ISO 27001:2022 נספח A 5.29

אבטחת מידע בזמן שיבוש

הזמן הדגמה

תאגיד,עסק,צוות ומנהל,בפגישה

ISO 27001: 2022 נספח א בקרה 5.29 קובעת את ההתאמות התפעוליות שארגונים צריכים לאמץ כאשר הם מתמודדים עם שיבוש, כדי להגן על המידע ולשמור על נכסי החברה.

למרות המגוון העצום של אמצעי המניעה העומדים לרשות ארגונים המצייתים ל-ISO 27001:2022, שיבושים בהמשכיות העסקית ובפעולות הסטנדרטיות עלולות להתרחש, ועושות, עדיין.

על מנת להבטיח המשכיות עסקית, ארגונים חייבים לזהות את הדרישות שלהם לאבטחת מידע.

בעלות על ISO 27001:2022 נספח A בקרה 5.29

ISO 27001: 2022 נספח א' בקרה 5.29 מתייחס לתהליכים ונהלים תפעוליים של אבטחת מידע המופעלים כאשר מתרחש אירוע קריטי או הפרעה עסקית.

בעלות על ISO 27001:2022 נספח א' בקרה 5.29 מוקצה בצורה הטובה ביותר למנהל בכיר המפקח על הפעילות היומיומית של הארגון ותכנון ההמשכיות, כגון מנהל תפעול ראשי (COO).

הנחיות כלליות בנושא ISO 27001:2022 נספח A 5.29

ISO 27001:2022 נספח A 5.29 קובע שאבטחת מידע צריכה להיות חלק בלתי נפרד מתוכנית ניהול המשכיות עסקית רחבה יותר של הארגון.

ארגונים צריכים ליצור תוכניות לשמירה על אבטחת המידע ולשחזר אותה אם הפרעה כלשהי בפעילות או כשל מערכות מובילה לפריצה.

יש להחזיר את רמות האבטחה לרמות שלפני ההפרעה בצורה מהירה, על מנת למנוע כל פגיעה נוספת.

ארגונים צריכים לנקוט בצעדים הבאים:

  1. ליישם ולקיים אמצעי אבטחת מידע כלליים, לרבות מערכות ארגוניות ומסגרות ICT, כחלק מתוכניות ההמשכיות הכוללות של החברה.
  2. הטמעת נהלים השואפים לקיים אמצעי אבטחת מידע בכל הפרעה.
  3. כאשר ישים, יש להחיל בקרות חלופיות על כל ניסיונות אבטחת מידע שלא ניתן לקיים במהלך שיבוש.

הנחיות משלימות על נספח א' 5.29

ISO 27001:2022 נספח A 5.29 מכיר בשונות הגדולה של תכנון המשכיות, ומעניק לארגונים מרחב ניכר ליישם בקרות אבטחת מידע המותאמות לסוגים השונים של הפרעות עסקיות שהם עלולים להיתקל בהם.

ISO קורא לארגונים לשים לב במיוחד לשני תחומים בעת תכנון תוכנית המשכיות עסקית:

  • גילוי מידע חסוי.
  • הבטחת הדיוק, האמינות והשלמות של המידע היא בעלת חשיבות עליונה.

מהם השינויים מ-ISO 27001:2013?

ISO 27001:2022 נספח A 5.29 מחליף את שלוש ההנחיות הקודמות 17.1.1, 17.1.2 ו-17.1.3 מ-ISO 27001:2013.

  • 17.1.1 – תכנון המשכיות אבטחת מידע
  • 17.1.2 – יישום המשכיות אבטחת מידע
  • 17.1.3 – אימות, בדיקה והערכת המשכיות אבטחת המידע

מתוך הכרה במורכבות המורכבת של תוכניות המשכיות עסקית - וכיצד הן משתנות בהתאם לסוג ההפרעה - ISO הפכו את ההנחיות שלהם לפשוטות יותר על ידי מעבר מגישה מפורטת ובמקום זאת ביקשו מארגונים לחשוב על כמה אלמנטים חיוניים בעת יצירת תוכניות ספציפיות ל הנושא (ראה למעלה).

לדוגמה, ISO 27001:2013 נספח A 17.1.2 מסביר:

כוח אדם האחראי לתגובה לאירוע, בעל יכולת לנהל אירוע ו לשמור על אבטחת מידע, מוקצים.

למרות חשיבותם לתכנון המשכיות יעיל, סעיף 5.29 אינו מזכיר את צוותי התגובה לאירועים באופן ספציפי, אלא סומך על הארגון שישקול אותם בקפידה בעת ביצוע הערות ההנחיה, במיוחד בתחומים הבאים:

פריסה ותחזוקה של בקרות אבטחה עבור מידע כללי, מערכות עסקיות ופלטפורמות ICT בהתאם לתוכניות ההמשכיות של הארגון.

טבלה של כל בקרות ISO 27001:2022 נספח A

בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.

ISO 27001:2022 בקרות ארגוניות

נספח א' סוג בקרהמזהה ISO/IEC 27001:2022 נספח Aמזהה ISO/IEC 27001:2013 נספח Aשם נספח א'
בקרות ארגוניותנספח א' 5.1נספח א' 5.1.1
נספח א' 5.1.2
מדיניות אבטחת מידע
בקרות ארגוניותנספח א' 5.2נספח א' 6.1.1תפקידים ואחריות של אבטחת מידע
בקרות ארגוניותנספח א' 5.3נספח א' 6.1.2הפרדת תפקידים
בקרות ארגוניותנספח א' 5.4נספח א' 7.2.1אחריות ניהול
בקרות ארגוניותנספח א' 5.5נספח א' 6.1.3קשר עם הרשויות
בקרות ארגוניותנספח א' 5.6נספח א' 6.1.4צור קשר עם קבוצות עניין מיוחדות
בקרות ארגוניותנספח א' 5.7NEWמודיעין סייבר
בקרות ארגוניותנספח א' 5.8נספח א' 6.1.5
נספח א' 14.1.1
אבטחת מידע בניהול פרויקטים
בקרות ארגוניותנספח א' 5.9נספח א' 8.1.1
נספח א' 8.1.2
מלאי מידע ונכסים נלווים אחרים
בקרות ארגוניותנספח א' 5.10נספח א' 8.1.3
נספח א' 8.2.3
שימוש מקובל במידע ובנכסים נלווים אחרים
בקרות ארגוניותנספח א' 5.11נספח א' 8.1.4החזרת נכסים
בקרות ארגוניותנספח א' 5.12נספח א' 8.2.1סיווג מידע
בקרות ארגוניותנספח א' 5.13נספח א' 8.2.2תיוג מידע
בקרות ארגוניותנספח א' 5.14נספח א' 13.2.1
נספח א' 13.2.2
נספח א' 13.2.3
העברת מידע
בקרות ארגוניותנספח א' 5.15נספח א' 9.1.1
נספח א' 9.1.2
בקרת גישה
בקרות ארגוניותנספח א' 5.16נספח א' 9.2.1ניהול זהות
בקרות ארגוניותנספח א' 5.17נספח א' 9.2.4
נספח א' 9.3.1
נספח א' 9.4.3
מידע אימות
בקרות ארגוניותנספח א' 5.18נספח א' 9.2.2
נספח א' 9.2.5
נספח א' 9.2.6
זכויות גישה
בקרות ארגוניותנספח א' 5.19נספח א' 15.1.1אבטחת מידע ביחסי ספקים
בקרות ארגוניותנספח א' 5.20נספח א' 15.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
בקרות ארגוניותנספח א' 5.21נספח א' 15.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
בקרות ארגוניותנספח א' 5.22נספח א' 15.2.1
נספח א' 15.2.2
ניטור, סקירה וניהול שינויים של שירותי ספקים
בקרות ארגוניותנספח א' 5.23NEWאבטחת מידע לשימוש בשירותי ענן
בקרות ארגוניותנספח א' 5.24נספח א' 16.1.1תכנון והכנה לניהול אירועי אבטחת מידע
בקרות ארגוניותנספח א' 5.25נספח א' 16.1.4הערכה והחלטה על אירועי אבטחת מידע
בקרות ארגוניותנספח א' 5.26נספח א' 16.1.5תגובה לאירועי אבטחת מידע
בקרות ארגוניותנספח א' 5.27נספח א' 16.1.6למידה מתקריות אבטחת מידע
בקרות ארגוניותנספח א' 5.28נספח א' 16.1.7אוסף ראיות
בקרות ארגוניותנספח א' 5.29נספח א' 17.1.1
נספח א' 17.1.2
נספח א' 17.1.3
אבטחת מידע בזמן שיבוש
בקרות ארגוניותנספח א' 5.30NEWמוכנות ICT להמשכיות עסקית
בקרות ארגוניותנספח א' 5.31נספח א' 18.1.1
נספח א' 18.1.5
דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
בקרות ארגוניותנספח א' 5.32נספח א' 18.1.2זכויות קניין רוחני
בקרות ארגוניותנספח א' 5.33נספח א' 18.1.3הגנה על רשומות
בקרות ארגוניותנספח א' 5.34 נספח א' 18.1.4פרטיות והגנה על PII
בקרות ארגוניותנספח א' 5.35נספח א' 18.2.1סקירה עצמאית של אבטחת מידע
בקרות ארגוניותנספח א' 5.36נספח א' 18.2.2
נספח א' 18.2.3
עמידה במדיניות, כללים ותקנים לאבטחת מידע
בקרות ארגוניותנספח א' 5.37נספח א' 12.1.1נהלי הפעלה מתועדים

ISO 27001:2022 בקרות אנשים

נספח א' סוג בקרהמזהה ISO/IEC 27001:2022 נספח Aמזהה ISO/IEC 27001:2013 נספח Aשם נספח א'
אנשים בקרותנספח א' 6.1נספח א' 7.1.1סריקה
אנשים בקרותנספח א' 6.2נספח א' 7.1.2תנאי העסקה
אנשים בקרותנספח א' 6.3נספח א' 7.2.2מודעות, חינוך והדרכה לאבטחת מידע
אנשים בקרותנספח א' 6.4נספח א' 7.2.3תהליך משמעתי
אנשים בקרותנספח א' 6.5נספח א' 7.3.1אחריות לאחר סיום או שינוי עבודה
אנשים בקרותנספח א' 6.6נספח א' 13.2.4הסכמי סודיות או סודיות
אנשים בקרותנספח א' 6.7נספח א' 6.2.2עבודה מרחוק
אנשים בקרותנספח א' 6.8נספח א' 16.1.2
נספח א' 16.1.3
דיווח אירועי אבטחת מידע

ISO 27001:2022 בקרות פיזיות

נספח א' סוג בקרהמזהה ISO/IEC 27001:2022 נספח Aמזהה ISO/IEC 27001:2013 נספח Aשם נספח א'
בקרות פיזיותנספח א' 7.1נספח א' 11.1.1היקפי אבטחה פיזית
בקרות פיזיותנספח א' 7.2נספח א' 11.1.2
נספח א' 11.1.6
כניסה פיזית
בקרות פיזיותנספח א' 7.3נספח א' 11.1.3אבטחת משרדים, חדרים ומתקנים
בקרות פיזיותנספח א' 7.4NEWניטור אבטחה פיזית
בקרות פיזיותנספח א' 7.5נספח א' 11.1.4הגנה מפני איומים פיזיים וסביבתיים
בקרות פיזיותנספח א' 7.6נספח א' 11.1.5עבודה באזורים מאובטחים
בקרות פיזיותנספח א' 7.7נספח א' 11.2.9Clear Desk ומסך ברור
בקרות פיזיותנספח א' 7.8נספח א' 11.2.1מיקום ומיגון ציוד
בקרות פיזיותנספח א' 7.9נספח א' 11.2.6אבטחת נכסים מחוץ לשטח
בקרות פיזיותנספח א' 7.10נספח א' 8.3.1
נספח א' 8.3.2
נספח א' 8.3.3
נספח א' 11.2.5
אחסון מדיה
בקרות פיזיותנספח א' 7.11נספח א' 11.2.2כלי עזר תומכים
בקרות פיזיותנספח א' 7.12נספח א' 11.2.3אבטחת כבלים
בקרות פיזיותנספח א' 7.13נספח א' 11.2.4תחזוקת ציוד
בקרות פיזיותנספח א' 7.14נספח א' 11.2.7סילוק מאובטח או שימוש חוזר בציוד

ISO 27001:2022 בקרות טכנולוגיות

נספח א' סוג בקרהמזהה ISO/IEC 27001:2022 נספח Aמזהה ISO/IEC 27001:2013 נספח Aשם נספח א'
בקרות טכנולוגיותנספח א' 8.1נספח א' 6.2.1
נספח א' 11.2.8
התקני נקודת קצה של משתמש
בקרות טכנולוגיותנספח א' 8.2נספח א' 9.2.3זכויות גישה מועדפות
בקרות טכנולוגיותנספח א' 8.3נספח א' 9.4.1הגבלת גישה למידע
בקרות טכנולוגיותנספח א' 8.4נספח א' 9.4.5גישה לקוד המקור
בקרות טכנולוגיותנספח א' 8.5נספח א' 9.4.2אימות מאובטח
בקרות טכנולוגיותנספח א' 8.6נספח א' 12.1.3ניהול קיבולת
בקרות טכנולוגיותנספח א' 8.7נספח א' 12.2.1הגנה מפני תוכנות זדוניות
בקרות טכנולוגיותנספח א' 8.8נספח א' 12.6.1
נספח א' 18.2.3
ניהול נקודות תורפה טכניות
בקרות טכנולוגיותנספח א' 8.9NEWניהול תצורה
בקרות טכנולוגיותנספח א' 8.10NEWמחיקת מידע
בקרות טכנולוגיותנספח א' 8.11NEWמיסוך נתונים
בקרות טכנולוגיותנספח א' 8.12NEWמניעת דליפת נתונים
בקרות טכנולוגיותנספח א' 8.13נספח א' 12.3.1גיבוי מידע
בקרות טכנולוגיותנספח א' 8.14נספח א' 17.2.1יתירות של מתקנים לעיבוד מידע
בקרות טכנולוגיותנספח א' 8.15נספח א' 12.4.1
נספח א' 12.4.2
נספח א' 12.4.3
רישום
בקרות טכנולוגיותנספח א' 8.16NEWפעולות ניטור
בקרות טכנולוגיותנספח א' 8.17נספח א' 12.4.4סנכרון שעון
בקרות טכנולוגיותנספח א' 8.18נספח א' 9.4.4שימוש בתוכניות שירות מועדפות
בקרות טכנולוגיותנספח א' 8.19נספח א' 12.5.1
נספח א' 12.6.2
התקנת תוכנה על מערכות תפעוליות
בקרות טכנולוגיותנספח א' 8.20נספח א' 13.1.1אבטחת רשתות
בקרות טכנולוגיותנספח א' 8.21נספח א' 13.1.2אבטחת שירותי רשת
בקרות טכנולוגיותנספח א' 8.22נספח א' 13.1.3הפרדת רשתות
בקרות טכנולוגיותנספח א' 8.23NEWסינון אינטרנט
בקרות טכנולוגיותנספח א' 8.24נספח א' 10.1.1
נספח א' 10.1.2
שימוש בקריפטוגרפיה
בקרות טכנולוגיותנספח א' 8.25נספח א' 14.2.1מחזור חיים של פיתוח מאובטח
בקרות טכנולוגיותנספח א' 8.26נספח א' 14.1.2
נספח א' 14.1.3
דרישות אבטחת יישומים
בקרות טכנולוגיותנספח א' 8.27נספח א' 14.2.5ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת
בקרות טכנולוגיותנספח א' 8.28NEWקידוד מאובטח
בקרות טכנולוגיותנספח א' 8.29נספח א' 14.2.8
נספח א' 14.2.9
בדיקות אבטחה בפיתוח וקבלה
בקרות טכנולוגיותנספח א' 8.30נספח א' 14.2.7פיתוח במיקור חוץ
בקרות טכנולוגיותנספח א' 8.31נספח א' 12.1.4
נספח א' 14.2.6
הפרדת סביבות פיתוח, בדיקה וייצור
בקרות טכנולוגיותנספח א' 8.32נספח א' 12.1.2
נספח א' 14.2.2
נספח א' 14.2.3
נספח א' 14.2.4
שינוי הנהלה
בקרות טכנולוגיותנספח א' 8.33נספח א' 14.3.1מידע על בדיקה
בקרות טכנולוגיותנספח א' 8.34נספח א' 12.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עזרה

ISMS.online מספקת פלטפורמה מבוססת ענן כדי להקל על היישום של ISO 27001. היא הופכת את ניהול תהליכי סיכוני אבטחת המידע שלך ללא מאמץ ויעיל.

ISMS.online מציעה חבילת כלים לייעל את התיעוד, ההטמעה, התחזוקה והשיפור של מערכת ניהול אבטחת המידע שלך (ISMS) ולהבטיח עמידה בתקן ISO 27001:2022.

צור איתנו קשר עכשיו כדי להזמין הדגמה.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף