השמיים ISO 27001:2022 מתוקן נספח A 5.16 ניהול זהויות קובע מסגרת לאישור, רישום וניהול של זהויות אנושיות ולא אנושיות בכל רשת - המוגדרת כ"מחזור החיים המלא.
רשתות מחשבים משתמשות בזהויות כדי לזהות את היכולת הבסיסית של ישות (משתמש, קבוצת משתמשים, מכשיר או נכס IT) לגשת לקבוצה של משאבי חומרה ותוכנה.
מטרת נספח A 5.16 היא לתאר כיצד ארגון יכול לזהות מי (משתמשים, קבוצות של משתמשים) או מה (יישומים, מערכות והתקנים) ניגשת לנתונים או לנכסי IT בכל רגע נתון, וכיצד מוענקות לזהויות אלו זכויות גישה.
כאמצעי מניעה, נספח A 5.16 שואף לשמור על סיכון על ידי הקמת ההיקף הראשי עבור כל אבטחת המידע הקשורה ופעולות אבטחת סייבר, כמו גם אופן הממשל העיקרי הקובע את תהליך ניהול הזהות והגישה של ארגון.
בהתחשב ב-ISO 27001:2022 נספח A 5.16 משמש כפונקציית תחזוקה בעיקרה, יש לתת בעלות לצוות IT עם זכויות מנהל גלובליות (או שווה ערך עבור תשתית שאינה Windows).
בנוסף לתפקידים מובנים אחרים המאפשרים למשתמשים לנהל זהויות (כגון מנהל דומיין), נספח A 5.16 צריך להיות בבעלות האדם האחראי על כל הרשת של הארגון, כולל כל תת-הדומיינים ודיירי Active Directory.
תאימות נספח A 5.16 מושגת על ידי ביטוי נהלים מבוססי זהות בבירור במסמכי מדיניות ומעקב אחר ציות הצוות על בסיס יומי.
שישה נהלים מפורטים בנספח A 5.16, כדי להבטיח שארגון עומד בסטנדרטים הנדרשים של ממשל infosec ואבטחת סייבר:
השגת תאימות פירושה מדיניות IT חייבת לקבוע בבירור שמשתמשים לא ישתפו פרטי התחברות, או לאפשר למשתמשים אחרים לשוטט ברשת באמצעות כל זהות אחרת מזו שניתנה להם.
כדי להשיג תאימות, יש לטפל ברישום של זהויות משותפות בנפרד מרישום משתמש יחיד, עם תהליך אישור ייעודי.
לזהות שאינה אנושית צריכה להיות גם תהליך אישור ורישום משלה, תוך הכרה בהבדל המהותי בין הקצאת זהות לאדם לבין הענקת זהות לנכס, אפליקציה או מכשיר.
מחלקת ה-IT צריכה לערוך ביקורות סדירות כדי לקבוע באילו זהויות נעשה שימוש, ואילו ישויות ניתן להשעות או למחוק. חשוב לצוות משאבי אנוש לכלול ניהול זהויות בהליכי היציאה, וליידע את צוות ה-IT מיד כאשר עוזב עוזב.
כדי לעמוד בדרישות, צוות ה-IT צריך לוודא שישויות לא יקבלו זכויות גישה המבוססות על יותר מזהות אחת בעת הקצאת תפקידים ברשת.
אפשר לפרש את המונח 'אירוע משמעותי' בצורה שונה, אך ברמה הבסיסית, ארגונים צריכים לוודא שנוהלי הממשל שלהם כוללים רשימה מקיפה של זהויות שהוקצו בכל זמן נתון, פרוטוקולי בקשות שינויים חזקים עם נהלי אישור מתאימים, וכן פרוטוקול בקשת שינוי מאושר.
בעת יצירת זהות ומתן לה גישה למשאבי רשת, נספח A 5.16 מפרט גם ארבעה שלבים שעסקים צריכים לבצע (תיקון או הסרה של זכויות גישה מוצגים ב- ISO 27001:2022 נספח A 5.18):
בכל פעם שנוצרת זהות, ניהול זהות הופך למאתגר יותר באופן אקספוננציאלי. רצוי לארגונים ליצור זהויות חדשות רק כאשר הדבר נחוץ באופן ברור.
נהלי ניהול זהויות וגישה צריכים להבטיח כי לאחר אישור המקרה העסקי, לאדם או לנכס המקבל זהויות חדשות יש את הסמכות הנדרשת לפני יצירת זהות.
צוות ה-IT שלך צריך לבנות זהות בהתאם למקרה העסקי דרישות, ויש להגביל אותו למה שמתואר בכל תיעוד בקשת שינוי.
כשלב האחרון בתהליך, זהות מוקצית לכל אחד מההרשאות והתפקידים מבוססי הגישה שלו (RBAC) וכן לכל שירותי האימות הנדרשים.
ISO 27001: 2022 נספח A 5.16 מחליף את ISO 27001:2013 A.9.2.1 (ידוע בעבר בשם 'רישום וביטול רישום משתמש').
בעוד ששני הפקדים חולקים כמה קווי דמיון בולטים - בעיקר בפרוטוקולי תחזוקה והשבתת מזהים מיותרים - נספח A 5.16 מכיל קבוצה מקיפה של הנחיות העוסקות בניהול זהות וגישה בכללותו.
ישנם כמה הבדלים בין נספח 2022 לקודמו בכך שלמרות הבדלים בתהליכי הרישום, בני אדם ולא בני אדם אינם מטופלים עוד בנפרד כשמדובר בניהול רשת כללי.
זה הפך נפוץ יותר בניהול IT ובהנחיות שיטות עבודה מומלצות לדבר על זהויות אנושיות ולא אנושיות בסירוגין מאז הופעת פרוטוקולי RBAC מודרניים של זהות וגישה ופרוטוקולי RBAC מבוססי Windows.
בנספח A 9.2.1 ל-ISO 27001:2013, אין הנחיות כיצד לנהל זהויות שאינן אנושיות, והטקסט עוסק רק בניהול מה שהוא מכנה 'זיהויי משתמש' (כלומר פרטי התחברות יחד עם סיסמה שבה נעשה שימוש כדי לגשת לרשת).
נספח A 5.16 מספק הדרכה מפורשת הן לגבי השלכות האבטחה הכלליות של ממשל זהות, והן כיצד ארגונים צריכים לתעד ולעבד מידע לפני הקצאת זהויות, כמו גם לאורך מחזור החיים של הזהות.
באופן השוואתי, ISO 27001:2013 A.9.2.1 מזכיר רק בקצרה את תפקיד ניהול ה-IT המקיף את ניהול הזהויות, ומגביל את עצמו לתרגול הפיזי של ניהול זהויות.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כל עוד אתה מעדכן את התהליכים של מערכת ניהול האבטחה שלך כדי לשקף את הבקרות המשופרות, אתה תעמוד בתקן ISO 27001:2022. זה יכול להיות מטופל על ידי ISMS.online אם אין לך את המשאבים הדרושים בבית.
אנו מפשטים את יישום ISO 27001:2022 באמצעות זרימת העבודה והכלים האינטואיטיביים שלנו, כולל מסגרות, מדיניות, בקרות, תיעוד בר-פעולה והדרכה. עם התוכנה מבוססת הענן שלנו, אתה יכול לנהל את כל פתרונות ISMS במקום אחד.
הפלטפורמה שלנו מאפשרת לך להגדיר את ההיקף שלך האיזמים, לזהות סיכונים ולהטמיע בקרות בקלות.
למידע נוסף על האופן שבו ISMS.online יכול לסייע לך בהשגת יעדי ISO 27001, אנא צור קשר עוד היום כדי להזמין הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
