מטרת ISO 27001:2022 נספח A 5.3 – הפרדת תפקידים בצורה של הפרדה פונקציונלית היא הקמת מסגרת ניהולית שתשמש ליזום ובקרה על יישום ותפעול אבטחת מידע בתוך חברה.
לפי ISO 27001:2022 נספח א בקרה 5.3, הידועה בעבר כ-6.1.2 ב-ISO 27001:2013, חובות סותרות ותחומי אחריות סותרים מופרדים.
ארגון צריך לשקול וליישם הפרדת תפקידים מתאימה כחלק מתהליך הערכת הסיכונים והטיפול. בעוד שארגונים קטנים יותר עשויים להתקשות בכך, יש ליישם את העיקרון ככל האפשר ולהפעיל ממשל ובקרות נאותות עבור נכסי מידע עם סיכון גבוה/ערך גבוה יותר.
כדי להפחית את הסבירות לשינוי לא מורשה או לא מכוון או שימוש לרעה בנכסי הארגון, יש להפריד בין חובות ותחומי אחריות סותרים.
כמעט לכל ארגון יש מערכת מדיניות ו נהלים המסדירים את פעילותה הפנימית. המדיניות והנהלים הללו אמורים להיות מתועדים, אבל זה לא תמיד כך.
קיימת סכנה שעובדים יתבלבלו לגבי תחומי אחריותם אם ה-P&P לא יהיו שקופים או מתקשרים היטב. זה הופך לבעייתי עוד יותר כאשר לעובדים יש תחומי אחריות חופפים או סותרים.
לעיתים, קונפליקטים יכולים להתעורר כאשר לעובדים יש אחריות הקשורה למשימה מסוימת הדומות או שונות. כתוצאה מכך, עובדים עשויים לעשות את אותו הדבר פעמיים או לבצע פונקציות שונות המבטלות את המאמצים של אחרים. זה מבזבז משאבים תאגידיים ומפחית את התפוקה, ומשפיע לרעה על השורה התחתונה והמורל של החברה.
הבעיה הזו ניתן להימנע על ידי הבטחה שהארגון שלך לא חווה תחומי אחריות סותרים ולדעת למה ומה אתה יכול לעשות כדי למנוע אותם. על פי רוב, משמעות הדבר היא הפרדת חובות כך שאנשים שונים יתמודדו עם תפקידים ארגוניים שונים.
ב-ISO 27001, בקרה 5.3 הפרדת חובות מטרתה להפריד בין חובות סותרות. זה מקטין את הסיכון להונאה וטעויות ו עוקף את אבטחת המידע פקדים.
בהתאם ל-ISO 27001, נספח א' בקרה 5.3 מתאר את הנחיות היישום להפרדת משימות וחובות ארגוניות.
על ידי האצלת משימות משנה ליחידים שונים, עיקרון זה יוצר מערכת בלמים ואיזונים שיכולה להפחית את הסבירות להתרחשות טעויות והונאות.
הבקרה נועדה למנוע מאדם בודד את היכולת לבצע, להסתיר ולהצדיק פעולות לא ראויות, ובכך להפחית את הסיכון להונאה וטעויות. זה גם מונע מאדם בודד לעקוף בקרות אבטחת מידע.
במקרים בהם לעובד אחד יש את כל הזכויות הנדרשות למשימה, יש סיכוי גבוה יותר להתרחש הונאה וטעויות. הסיבה לכך היא שאדם אחד יכול לבצע הכל ללא איזונים ובלמים. עם זאת, קיים סיכון מופחת לנזק משמעותי או הפסד כספי מעובד כאשר אין לאדם בודד את כל זכויות הגישה הנדרשות למשימה מסוימת.
בהיעדר הפרדה נכונה בין חובות ואחריות, עלולות להתעורר הונאה, שימוש לרעה, גישה לא מורשית ובעיות אבטחה אחרות.
בנוסף, נדרשת הפרדת תפקידים כדי להפחית את הסיכונים של שיתוף פעולה בין אנשים. סיכונים אלו גדלים כאשר בקרות לא מספקות מונעות או מזהות קנוניה.
כחלק מ-ISO 27001:2022, ה הארגון צריך לקבוע אילו חובות ואחריות צריך להיות מופרדים וליישם בקרות הפרדה ניתנות לפעולה.
בכל פעם שבקרות כאלה אינן אפשריות, במיוחד עבור ארגונים קטנים עם מספר מצומצם של עובדים, ניטור פעילות, מסלולי ביקורת, וניתן להשתמש בפיקוח ההנהלה. באמצעות כלים אוטומטיים, ארגונים גדולים יותר יכולים לזהות ולהפריד תפקידים כדי למנוע הקצאת תפקידים סותרים.
נספח A של ISO 27001:2022 בקרת 5.3 הפרדת חובות היא גרסה מתוקנת של נספח A של ISO 27001:2013 בקרת 6.1.2 הפרדת חובות.
נספח A 5.3 ISO 27001:2022 ונספח A 6.1.2 ISO 27001:2013 מתארים את אותם מאפיינים בסיסיים של הבקרה "הפרדת תפקידים". עם זאת, הגרסה העדכנית ביותר מגדירה מספר פעילויות הדורשות הפרדה במהלך היישום.
בין הפעילויות הללו:
a) ייזום, אישור וביצוע שינוי;
b) בקשה, אישור ויישום זכויות גישה;
c) עיצוב, יישום ובדיקת קוד;
d) פיתוח תוכנה וניהול מערכות ייצור;
e) שימוש וניהול יישומים;
f) שימוש ביישומים וניהול מסדי נתונים;
g) תכנון, ביקורת והבטחת בקרות אבטחת מידע.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מספר אנשים אחראים להפרדת התפקידים ב-ISO 27001, החל מחבר צוות ניהול בכיר. אדם זה אחראי להבטיח שהראשית הערכת סיכונים התקיים.
כתוצאה מכך, יש להקצות לקבוצות אחרות של עובדים מוסמכים תהליכים החלים על חלקים שונים בארגון. פקודה למנוע מעובדים נוכלים לערער את אבטחת החברה נעשית בדרך כלל על ידי הקצאת משימות ליחידות עבודה אחרות וחלוקת פעולות ותחזוקה הקשורות ל-IT.
לא ניתן לקבוע בצורה נכונה את הפרדת התפקידים ללא א ניהול סיכונים יעיל אסטרטגיה, סביבת בקרה מתאימה ותוכנית ביקורת IT מתאימה.
ISO 27001:2022 מחייב אותך רק לעדכן את תהליכי ה-ISMS שלך כך שישקפו את בקרות המשופרות בנספח A, ואם הצוות שלך לא יכול לנהל זאת, ISMS.online יכול.
נוסף על DPIA והערכות נתונים אישיות קשורות אחרות, כמו LIAs, ISMS.online מספק מסגרות פשוטות ומעשיות ותבניות לאבטחת מידע.
עם ISMS.online, תוכל לתעד נהלים ורשימות ביקורת של מערכת ניהול אבטחת מידע כדי להבטיח עמידה בתקן ISO 27001, תוך אוטומציה של תהליך ההטמעה.
ISMS.online מאפשר לך:
על ידי שימוש בפלטפורמה מבוססת הענן שלנו, אתה יכול לנהל באופן מרכזי רשימות ביקורת, לקיים אינטראקציה עם עמיתים ולהשתמש בסט מקיף של כלים כדי לעזור לארגון שלך ליצור ולתחזק האיזמים.
צור קשר עוד היום כדי הזמן הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
