- לִרְאוֹת ISO 27002:2022 בקרה 5.11 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 8.1.4 לקבלת מידע נוסף.
החזרת נכסים מאובטחת ותואמת עם ISO 27001 בקרה 5.11
ISO 27001:2022 בקרה 5.11 של נספח A קובע שעובדים ובעלי עניין אחרים חייבים להחזיר את כל הנכסים שבבעלות הארגון עם שינוי העסקה, חוזה או הסכם.
עם סיום העסקה, חוזה או הסכם, עובדים ומשתמשי צד חיצוני צפויים להחזיר את כל המידע והנכסים הארגוניים.
עובדים, קבלנים ואחרים חייבים להיות מחויבים להחליף את כל הנכסים. חובה זו תיכלל בהסכמים הרלוונטיים עם צוות עובדים, קבלנים ואחרים.
תהליך מוצק ומתועד אמור לנהל את החזרת הנכסים. תהליך זה יכול להיות מתועד עבור כל אדם או ספק שעובר בו. נספח A.6.5 לאבטחת משאבי אנוש, נספח 6.6 להסכמי סודיות, ונספח A.5.20 לפעילות ספקים מיישרים זאת עם בקרות היציאה.
לארגונים חייבים להיות מדיניות כתובה המגדירה אילו נכסים יש להחזיר עם סיום וכוח אדם כדי לאשר קבלה ולהבטיח מלאי וחשבונאות של נכסים.
מהי המטרה של נספח A 5.11?
להלן דוגמאות לנכסי מידע עבור ארגון:
- מסמכים פיזיים.
- קבצים ומאגרי מידע דיגיטליים.
- תוכנות.
- אפילו פריטים לא מוחשיים כמו סודות מסחריים ו קניין רוחני.
נכסי המידע של חברה יכולים להיות בעלי ערך במובנים רבים. זה כולל הכלת מידע רגיש על לקוחותיה, עובדיה או מחזיקי עניין אחרים ששחקנים גרועים יכולים לנצל לרווח כספי או לגניבת זהות. בנוסף למידע פיננסי, מחקרי ותפעולי, הם יכולים לספק למתחרים שלך יתרון תחרותי אם הם היו מסוגלים לקבל גישה אליו.
מסיבה זו יש להחזיר את כל הנכסים והנכסים של עובדים וקבלנים המפסיקים את עבודתם בארגון.
כחלק מתהליך היציאה, יש להחזיר נכסים בהתאם לתהליך אלא אם סוכם ותיעוד אחרת:
- נספח א'5 מתאר את הצעדים שיש לנקוט אם אי ההחזרה נרשמת כא אירוע ביטחוני.
- כדי להבטיח הגנה מתמשכת, ביקורת נכסים תקופתית נחוצים גם כדי להבטיח שהליך החזרת הנכסים חסין תקלות.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
שינוי סטטוס העסקה לפי ISO 27001:2022 נספח א 5.11
כחלק משינוי או סיום העסקה, חוזים או הסכמים, בקרה 5.11 מגינה על נכסי הארגון. נאסר על אנשים בלתי מורשים לשמור על נכסי ארגון (כולל ציוד, מידע, תוכנה וכו') תחת פיקוח נספח א' זה.
עליך לוודא שהעובדים והקבלנים שלך אינם לוקחים נתונים רגישים על ידי זיהוי איומים פוטנציאליים ומעקב אחר פעילות המשתמש לפני שהם עוזבים.
כאשר אדם מסויים, בקרת נספח A זו מונעת ממנו לגשת למערכות IT ולרשתות. יש להקים תהליך סיום רשמי על ידי ארגונים כך שאנשים לא יוכלו יותר לגשת למערכות IT כלשהן. אתה יכול להשיג זאת על ידי ביטול כל ההרשאות, השבתת חשבונות והסרת הגישה לבניין.
יש צורך לקבוע נהלים כדי להבטיח שכל העובדים, הקבלנים והגורמים הרלוונטיים האחרים יחזירו את כל הנכסים שאינם נחוצים עוד למטרות עסקיות. יש להחליף נכסים אלו בהקדם האפשרי.
כמו כן, ארגונים צריכים לבדוק את אזור העבודה של הפרט כדי לוודא שכל המידע הרגיש הוחזר.
שקול, למשל:
- ציוד הארגון (מחשבים ניידים ומדיה נשלפת) נאסף עם ההפרדה.
- עם השלמת החוזה, הקבלנים נדרשים להחזיר את כל הציוד והמידע.
בניית תהליך יציאה ומה אתה צריך לעשות
ארגון חייב להסדיר את תהליך השינוי או הסיום שלו, הכולל החזרת כל הנכסים הפיזיים והאלקטרונים שהונפקו בעבר בבעלותו או שהופקדו עליו.
כמו כן יש להסיר כל זכויות גישה, חשבונות, אישורים דיגיטליים וסיסמאות כחלק מהתהליך. פורמליזציה זו קריטית במיוחד כאשר שינוי או סיום מתרחשים באופן בלתי צפוי, כמו מוות או התפטרות. גישה לא מורשית לנכסי הארגון עלולה להוביל לא נתוני פרה אם לא נמנע.
תהליך סילוק/החזר מאובטח אמור להבטיח שכל הנכסים מטופלים.
ISO 27001:2022 מחייב את הארגון לזהות ולתעד את כל המידע והנכסים הקשורים שיש להחזיר, כולל:
- התקני נקודת קצה למשתמש.
- התקני אחסון ניידים.
- ציוד מיוחד.
- חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים.
- עותקים פיזיים של מידע.
לאחר סיום, על המשתמש להשלים רשימת בדיקה רשמית המכילה את כל הפריטים שיש להחזיר או להיפטר. רשימת בדיקה זו צריכה לכלול את כל החתימות הנדרשות כדי לאשר שהנכסים הוחזרו או נפטרו כהלכה.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
מהם השינויים וההבדלים מ-ISO 27001:2013?
ISO 27001:2013 עודכן באוקטובר 2022 ל-ISO 27001:2022.
נספח A בקרה 5.11 אינו חדש אלא שינוי של נספח A בקרה 8.1.4 - החזרת הנכסים.
בהנחיות היישום, בקרות נספח A זהות במהותן, עם שפה וביטויים דומים. למרות זאת, נספח A של ISO 27001:2022 ל-control 5.11 יש טבלת תכונות המאפשרת למשתמשים להתאים אותה למה שהם מיישמים. בקרה 5.11 ב-ISO 27001:2022 מציינת אילו נכסים ניתן להחזיר בתום העסקה או סיום חוזה.
דוגמאות לכך כוללות:
- התקני נקודת קצה למשתמש.
- התקני אחסון ניידים.
- ציוד מיוחד.
- חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים.
- עותקים פיזיים של מידע.
בגרסת ISO 27001:2013, רשימה זו אינה זמינה.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד השינויים הללו משפיעים עליך?
ISO 27001:2022 הוא עדכון לתקן 2013. הוועדה המפקחת על התקן לא ביצעה שינויים מהותיים.
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןכיצד ISMS.online עזרה
אתה יכול ליישם ו ניהול מערכת ניהול אבטחת מידע ISO 27001/27001 עם ISMS.online, ללא קשר לניסיון שלך עם התקן.
המיזוג המושלם של ידע וטכנולוגיה להצלחת ISO 27001 מוקדמת. ISMS.online כולל מדיניות וכלי עבור ניהול נכסים.
עם המערכת שלנו, תקבלו הנחיות שלב אחר שלב בהגדרת ISMS וניהולו:
- ISMS.online מספק מדריך שלב אחר שלב ליישום ISO 27001/27002 בכל ארגון.
- כלי להערכת סיכונים המנחה אותך בתהליך זיהוי והערכת הסיכונים.
- אנו מציעים חבילת מדיניות שניתן להתאים אישית לצרכים שלך באינטרנט.
- ניהול מסמכים ורשומות כחלק מה-ISMS שלך קל יותר עם מערכת בקרת מסמכים.
- קבלת החלטות טובה יותר באמצעות דיווח אוטומטי.
- עם הפלטפורמה מבוססת הענן שלנו, תוכל לתעד הוכחות לעמידה ב- מסגרת ISO 27001 עם רשימת בדיקה של התהליכים שלך.
צור קשר עוד היום כדי הזמן הדגמה.
קפוץ לנושא
