לכל עובד בארגון שלך חייבת להיות גישה למחשבים, מסדי נתונים, מערכות מידע ויישומים ספציפיים כדי לבצע את תפקידיו.
למשל, שלך משאבי אנוש המחלקה עשויה להזדקק לגישה למידע בריאותי רגיש על עובדים. בנוסף, ייתכן שמחלקת הכספים שלך תזדקק לגישה ושימוש במאגרי מידע המכילים מידע על שכר העובדים.
עליך לספק, לשנות ולבטל זכויות גישה בהתאם למדיניות בקרת הגישה ואמצעי בקרת הגישה של החברה. זה ימנע גישה בלתי מורשית, שינוי והשמדה של נכסי מידע.
אם לא תבטל את זכויות הגישה של העובד הקודם שלך, עובד זה עלול לגנוב נתונים רגישים.
לפי ISO 27001:2022, נספח A Control 5.18 מתייחס לאופן שבו יש להקצות, לשנות ולבטל זכויות גישה בהתבסס על דרישות עסקיות.
על פי נספח A Control 5.18, ארגון יכול ליישם נהלים ובקרות להקצאה, שינוי וביטול זכויות גישה למערכות מידע בהתאם למדיניות בקרת הגישה שלו.
קצין אבטחת המידע צריך להיות אחראי על ביסוס, יישום ובדיקה של הכללים, התהליכים והבקרות המתאימים למתן, שינוי וביטול של זכויות גישה למערכות מידע.
באחריותו של קצין אבטחת המידע לשקול היטב את הצרכים העסקיים בעת הקצאה, שינוי וביטול זכויות גישה. בנוסף, קצין אבטחת המידע צריך לעבוד בשיתוף פעולה הדוק עם בעלי נכסי מידע כדי להבטיח שהמדיניות והנהלים מבוצעים.
כדי להקצות או לבטל זכויות גישה לכל סוגי המשתמשים לכל המערכות והשירותים, יש ליישם תהליך (פשוט ומתועד ככל שיהיה). באופן אידיאלי, זה יתאים לנקודות לעיל וליוזמת אבטחת משאבי אנוש הרחבה יותר.
יש לספק או לבטל מערכת מידע או שירות בהתבסס על הקריטריונים הבאים: הרשאה מבעל מערכת המידע או השירות, אימות שהגישה מתאימה לתפקיד המבוצע והגנה מפני הקצאה לפני קבלת הרשאה.
תמיד יש להעניק למשתמשים גישה בהתאם לדרישות העסקיות כחלק מגישה עסקית. למרות שזה עשוי להישמע בירוקרטי, זה לא חייב להיות. על ידי הטמעת נהלים יעילים עם גישה מבוססת תפקידים למערכות ולשירותים, ניתן לטפל בבעיה זו ביעילות.
בעלי נכסים חייבים לבדוק את זכויות הגישה של המשתמשים באופן קבוע במהלך שינויים בודדים (עלייה למטוס, שינויי תפקידים ויציאות) ובמהלך ביקורות רחבות יותר של גישה למערכת.
יש לבחון את ההרשאות בתדירות גבוהה יותר לאור הסיכון הגבוה יותר הקשור ל זכויות גישה מורשות. כמו ב-9.2, זה צריך להיעשות לפחות מדי שנה או בכל פעם שבוצעו שינויים משמעותיים.
יש צורך להסיר את זכויות הגישה של כל העובדים ומשתמשי הצד החיצוני למתקני מידע ועיבוד מידע עם סיום העסקתם, החוזה או ההסכם שלהם (או להתאים את זכויות הגישה שלהם עם שינוי תפקיד במידת הצורך).
אם מדיניות ונהלי היציאה מתוכננים היטב ומתואמים עם A.7, זה גם יושג ו הוכח למטרות ביקורת כאשר עובדים עוזבים.
לצורך הקצאה וביטול של זכויות גישה לאנשים מאומתים, ארגונים חייבים לשלב את הכללים והבקרות הבאים:
בדיקות תקופתיות של זכויות גישה פיזיות והגיוניות צריכות לקחת בחשבון את הדברים הבאים:
יש לקחת בחשבון גורמי סיכון בעת הערכה ושינוי של זכויות הגישה של עובד למערכות עיבוד מידע. זה לפני שהם מקודמים או יורדים בדרגה באותו ארגון:
מומלץ לארגונים להקים תפקידי גישת משתמשים בהתאם לדרישות העסקיות שלהם. בנוסף לסוגים ולמספרים של זכויות גישה שיוענקו לכל קבוצת משתמשים, תפקידים אלה צריכים לציין את סוג זכויות הגישה.
יצירת תפקידים כאלה תעשה בקשות גישה וזכויות לניהול ובדיקה קלות יותר.
מומלץ לארגונים לכלול בחוזי העסקה/שירות עם הצוות שלהם הוראות המתייחסות לגישה לא מורשית למערכות שלהם ולסנקציות על גישה כזו. יש לעקוב אחר בקרות נספח A 5.20, 6.2, 6.4 ו-6.6.
ארגונים חייבים להיות זהירים כאשר הם מתמודדים עם עובדים ממורמרים שפוטרו על ידי ההנהלה מכיוון שהם עלולים לפגוע בכוונה במערכות מידע.
ארגונים שמחליטים להשתמש בטכניקות שיבוט כדי להעניק זכויות גישה צריכים לעשות זאת על סמך התפקידים שהארגון הגדיר.
קיים סיכון הקשור בשיבוט בכך שעשויות להעניק זכויות גישה מופרזות.
ISO 27001:2022 נספח A 5.18 מחליף את ISO 27001:2013 נספח A בקרות 9.2.2, 9.2.5 ו-9.2.6.
גרסת 2013 של נספח א' בקרה 9.2.2 התווה שש דרישות להקצאה ולביטול זכויות גישה; עם זאת, נספח A בקרה 5.18 מציג שלוש דרישות נוספות בנוסף לשש אלה:
לפי ISO 27001:2013, נספח A Control 9.5 קובע במפורש שארגונים צריכים לבדוק את ההרשאה לזכויות גישה מורשות בתדירות גבוהה יותר מאשר זכויות גישה אחרות. דרישה זו לא נכללה בנספח A Control 5.18 בגרסה 2022.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
ISO 27001:2022, נספח A 5.18, הוא אחד הסעיפים הנדונים ביותר. רבים טוענים שזהו הסעיף המשמעותי ביותר במסמך כולו.
זה בגלל שכולה מערכת ניהול אבטחת מידע (ISMS) מבוסס על הבטחת לאנשים המתאימים גישה למידע הנכון בזמן הנכון. השגת הצלחה דורשת לעשות את זה נכון, אבל זה יכול להשפיע קשות על העסק שלך.
לדוגמה, תארו לעצמכם אם בטעות חשפת מידע סודי של עובד לאדם הלא נכון, כמו השכר של כל עובד.
לטעות כאן עשויות להיות השלכות משמעותיות, אז כדאי להקדיש זמן לחשוב עליה לעומק.
את העתיד פלטפורמה יכולה להיות מאוד מועילה בעניין זה. כתוצאה מכך, הוא נצמד לכל המבנה של ISO 27001 ומאפשר לך לאמץ, להתאים ולהוסיף לתוכן שאנו מספקים. זה נותן לך יתרון משמעותי. למה לא תזמן הדגמה כדי ללמוד עוד?
