים או משאבים. זה כרוך גם בשימוש בהם בדרכים שאינן נוגדות את החוקים או את מדיניות החברה.
המטרה העיקרית של בקרה זו היא לוודא שמידע ונכסים קשורים מוגנים, משתמשים ומנוהלים בצורה נכונה.
ISO 27001:2022 נספח א' בקרה 5.10 מבטיח שמדיניות, נהלים ובקרות טכניות קיימות על מנת למנוע ממשתמשים טיפול לא נכון בנכסי מידע.
בקרה זו מבקשת להקים מבנה לארגונים שיבטיח שמידע ומשאבים אחרים מוגנים, מועסקים ומנוהלים כראוי. זה כרוך בוודאות שקיימים מדיניות ונהלים מתאימים בכל רמות הארגון, כמו גם יישום קבוע.
יישום בקרה 5.10 מהווה חלק מה-ISMS שלך ומבטיח שלחברה שלך יש את הדרישות הדרושות כדי להגן על נכסי ה-IT שלה, כגון:
כדי למלא את צורכי הבקרה 27001 של ISO 2022:5.10, הכרחי שעובדים, פנימיים וחיצוניים, המשתמשים או שיש להם גישה לנתוני הארגון ולמשאבים נוספים, יהיו מודעים לצרכי החברה. תנאים מוקדמים לאבטחת מידע.
האחראים צריכים להיות אחראים לכל משאבי עיבוד הנתונים שהם משתמשים בהם.
כל הצוות הקשור לניהול מידע ונכסים קשורים אחרים צריכים להיות מודעים למדיניות הארגון לגבי שימוש מתאים. חיוני שכל המעורבים יידעו לגבי ההנחיות.
כל הצוות שעובד עם מידע ונכסים קשורים צריך להיות מודע למדיניות החברה לגבי שימוש מקובל. כחלק ממדיניות השימוש הספציפית, הצוות צריך להבין בדיוק מה מצופה מהם ביחס למשאבים אלו.
המדיניות צריכה להבהיר כי:
מדיניות מיוחדת הנוגעת לנושא צריכה לציין כי כל הצוות חייב לציית להנחיות ולפרוטוקולים של המשרד:
ערכו נהלי שימוש מקובלים לאורך מחזור חיי המידע המלא, בהתאם לו סיווג וסיכונים מזוהים. חשבו על הדברים הבאים:
השמיים גרסת 2022 של ISO 27001 שוחררה באוקטובר 2022; זוהי גרסה משופרת של ISO 27001:2013.
נספח A 5.10 ב-ISO 27001:2022 אינו חדש; זהו שילוב של בקרות 8.1.3 ו-8.2.3 מ-ISO 27001:2013.
המהות והנחיות היישום של נספח A 5.10 דומות לאלו של בקרות 8.1.3 ו-8.2.3, אך נספח A 5.10 משלב גם שימוש מקובל בנכסים וגם טיפול בנכסים לכדי בקרה אחת עבור ידידותיות למשתמש.
נספח א' 5.10 הוסיפה בנוסף נקודה נוספת לסעיף 8.2.3, הנוגעת לאישור סילוק מידע וכל נכס קשור, וכן שיטות המחיקה המומלצות.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח A בקרה.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
תקנון זה קובע את הכללים לשימוש נכון של החברה מידע ונכסים נלווים, כגון מחשבים, רשתות ומערכות, דואר אלקטרוני, קבצים ומדיה אחסון. כל העובדים והקבלנים חייבים לציית לו.
מדיניות זו משמשת ל:
מטרת מדיניות זו היא לקבוע הנחיות להתנהגות הולמת ולפרט את ההשלכות להפרתן, על מנת ליצור אווירה בטוחה ומכבדת לכולם.
הבטחת שהנתונים של החברה ונכסים קשורים אחרים משמשים אך ורק מסיבות עסקיות תקפות. הקפדה על קיום כל החוקים והתקנות בכל הנוגע לאבטחת מידע והגנה על המידע של המשרד ושאר נכסי החברה מפני סיכונים הנובעים מהחברה או מחוצה לה.
השמיים קצין אבטחת מידע (ISO) יש לו את המשימה לתכנן, לבצע ולקיים את השימוש המקובל במשאבי מידע.
ה-ISO יהיה אחראי לפקח על ניצול משאבי המידע ברחבי הארגון כדי להבטיח שהנתונים יופעלו באופן ששומר על אבטחה ודיוק הנתונים, שומר על סודיות המידע הפרטי או העדין, מונע שימוש לרעה וגישה לא מורשית למשאבי מחשוב, ומבטל כל חשיפה או אחריות מיותרת לארגון.
תקן ISO 27001:2022 החדש הוא עדכון, כך שלא תצטרך לבצע שינויים רבים כדי לעמוד בו.
עיין במדריך שלנו בנושא ISO 27001:2022 כדי ללמוד עוד על ההשלכות של נספח A 5.10 על העסק שלך וכיצד להציג תאימות.
ISMS.online עושה יישום ISO 27001 פשוט, עם רשימת בדיקה מקיפה שלב אחר שלב. מדריך זה לוקח אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ופריסה של בקרות.
מודל זה יוצר מסגרת להקמה, ניצול, הפעלה, התבוננות, הערכה, שמירה ופיתוח של מערכת ניהול אבטחת מידע (ISMS).
יישום ה- תקן ISO 27001 יכול להיות מאמץ נרחב, עם זאת, ISMS.online מספק פתרון מקיף, חד פעמי כדי להפוך את התהליך להרבה יותר קל.
הטופ שלנו תוכנת מערכת ניהול אבטחת מידע מציע דרך לא מסובכת להבין מה יש להשיג וכיצד להמשיך.
אנו מקלים על ניהול צורכי התאימות שלך. אנו מונעים את הטרחה והלחץ בעמידה בדרישות שלך.
פנה עוד היום כדי לשריין הפגנה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
