כחלק מתקנה ISO 27001:2022 המתוקנת, נספח א' בקרה 5.6 קורא לארגונים ליצור ולקיים קשרים עם קבוצות אינטרסים מיוחדות.
חשוב גם לשמור על קשרים מתאימים עם קבוצות אינטרסים מיוחדות, פורומים ביטחוניים ואיגודים מקצועיים. חשוב לזכור שחברות בגופים מקצועיים, ארגונים תעשייתיים, פורומים וקבוצות דיון כלולים כולם בבקרה זו בנספח A. זה כאשר אתה מתאים את זה לצרכים הספציפיים שלך.
חשוב להבין מה כל אחת מהקבוצות הללו עושה וכיצד הן הוקמו (למשל האם הן למטרות מסחריות).
בדרך כלל, קבוצת אינטרסים מיוחדת היא איגוד של אנשים או ארגונים המתעניינים בתחום מסוים. הם עובדים יחד כדי לפתור בעיות, לפתח פתרונות, ולרכוש ידע בתחום. במצב שלנו, אבטחת מידע יהיה תחום המומחיות.
קבוצות עניין מיוחדות רבות כוללות יצרנים, פורומים של מומחים ואיגודים מקצועיים.
מעודדים ארגונים להתחבר לקבוצות אינטרסים מיוחדות, פורומי אבטחה מומחים ואיגודים מקצועיים לפי בקרת נספח A 5.6 ב-ISO 27001:2022 או 6.1.4 ב-ISO 27001:2013.
כמעט לכל ארגון כיום יש מערכת יחסים עם קבוצות אינטרסים מיוחדות. מטרת בקרת נספח א' 5.6 היא להבטיח שמידע הנוגע לאבטחת מידע זורם כהלכה בקרב קבוצות אינטרסים מיוחדות אלו. זה בין אם הם לקוחות, ספקים או קבוצות שמשפיעות על הארגון.
כחלק מנספח א' בקרה 5.6, ניתנות הדרישה, המטרה והנחיות היישום ליצירת קשר עם קבוצות עניין מיוחדות. היבט מרכזי של שיפור יכולות אבטחת המידע הוא יצירת קשר קבוע עם בעלי עניין ובעלי עניין רלוונטיים, לרבות צרכנים ונציגיהם, ספקים, שותפים והממשלה.
שותפות עשויה לאפשר לשני הצדדים להפיק תועלת מהידע של זה על רעיונות חדשניים ושיטות עבודה מומלצות, ובכך להפוך אותה למצב של win-win.
יתרה מזאת, ייתכן שקבוצות אלו יוכלו לספק הצעות או המלצות חשובות לגבי נוהלי אבטחה, נהלים או טכנולוגיות. הצעות או המלצות אלו יכולות אבטח את המערכת שלך תוך השגת היעדים העסקיים שלך.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
ארגון חייב לעקוב אחר ה הנחיות יישום ISO 27001:2022 כאשר עומדים בדרישות עבור נספח א' בקרה 5.6.
קבוצת עניין מיוחדת או חברות בפורום צריכה לאפשר לחברים:
כחלק מ תקני ISO/IEC 27000, יש להקים ולתחזק מערכת לניהול אבטחת מידע (ISMS). בקרה 5.6 בנספח A היא חלק מכריע בתהליך זה. על ידי אינטראקציה עם קבוצות עניין מיוחדות, תוכל לקבל משוב מעמיתיך לגבי האפקטיביות של תהליכי אבטחת המידע שלך.
ISO 27001:2022, נספח A בקרה 5.6, "צור קשר עם קבוצות עניין מיוחדות", הוא בעצם גרסה מעודכנת של ISO 27001:2013 בקרה 6.1.4.
במקרה של ISO 27001:2022, מטרת הבקרה מצוינת בתקן, ואילו במהדורת 2013. מטרת פיקוח נספח א' אינה מצוינת.
בנוסף, שתי הגרסאות משתמשות בביטויים שונים למרות אותן הנחיות יישום.
עם שיפורים אלה, התקן יישאר עדכני ורלוונטי לאור חששות האבטחה הגוברים והתפתחויות טכנולוגיות. גם ארגונים ירוויחו מאחר והעמידה בתקן תהיה קלה יותר.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח A בקרה.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
פרטיות ואבטחת נתונים, יחד עם תאימות, מטופלים בדרך כלל על ידי ראש אבטחת מידע (נקרא גם CISO).
גם מנהלי אבטחת מידע (מנהלי ISMS) יכולים לטפל בתפקיד זה, אך ללא רכישת ההנהלה הבכירה, התפקיד לא יכול להתקדם.
אלה שכבר יישמו ISO 27001:2013 יצטרכו לעדכן את הנהלים שלהם כדי להבטיח עמידה בתקן המתוקן.
רוב הארגונים אמורים להיות מסוגלים לבצע את השינויים הדרושים לגרסת 2022 ללא בעיות, למרות שיהיו כמה שינויים. יתר על כן, לארגונים מוסמכים יהיה שלב מעבר בן שנתיים שבמהלכו הם יכולים לחדש את ההסמכה שלהם כדי להבטיח שהוא עומד בתקן המתוקן.
אתה יכול להבין טוב יותר איך ISO 27001:2022 ישפיע על פעולות אבטחת המידע והסמכת ISO 27001 עם המדריך שלנו ISO 27001:2022.
עם ISMS.online, אתה יכול ליישם את ISO 27001 נספח A שולט ומנהל את כל ה-ISMS שלך עם המערכת הקלה לשימוש שלנו.
על ידי מתן כלים ומשאבים לניהול אבטחת מידע בתוך הארגון שלך, ISMS.online מקל על יישום ISO 27001. זה יעזור לך זיהוי סיכונים, פיתוח בקרות הפחתה והטמעתם.
בנוסף לאספקת לוח מחוונים לניהול, דוחות ויומני ביקורת, ISMS.online יסייע לך להוכיח עמידה בתקן.
השימוש ב-ISMS.online מספק מסגרות ותבניות פשוטות ומעשיות עבור אבטחת מידע בניהול פרויקטים, DPIA והערכות קשורות אחרות של מידע אישי, למשל הערכות אינטרסים לגיטימיות (LIA).
בין התכונות של הפלטפורמה מבוססת הענן שלנו ניתן למצוא את הדברים הבאים:
יש לנו את כל התכונות הללו ועוד. ל הזמן הדגמה, אנא צור איתנו קשר עוד היום.
ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.
