ISO 27001:2022, נספח A בקרה 5.4, אחריות ניהול מכסה את הצורך בהנהלה להבטיח שכל הצוות ידבק בכל מדיניות ספציפית לנושא אבטחת מידע ונהלים כפי שהוגדרו במדיניות אבטחת המידע שנקבעה בארגון.
עובדים וקבלנים צריכים להיות מודעים ולמלא אותם אחריות אבטחת מידע כמתואר בנספח זה.
נספח א' בקרה 5.4 מתאר כיצד עובדים וקבלנים מיישמים אבטחת מידע בהתאם למדיניות והנהלים של הארגון.
האחריות המוטלת על המנהלים צריכה לכלול דרישות ל:
באחריות המנהלים להבטיח שמודעות אבטחה ומצפונית יחלחלו לארגון כולו ולבסס "תרבות אבטחה" הולמת.
An מדיניות אבטחת מידע היא מסמך רשמי המספק כיוון ניהולי, יעדים ועקרונות להגנה על מידע של ארגון. כדי להבטיח הקצאת משאבים מתאימה, מדיניות אבטחת מידע יעילה צריכה להיות מותאמת לצרכים הספציפיים של הארגון ולתמוך על ידי ההנהלה הבכירה.
הוא מפרט כיצד החברה תגן על זה נכסי מידע וכיצד עובדים צריכים לטפל בנתונים רגישים.
גשר מדיניות אבטחת מידע מפותחת על ידי ההנהלה הבכירה בשיתוף עם צוות אבטחת IT ונגזרות מחוקים, תקנות ושיטות עבודה מומלצות.
יש לכלול גם מסגרת להגדרת תפקידים ואחריות ותקופת בדיקה.
נספח א' בקרה 5.4 נועד להבטיח שההנהלה מודעת לאחריותם לאבטחת מידע.
היא נוקטת בצעדים כדי להבטיח שכל העובדים מודעים לאחריות זו.
מידע הוא נכס בעל ערך שיש להגן עליו מפני אובדן, נזק או שימוש לרעה. ההנהלה חייבת לוודא שננקטים אמצעים נאותים כדי להגן על נכס זה. כדי להשיג זאת, ההנהלה חייבת להבטיח שכל הצוות יעמוד בדרישות מדיניות אבטחת המידע של הארגון, מדיניות אקטואליה ונהלים.
בקרה 5.4 בנספח א' מגדירה אחריות ניהולית לגבי אבטחת מידע בארגון על בסיס המסגרת של ISO 27001.
ההנהלה חייבת להצטרף לתוכנית אבטחת המידע, ועל כל העובדים והקבלנים להיות מודעים למדיניות אבטחת המידע ולפעול לפיה. מדיניות אבטחה, מדיניות ונהלים ספציפיים לנושא לא אמורים להיות פטורים מציות חובה על ידי עובד או קבלן כלשהו.
מדיניות אבטחת מידע, סטנדרטים ונהלים של ארגון חייבים להיאכף על ידי ההנהלה כדי לעמוד בפיקוח נספח A זה.
קבלת התמיכה והרכישה של ההנהלה היא הצעד הראשון.
כדי להפגין מחויבות, ההנהלה חייבת לפעול לפי כל המדיניות והנהלים שלה. לדוגמה, אם אימון במודעות ביטחונית נדרש מדי שנה, מנהלים צריכים להשלים את הקורסים הללו בעצמם.
ללא קשר לתפקידו, כל אחד בחברה חייב להיות מודע לחשיבותה של אבטחת מידע. כפי שנאמר בתוכנית ה-ISMS של החברה, על כל אחד להבין את תפקידו בשמירה על אבטחת הנתונים הרגישים. זה כולל את הדירקטוריון, המנהלים והמנהלים והעובדים.
ISO 27001:2022 נספח A 5.4 אחריות ניהול היה ידוע בעבר בשם בקרה 7.2.1 אחריות ניהול. זה לא פקד חדש שנוסף אלא פרשנות חזקה יותר של הפקד המקביל ב ISO 27001: 2013.
ישנם כמה הבדלים בין נספח A, בקרה 5.4 ובקרה 7.2.1. הבדלים אלה מתועדים בהנחיית היישום עבור שניהם.
באחריות ההנהלה לוודא שהעובדים והקבלנים עומדים בסטנדרטים הבאים:
ארגון חייב:
ההנהלה צריכה לתמוך במדיניות אבטחת מידע, נהלים ובקרות נספח A.
בקרה 5.4 בנספח A ידידותית יותר למשתמש ודורשת שההנהלה תוודא שהעובדים והקבלנים פועלים לפי ההנחיות הבאות:
A) מיודעים לגבי אחריותם ותפקידיהם באבטחת מידע לפני מתן גישה למידע של הארגון.
B) קבל הנחיות המפרטות את רמת אבטחת המידע הצפויה בתפקידיהם הספציפיים.
C) מילוי מדיניות אבטחת המידע והמדיניות הספציפית לנושאים של הארגון.
D) להיות מודעים לתפקידם ואחריותם בנושא אבטחת מידע.
E) הקפדה על כללי מקום העבודה, לרבות מדיניות אבטחת המידע ושיטות העבודה של הארגון.
F) למד את עצמך ללא הרף על כישורי אבטחת מידע וכישורים.
G) במקרים של הפרות של מדיניות אבטחת מידע, מדיניות או נהלים ספציפיים לנושא ("הלשנות"), יש לספק לעובדים ערוץ תקשורת סודי. תיתכן אפשרות דיווח אנונימי או הוראות המבטיחות שזהות המדווח ידועה רק למי שצריך לטפל בדיווחים אלו.
H) הבטח משאבים נאותים וזמן תכנון פרויקט ליישום תהליכים הקשורים לאבטחה ובקרות נספח A.
השמיים תקן ISO 27001:2022 דורש במפורש שלעובדים וקבלנים תהיה גישה למשאבים הדרושים ולזמן תכנון הפרויקט כדי ליישם נהלים ובקרות הקשורות לאבטחה.
ISO 27001:2013 ו-ISO 27001:2022 משתמשים בניסוחים שונים עבור כמה הנחיות יישום. לדוגמה, הנחיה ג' ב-2013 קובעת כי עובדים וקבלנים צריכים להיות 'מניעים' לאמץ מדיניות ISMS; עם זאת, בשנת 2022 משתמשים במילה 'מנדט'.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח A בקרה.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
במילים פשוטות, הנהלת החברה מבטיחה ש-ISMS (מערכת ניהול אבטחת מידע) במקום.
יש למנות מנהל אבטחת מידע מוסמך, מנוסה ואחראי לפיתוח, יישום, ניהול ושיפור מתמיד של ה-ISMS.
בעת יישום א ISMS מיושר ל-ISO 27001, אתגר מרכזי הוא לעקוב אחר בקרות אבטחת המידע שלך. המערכת שלנו הופכת את התהליך הזה לפשוט.
הצוות שלנו מבין את החשיבות של הגנה על הנתונים והמוניטין של הארגון שלך. כתוצאה מכך, הפלטפורמה מבוססת הענן שלנו מפשטת את יישום של ISO 27001, מאפשר לך להקים מסגרת איתנה עבור בקרות אבטחת מידע, ומסייע לך להשיג הסמכה במהירות ובקלות.
שימוש ISMS.online, אתה יכול להשיג במהירות אישור ISO 27001 ולנהל אותו לאחר מכן. לפלטפורמה שלנו יש תכונות ידידותיות למשתמש שונות וערכות כלים שיחסכו לך זמן ויבטיחו שאתה יוצר ISMS חזק.
פנה אלינו עוד היום ל קבע הדגמה.
