מטרת ISO 27001:2022 נספח A 5.23
ISO 27001: 2022 נספח א 5.23 הוא בקרה חדשה המתווה את התהליכים הנדרשים לרכישה, שימוש, ניהול ויציאה משירותי ענן, ביחס לדרישות אבטחת המידע הייחודיות של הארגון.
נספח א' בקרה 5.23 מאפשר לארגונים לציין תחילה ולאחר מכן לנהל ולנהל מושגי אבטחת מידע באשר לשירותי ענן, בתפקידם כ"לקוח שירותי ענן".
נספח A 5.23 הוא א בקרה מונעת זֶה שומר על סיכון על ידי ציון מדיניות ונהלים השולטים באבטחת מידע, בתחום שירותי הענן המסחריים.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 5.23
כזו היא התפשטות שירותי הענן בעשור האחרון, ISO 27001 2022 נספח א' בקרה 5.23 מכיל שורה של נהלים המקיפים מרכיבים רבים ומובהקים של פעולת הארגון.
בהתחשב בכך שלא כל שירותי הענן הם ספציפיים ל-ICT - למרות שניתן היה לטעון באופן סביר שרובם - יש לחלק את הבעלות על נספח א' בקרה 5.23 בין הארגון של הארגון ראש אגף טכנולוגיה or COO, בהתאם לנסיבות המבצעיות הקיימות.
הנחיות לגבי ISO 27001:2022 נספח A בקרה 5.23 - חובות ארגוניות
עמידה ב-Control 5.23 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לשירותי ענן ואבטחת מידע.
בהתחשב במגוון שירותי הענן המוצעים, גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות שירותי ענן המותאמות לפונקציות עסקיות בודדות, במקום לדבוק במדיניות גורפת החלה על שירותי אבטחת מידע וענן על פני הלוח.
יש לציין ש-ISO רואה בעמידה בנספח א' בקרה 5.23 כמאמץ שיתופי בין הארגון לשותפו לשירות הענן. נספח א' בקרה 5.23 צריך להיות מיושר גם עם בקרות 5.21 ו-5.22, העוסקות בניהול מידע בשרשרת האספקה ובניהול שירותי ספקים בהתאמה.
עם זאת, ארגון בוחר לפעול, אין לקחת את נספח א' בקרה 5.23 בנפרד ויש להשלים את המאמצים הקיימים לניהול קשרי ספקים.
עם אבטחת המידע בחזית, על הארגון להגדיר:
- כל דרישות אבטחה רלוונטיות או חששות הקשורים בשימוש בפלטפורמת ענן.
- הקריטריונים הכרוכים בבחירת ספק שירותי ענן וכיצד יש להשתמש בשירותיו.
- תיאור מפורט של תפקידים ותחומי אחריות רלוונטיים השולטים כיצד יש להשתמש בשירותי ענן ברחבי הארגון.
- אילו אזורי אבטחת מידע בדיוק נשלטים על ידי ספק שירותי הענן, וכאלה שנכללים בסמכות הארגון עצמו.
- הדרכים הטובות ביותר לאסוף תחילה ולאחר מכן להשתמש בכל רכיבי שירות הקשורים לאבטחת מידע המסופקים על ידי פלטפורמת שירותי הענן.
- כיצד להשיג הבטחות קטגוריות לגבי כל בקרות הקשורות לאבטחת מידע שהופעלו על ידי ספק שירותי הענן.
- הצעדים שצריך לנקוט על מנת לנהל שינויים, תקשורת ובקרות על פני מספר פלטפורמות ענן שונות, ולא תמיד מאותו ספק.
- ניהול אירועים נהלים העוסקים אך ורק באספקת שירותי ענן.
- כיצד הארגון מצפה לנהל את השימוש השוטף ו/או האימוץ הסיטונאי שלו בפלטפורמות ענן, בהתאם לחובותיהם הרחבות יותר לאבטחת מידע.
- אסטרטגיה להפסקה או תיקון של שירותי ענן, בין אם על בסיס ספק-לספק, או באמצעות תהליך של הגירה מהענן ל-on-premise.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות לגבי נספח א' בקרה 5.23 - הסכמי שירותי ענן
נספח א' בקרה 5.23 מכיר בכך שבניגוד לקשרי ספקים אחרים, הסכמי שירותי ענן הם מסמכים נוקשים שאינם ניתנים לתיקון ברוב המכריע של המקרים.
עם זאת בחשבון, ארגונים צריכים לבחון את הסכמי שירותי הענן ולוודא שמתקיימים ארבע דרישות תפעול עיקריות:
- סודיות.
- אבטחה/שלמות נתונים.
- זמינות השירות.
- טיפול במידע.
כמו בחוזי ספקים אחרים, לפני הקבלה, הסכמי שירותי ענן צריכים לעבור הערכת סיכונים יסודית המדגישה בעיות פוטנציאליות במקור.
לכל הפחות, על הארגון להתקשר בהסכם שירותי ענן רק כאשר הוא משוכנע ש-10 ההוראות הבאות מולאו:
- שירותי ענן מסופקים ומיושמים בהתבסס על הדרישות הייחודיות של הארגון הנוגעות לתחום הפעילות שלהם, לרבות סטנדרטים ושיטות עבודה מקובלות בתעשייה עבור ארכיטקטורה מבוססת ענן ותשתית מתארחת.
- גישה לכל פלטפורמת ענן עומדת בדרישות אבטחת המידע הגבוליות של הארגון.
- ניתנת התייחסות נאותה לשירותי אנטי-תוכנות זדוניות ואנטי-וירוס, כולל ניטור יזום והגנה מפני איומים.
- ספק הענן מקפיד על קבוצה מוגדרת מראש של תנאי אחסון ועיבוד נתונים, המתייחסים לאזור גלובלי נפרד ולסביבות רגולטוריות אחד או יותר.
- תמיכה יזומה ניתנת לארגון, במידה ופלטפורמת הענן תסבול מכשל קטסטרופלי או תקרית הקשורה לאבטחת מידע.
- אם יתעורר צורך לבצע קבלן משנה או מיקור חוץ אחר של רכיב כלשהו בפלטפורמת הענן, דרישות אבטחת המידע של הספק נותרות בבחינה מתמדת.
- במידה והארגון יזדקק לסיוע כלשהו באיסוף מידע דיגיטלי לכל מטרה רלוונטית (אכיפת חוק, התאמה רגולטורית, מטרות מסחריות), ספק שירותי הענן יתמוך בארגון ככל שניתן.
- בתום הקשר, ספק שירותי הענן צריך לספק תמיכה סבירה וזמינות מתאימה במהלך תקופת המעבר או ההשבתה.
- ספק שירותי הענן צריך לפעול עם תוכנית BUDR חזקה המתמקדת בביצוע גיבויים נאותים של נתוני הארגון.
- העברת כל הנתונים המשלימים הרלוונטיים מספק שירותי הענן לארגון, לרבות מידע תצורה וקוד שיש לארגון טענה עליהם.
מידע משלים על נספח א' בקרה 5.23
בנוסף להנחיה לעיל, נספח א' בקרה 5.23 מציע שארגונים יוצרים קשרי עבודה הדוקים עם ספקי שירותי ענן, בהתאם לשירות החשוב שהם מספקים לא רק במונחי אבטחת מידע, אלא בכל הפעילות המסחרית של הארגון.
ארגונים, במידת האפשר, צריכים לחפש את התנאים הבאים מספקי שירותי ענן כדי לשפר את החוסן התפעולי, וליהנות מרמות משופרות של אבטחת מידע:
- יש לדווח על כל תיקוני התשתית מראש, כדי ליידע את סט תקני אבטחת המידע של הארגון עצמו.
- הארגון צריך להיות מעודכן לגבי כל שינוי בהליכי אחסון הנתונים הכוללים העברת נתונים לתחום שיפוט אחר או לאזור גלובלי אחר.
- כל כוונה מצד ספק שירותי הענן להשתמש בספקי "ענן עמיתים", או מיקור חוץ של תחומי פעילותם לקבלני משנה שעשויות להיות להם השלכות אבטחת מידע על הארגון.
תמיכה בבקרות נספח A
- ISO 27001:2022 נספח A 5.21
- ISO 27001:2022 נספח A 5.22
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
מהם השינויים וההבדלים מ-ISO 27001:2013?
נספח A בקרה 5.23 הוא א שליטה חדשה זה לא מופיע ב-ISO 27001:2013 בשום מעמד.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןכיצד ISMS.online עוזר
ISMS.online מייעל את תהליך ההטמעה של ISO 27001 על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.
כאשר אתה משתמש ב-ISMS.online, תוכל:
- צור ISMS התואם לתקני ISO 27001.
- בצע משימות והגשת הוכחות לכך שהן עמדו בדרישות התקן.
- הקצאת משימות ומעקב אחר ההתקדמות לקראת ציות לחוק.
- קבל גישה לצוות מיוחד של יועצים שיסייע לך לאורך כל הדרך שלך לקראת ציות.
צרו קשר ו הזמן הדגמה.
קפוץ לנושא
