סיווג המידע הוא תהליך בסיסי המאפשר לארגונים לקבץ את נכסי המידע שלהם לקטגוריות רלוונטיות בהתבסס על רמת ההגנה הנדרשת שלהם.
לפי ISO 27001: 2022 נספח A 5.1.2, מידע חייב להיות מסווג על סמך גורמים שונים, לרבות דרישות משפטיות, ערך, קריטיות ורגישות לחשיפה או שינוי בלתי מורשה. סיווג זה צריך להיות מתוכנן כך שישקף את הפעילות העסקית הייחודית של הארגון מבלי להפריע או לסבך אותה.
לדוגמה, מידע המיועד לצריכה ציבורית חייב להיות מסומן כראוי, בעוד שיש להעניק לנתונים סודיים או רגישים מבחינה מסחרית רמה גבוהה יותר של ביטחון. חשוב לציין כי סיווג המידע נמצא בין הבקרות המשמעותיות ביותר בנספח א' ל להבטיח שהנכסים הארגוניים מוגנים.
נספח א' בקרה 5.12 היא בקרה מונעת ש מאפשר לארגונים לזהות סיכונים על ידי קביעת רמת ההגנה המתאימה לכל נכס מידע בהתבסס על חשיבותו ורגישותו.
בהנחיה המשלימה, נספח A בקרה 5.12 מזהיר במפורש מפני סיווג יתר או תת-סיווג של מידע. ארגונים חייבים לשקול את דרישות הסודיות, הזמינות והיושר בעת הקצאת נכסים לקטגוריות שלהם. זה עוזר להבטיח שתכנית הסיווג מאזנת בין צורכי המידע העסקיים לבין דרישות האבטחה לכל קטגוריה של מידע.
אמנם חיוני להקים תכנית סיווג לנכסי מידע בכל הארגון, אך בסופו של דבר באחריותם של בעלי הנכסים לוודא שהיא מיושמת כהלכה.
לפי ISO 27001:2022 נספח A 5.12, בעלי נכסי מידע רלוונטיים חייבים להיות אחראים. לדוגמה, מחלקת הנהלת החשבונות צריכה לסווג מידע בהתבסס על סכימת הסיווג הכלל-ארגונית בעת גישה לתיקיות המכילות דוחות שכר ודפי בנק.
בעת סיווג מידע, חשוב שבעלי הנכסים ישקלו את הצרכים העסקיים ואת הצרכים העסקיים השפעה פוטנציאלית שיכולה להיות לפגיעה במידע על הארגון. בנוסף, עליהם לתת את הדעת על חשיבות המידע ורמות הרגישות של המידע.
כדי ליישם בהצלחה תכנית סיווג מידע חזקה, ארגונים צריכים לנקוט בגישה אקטואלית, לשקול את צרכי המידע הספציפיים של כל יחידה עסקית, ולהעריך את רמת הרגישות והקריטיות של המידע.
לפי נספח A בקרה 5.12, ארגונים חייבים להעריך את שבעת הקריטריונים הבאים בעת יישום תכנית סיווג:
נספח א' בקרה 5.12 של מערכת ניהול אבטחת מידע מתייחס לנספח א' בקרת 5.1, הנוגעת לבקרת גישה. הוא מחייב ארגונים לדבוק במדיניות ספציפית לנושא המפורטת בנספח A בקרה 5.1. בנוסף, על סכימת הסיווג והרמות להתחשב בצרכים עסקיים ספציפיים בעת סיווג נכסי מידע.
ארגונים צריכים לשקול את הצרכים העסקיים שלהם לשיתוף ושימוש במידע, כמו גם את הצורך בזמינות של מידע כזה. עם זאת, סיווג נכס מידע עלול לשבש פונקציות עסקיות קריטיות על ידי הגבלת הגישה והשימוש במידע.
לכן, ארגונים צריכים לאזן בין הצרכים העסקיים הספציפיים שלהם לזמינות ושימוש בנתונים לבין הדרישה לשמירה על סודיות ושלמות המידע הזה.
חוקים ספציפיים עשויים לחייב ארגונים להדגיש את השמירה על סודיות, שלמות וזמינות המידע. לכן, יש לתת עדיפות לחובות משפטיות על פני הסיווג הפנימי של הארגון בעת סיווג נכסי מידע.
אימוץ גישה מבוססת סיכונים והערכת ההשפעה הפוטנציאלית של פרצת אבטחה או פשרה על נכסי מידע רצוי. זה יעזור לתעדף וליישם אמצעי אבטחה מתאימים כדי להפחית את הסיכונים שזוהו.
לכל צורה של מידע יש רמת משמעות ייחודית לתפקודי הארגון ויש לה דרגות שונות של רגישות בהתאם לנסיבות המסוימות.
כאשר ארגון מיישם תוכנית סיווג מידע, עליו לשקול את ההשפעה הפוטנציאלית שיכולה להיות לפגיעה בסודיות המידע, בשלמותו או בזמינותו של המידע על הארגון.
לדוגמה, הרגישות וההשפעה הפוטנציאלית של מסד נתונים המכיל כתובות דוא"ל מקצועיות של לידים מוסמכים יהיו שונות בתכלית מזו של רישומי הבריאות של העובדים. לכן, על הארגון לשקול היטב את רמת ההגנה שכל קטגוריית מידע דורשת ולהקצות משאבים בהתאם.
נספח א' בקרה 5.12 מכיר בכך שערכו, חשיבותו ורמת הרגישות של המידע יכולים להשתנות לאורך זמן ככל שהנתונים עוברים את מחזור החיים שלו. כתוצאה מכך, ארגונים צריכים לבדוק באופן קבוע את סיווג המידע שלהם ולבצע את כל העדכונים הדרושים.
ISO 27001 נספח A בקרת 5.12 מתייחס להפחתת הערך והרגישות של המידע במידה משמעותית.
חיוני להתייעץ איתך עם ארגונים אחרים כדי לשתף מידע ולפתור פערים.
הבדלים בסיווג מידע בין ארגונים עלולים להוביל לסיכונים פוטנציאליים בעת החלפת נכסי מידע.
ארגונים חייבים לשתף פעולה עם עמיתיהם כדי ליצור קונצנזוס כדי להבטיח אחידות בסיווג המידע ופרשנות עקבית של רמות הסיווג כדי להפחית סיכונים כאלה.
לכל מחלקה בארגון חייבת להיות הבנה משותפת של רמות סיווג ופרוטוקולים כדי להבטיח אחידות בסיווגים בכל הארגון.
בעוד נספח A 5.12 מכיר בכך שאין מערכת סיווג ישימה אוניברסלית ולארגונים יש את הגמישות לקבוע ולהגדיר את רמות הסיווג שלהם, הוא ממחיש תכנית סיווג מידע:
נספח א' 8.2.1 בנוסח הקודם עסק בסיווג המידע.
בעוד ששתי הגרסאות דומות למדי, ישנם שני הבדלים עיקריים:
בטבלה למטה תמצא מידע נוסף על כל ISO 27001:2022 בנפרד נספח א לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
את העתיד הפלטפורמה נועדה להיות ידידותית למשתמש ופשוטה, המשרתים אנשים טכניים במיוחד ולכל אנשי הצוות בארגון שלך.
אנו דוגלים בשיתוף עובדים בכל רמות העסק בבניית ה-ISMS שלך מכיוון שהוא מסייע בהקמת מערכת בת קיימא.
למידע נוסף על ידי הזמנת הדגמה.
עשיתי את ISO 27001 בדרך הקשה אז אני באמת מעריך כמה זמן זה חסך לנו בהשגת הסמכת ISO 27001.
