- לִרְאוֹת ISO 27002:2022 בקרה 5.15 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 9.1.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 9.1.2 לקבלת מידע נוסף.
ISO 27001:2022 נספח A 5.15 - מדריך מקיף למדיניות בקרת גישה
נספח A 5.15 של ISO 27001:2022; המדריך שלך שלב אחר שלב להבנה ועמידה בו.
נספח A 5.15 עוסק בהליכי בקרת גישה. מטרת נספח A.9 היא להגן על הגישה למידע ולהבטיח שלעובדים תהיה גישה רק למידע הנחוץ להם לביצוע תפקידם.
זהו אחד המרכיבים החיוניים של an מערכת ניהול אבטחת מידע (ISMS), במיוחד אם אתה מתכנן להשיג אישור ISO 27001.
ביצוע חלק זה נכון הוא מרכיב קריטי של ISO 27001 הסמכה וכזו שבה חברות רבות זקוקות לסיוע. כדי להבין טוב יותר את הדרישות הללו, בואו נסתכל מקרוב על מה שהן כוללות.
מדיניות בקרת גישה
כדי לנהל גישה לנכסים בהיקף של ארגון, יש לפתח, לתעד ולסקור מדי פעם מדיניות בקרת גישה.
בקרת גישה קובעת כיצד ישויות אנושיות ושאינן אנושיות ברשת ניגשות לנתונים, משאבי IT ויישומים.
סיכוני אבטחת מידע הקשורים למידע והתיאבון של הארגון לניהולם צריכים לבוא לידי ביטוי בכללים, בזכויות ובמגבלות ובעומק הבקרות בהן נעשה שימוש. זה פשוט עניין של החלטה למי יש גישה למה, כמה ולמי אין.
ניתן להגדיר בקרות גישה דיגיטליות ופיזיות, כגון הגבלת הרשאות חשבון משתמש או הגבלת גישה למיקומים פיזיים ספציפיים (בהתאמה לנספח A.7 אבטחה פיזית וסביבתית). המדיניות צריכה לקחת בחשבון את השיקולים הבאים:
- חיוני להתאים את דרישות האבטחה של יישומים עסקיים לתכנית סיווג המידע בשימוש לפי נספח A 5.9, 5.10, 5.11, 5.12, 5.13 ו-7.10 המתייחסים לניהול נכסים.
- זהה מי דורש גישה, ידע ושימוש במידע - בליווי נהלים ואחריות מוגדרים בבירור.
- להבטיח ש זכויות גישה והרשאות זכויות גישה (יותר כוח - ראה להלן) מנוהלות ביעילות, כולל הוספת שינויים בחיים (למשל בקרות למשתמשי-על/מנהלי מערכת) וביקורות תקופתיות (למשל תקופתיות ביקורת פנימית לפי דרישה נספח א' 5.15, 5.16, 5.17, 5.18 ו-8.2).
- נוהל רשמי ואחריות מוגדרת צריכים לתמוך בכללי בקרת הגישה.
חיוני לבדוק את בקרת הגישה כאשר תפקידים משתנים, במיוחד במהלך יציאות, כדי לעמוד בנספח A.7 אבטחת משאבי אנוש.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
רשת ושירותי רשת זמינים למשתמשים
גישה כללית להגנה היא של גישה מינימלית ולא גישה בלתי מוגבלת וזכויות משתמש-על ללא שיקול זהיר.
כתוצאה מכך, יש לספק למשתמשים רק גישה רשתות ושירותי רשת נדרשים למלא את אחריותם. המדיניות צריכה לתת מענה; הרשתות ושירותי הרשת בהיקף הגישה; הליכי הרשאה להראות למי (מבוסס תפקידים) מותרת גישה למה ומתי; ובקרות ונהלים להנהלה למניעת גישה ולפקח עליה במקרה של תקרית.
העלייה והיציאה למטוס צריכים לקחת בחשבון גם נושא זה, הקשור קשר הדוק למדיניות בקרת הגישה.
מטרת ISO 27001:2022 נספח A 5.15
כבקרה מונעת, נספח A 5.15 משפר את היכולת הבסיסית של ארגון לשלוט בגישה לנתונים ולנכסים.
סט בטון של אבטחת מידע ומסחר יש לענות על הצרכים לפני שניתן יהיה להעניק גישה למשאבים ולתקן אותם במסגרת נספח A בקרה 5.15.
ISO 27001 נספח A 5.15 מספק הנחיות למתן גישה מאובטחת לנתונים ולמזעור הסיכון של גישה לא מורשית לרשתות פיזיות ווירטואליות.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 5.15
כפי שמוצג בנספח A 5.15, צוות ההנהלה על פני חלקים שונים של א הארגון חייב לשמור על הבנה יסודית מהם יש צורך לגשת למשאבים (למשל בנוסף למידע על HR המודיע לעובדים על תפקידי העבודה שלהם, המכתיבים את פרמטרי ה-RBAC שלהם, זכויות הגישה הן בסופו של דבר פונקציית תחזוקה הנשלטת על ידי מנהלי רשת.
הבעלות של נספח A 5.15 של ארגון צריכה להיות בידי חבר הנהלה בכירה שיש לו סמכות טכנית כוללת על הדומיינים, תת-התחומים, האפליקציות, המשאבים והנכסים של החברה. זה יכול להיות ראש ה-IT.
הנחיות כלליות בנושא ISO 27001:2022 נספח 5.15
נדרשת גישה ספציפית לנושא לבקרת גישה לעמידה בתקן ISO 27001:2022 נספח A Control 5.15 (הידועה יותר כגישה ספציפית לבעיה).
במקום לדבוק במדיניות גורפת של בקרת גישה החלה על גישה למשאבים ולנתונים בכל הארגון, גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות בקרת גישה המיועדת לפונקציות עסקיות בודדות.
בכל התחומים הספציפיים לנושא, נספח A Control 5.15 מחייב מדיניות לגבי בקרת גישה לשקול את 11 הנקודות שלהלן. חלק מההנחיות הללו חופפות למדיניות אחרת.
כקו מנחה, ארגונים צריכים להתייעץ עם הבקרות הנלוות למידע נוסף על בסיס כל מקרה לגופו:
- זהה אילו ישויות דורשות גישה לנכסים ומידע מסוימים.
- שמירה על רישום של תפקידי עבודה ודרישות גישה לנתונים בהתאם למבנה הארגוני של הארגון שלך היא הדרך הקלה ביותר להבטיח ציות.
- אבטחה ושלמות של כל האפליקציות הרלוונטיות (מקושרות לבקרה 8.2).
- ניתן לערוך הערכת סיכונים רשמית כדי להעריך את מאפייני האבטחה של יישומים בודדים.
- השליטה בגישה הפיזית לאתר (קישורים עם בקרות 7.2, 7.3 ו-7.4).
- כחלק מתוכנית התאימות שלך, הארגון שלך חייב להפגין מערך חזק של בקרות גישה לבניין ולחדר, כולל מערכות כניסה מנוהלות, היקפי אבטחה ונהלי מבקרים, במידת הצורך.
- בכל הנוגע להפצה, אבטחה וסיווג מידע, יש ליישם את עקרון ה"צריך לדעת" בכל הארגון (מקושר ל-5.10, 5.12 ו-5.13).
- חברות צריכות לדבוק במדיניות קפדנית של שיטות עבודה מומלצות שאינן מספקות גישה גורפת לנתונים בכל ההיררכיה של הארגון.
- ודא שזכויות גישה מורשות מוגבלות (קשור ל-8.2).
- הרשאות הגישה של משתמשים שקיבלו גישה לנתונים מעל ומעבר לזו של משתמש רגיל חייבות להיות במעקב ובקרה.
- הבטח ציות לכל חקיקה רווחת, הנחיות רגולטוריות ספציפיות למגזר או התחייבויות חוזיות הנוגעות לגישה לנתונים (ראה 5.31, 5.32, 5.33, 5.34 ו-8.3).
- מדיניות בקרת הגישה של ארגון מותאמת אישית בהתאם לחובות חיצוניות לגבי גישה לנתונים, נכסים ומשאבים.
- מעקב אחר ניגודי עניינים אפשריים.
- המדיניות צריכה לכלול בקרות כדי למנוע מאדם להתפשר על פונקציית בקרת גישה רחבה יותר בהתבסס על רמות הגישה שלו (כלומר עובד שיכול לבקש, לאשר וליישם שינויים ברשת).
- מדיניות בקרת גישה צריכה להתייחס לשלוש הפונקציות העיקריות - בקשות, הרשאות וניהול - באופן עצמאי.
- מדיניות לבקרת גישה חייבת להכיר בכך שלמרות האופי העצמאי שלה, היא כוללת מספר שלבים בודדים, שכל אחד מכיל את הדרישות שלו.
- כדי להבטיח עמידה בדרישות של 5.16 ו-5.18, בקשות גישה צריכות להתבצע בצורה מובנית ורשמית.
- ארגונים צריכים ליישם תהליכי הרשאה פורמליים הדורשים אישור רשמי ומתועד מהצוות המתאים.
- ניהול זכויות גישה באופן שוטף (מקושר ל-5.18).
- כדי לשמור על שלמות הנתונים והיקפי אבטחה, נדרשים ביקורות תקופתיות, פיקוח על משאבי אנוש (עוזבים וכו') ושינויים ספציפיים לתפקיד (למשל מהלכים מחלקתיים ושינויים בתפקידים).
- שמירה על יומנים נאותים ושליטה בגישה אליהם תאימות - ארגונים צריכים לאסוף ולאחסן נתונים על אירועי גישה (למשל פעילות קבצים), להגן מפני גישה לא מורשית ליומני אירועי אבטחה, ולעקוב אחר ניהול אירועים מקיף אסטרטגיה.
הנחיה משלימה על נספח 5.15
על פי ההנחיה המשלימה, ISO 27001:2022 נספח A Control 5.15 מזכיר (מבלי להגביל את עצמו ל) ארבעה סוגים שונים של בקרת גישה, שניתן לסווג באופן נרחב כדלקמן:
- בקרת גישה חובה (MAC) - הגישה מנוהלת באופן מרכזי על ידי רשות אבטחה אחת.
- חלופה ל-MAC היא בקרת גישה לפי שיקול דעת (DAC), שבה הבעלים של האובייקט יכול להעניק לאחרים הרשאות בתוך האובייקט.
- מערכת בקרת גישה המבוססת על פונקציות והרשאות עבודה מוגדרות מראש נקראת בקרת גישה מבוססת תפקידים (RBAC).
- באמצעות בקרת גישה מבוססת תכונות (ABAC), הרשאות גישה למשתמש ניתנות על סמך מדיניות המשלבת תכונות.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
הנחיות ליישום כללי בקרת גישה
דנו בכללי בקרת גישה כמוענקים לגופים שונים (אנושיים ולא אנושיים) הפועלים בתוך רשת, אשר מוקצים להם תפקידים המגדירים את תפקידם הכולל.
בהגדרה והפעלת מדיניות בקרת הגישה של הארגון שלך, נספח A 5.15 מבקש ממך לשקול את ארבעת הגורמים הבאים:
- יש לשמור על עקביות בין הנתונים שעליהם חלה זכות הגישה לבין סוג זכות הגישה.
- חיוני להבטיח עקביות בין זכויות הגישה של הארגון שלך לדרישות האבטחה הפיזיות (היקפים וכו').
- זכויות גישה בסביבת מחשוב מבוזרת (כגון סביבה מבוססת ענן) מביאות בחשבון את ההשלכות של נתונים השוכנים על פני קשת רחבה של רשתות.
- שקול את ההשלכות של בקרות גישה דינמיות (שיטה פרטנית לגישה לקבוצה מפורטת של משתנים המיושמת על ידי מנהל מערכת).
הגדרת אחריות ותיעוד התהליך
על פי ISO 27001:2022 נספח A Control 5.15, ארגונים חייבים לפתח ולתחזק רשימה מובנית של אחריות ותיעוד. ישנם קווי דמיון רבים בין כל רשימת הבקרות של ISO 27001:2022, כאשר נספח A 5.15 מכיל את הדרישות הרלוונטיות ביותר:
תיעוד
- ISO 27001:2022 נספח A 5.16
- ISO 27001:2022 נספח A 5.17
- ISO 27001:2022 נספח A 5.18
- ISO 27001:2022 נספח A 8.2
- ISO 27001:2022 נספח A 8.3
- ISO 27001:2022 נספח A 8.4
- ISO 27001:2022 נספח A 8.5
- ISO 27001:2022 נספח A 8.18
אחריות
- ISO 27001:2022 נספח A 5.2
- ISO 27001:2022 נספח A 5.17
גרגיריות
בקרה 5.15 של נספח A מספקת לארגונים חופש משמעותי בציון הפירוט של מדיניות בקרת הגישה שלהם.
באופן כללי, ISO ממליצה לחברות להשתמש בשיקול הדעת שלהן לגבי מידת המפורטת של מערכת כללים נתונה על בסיס עובד לעובד וכמה משתנים יש להחיל על פיסת מידע נתונה.
באופן ספציפי, נספח A 5.15 מאשר שככל שמדיניות בקרת הגישה של חברה מפורטת יותר, כך העלות גדולה יותר והמושג בקרת גישה הופך למאתגר יותר על פני מספר מיקומים, סוגי רשת ומשתני יישומים.
בקרת גישה, אלא אם כן מנוהלת בקפידה, יכולה לצאת משליטה מהר מאוד. זה חכם לפשט את כללי בקרת הגישה כדי להבטיח שהם קלים יותר לניהול וחסכוניים יותר.
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןמהם השינויים מ-ISO 27001:2013?
נספח A 5.15 ב-27001:2022 הוא שילוב של שתי בקרות דומות ב-27001:2013 - נספח A 9.1.1 (מדיניות בקרת גישה) ובנספח A 9.1.2 (גישה לרשתות ושירותי רשת).
הנושאים הבסיסיים של A.9.1.1 ו-A.9.1.2 דומים לאלה שבנספח A 5.15, למעט כמה הבדלים תפעוליים עדינים.
כמו ב-2022, שתי הבקרות מתייחסות לניהול גישה למידע, נכסים ומשאבים ופועלות על פי העיקרון של "צריך לדעת", שבו מתייחסים לנתונים ארגוניים כאל מצרך הדורש ניהול והגנה זהירים.
קיימות 11 הנחיות ניהוליות ב-27001:2013 נספח A 9.1.1, שכולן עוקבות אחר אותם עקרונות כלליים כמו 27001:2022 נספח A בקרה 5.15 עם דגש מעט יותר גדול על אבטחה היקפית ואבטחה פיזית.
בדרך כלל יש אותן הנחיות יישום עבור בקרת גישה, אבל בקרת 2022 מספקת הדרכה הרבה יותר תמציתית ומעשית על פני ארבע הנחיות היישום שלה.
סוגי בקרות הגישה בשימוש ב-ISO 27001:2013 נספח A 9.1.1 השתנו
כאמור ב-ISO 27001 נספח A 5.15, צורות שונות של בקרת גישה הופיעו במהלך תשע השנים האחרונות (MAC, DAC, ABAC), בעוד שב-27001:2013 נספח A Control 9.1.1, השיטה העיקרית של בקרת גישה מסחרית באותה תקופה הזמן היה RBAC.
רמת הפירוט
בקרות 2013 צריכים להכיל קווים מנחים משמעותיים כיצד ארגון צריך לגשת לבקרות גישה פרטניות לאור שינויים טכנולוגיים המספקים לארגונים שליטה משופרת על הנתונים שלהם.
לעומת זאת, נספח A 5.15 של 27001:2022 מספק לארגונים גמישות ניכרת.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online יכול לעזור?
נספח A 5.15 של ISO 27001:2022 הוא כנראה הסעיף המדובר ביותר בנספח A, ויש הטוענים שהוא המשמעותי ביותר.
מערכת ניהול אבטחת המידע שלך (ISMS) מטרתה להבטיח שלאנשים המתאימים תהיה גישה למידע הנכון בזמן הנכון. אחד המפתחות להצלחה הוא לעשות את זה נכון, אבל ביצוע לא נכון יכול להשפיע לרעה על העסק שלך.
קחו בחשבון את התרחיש שבו חשפת בטעות מידע סודי של העובדים לאנשים הלא נכונים, כמו למשל מה משלמים לכל אחד בארגון.
אם אתה לא זהיר, ההשלכות של טעות בחלק זה עלולות להיות חמורות. לכן, הכרחי להקדיש זמן לשקול היטב את כל ההיבטים לפני שתמשיך.
בעניין זה, הפלטפורמה שלנו יכול להיות נכס אמיתי. הסיבה לכך היא שהוא עוקב אחר כל המבנה של ISO 27001 ומאפשר לך לאמץ, להתאים ולהעשיר את התוכן שאנו מספקים עבורך, מה שנותן לך התחלה משמעותית.
קפוץ לנושא
