מטרת ISO 27001:2022 נספח א' בקרה 5.8 היא להבטיח שניהול הפרויקט משלב אמצעי אבטחת מידע.
על פי ISO 27001:2022, בקרת נספח A זו מטרתה להבטיח שסיכוני אבטחת מידע הקשורים לפרויקטים ולתפוקות מנוהלים ביעילות במהלך ניהול הפרויקט.
ניהול פרויקטים ואבטחת פרויקטים הם שיקולים מרכזיים.
מכיוון שפרויקטים רבים כוללים עדכונים לתהליכים ומערכות עסקיים להשפיע על אבטחת המידע, נספח א' בקרה 5.8 מתעד דרישות לניהול פרויקטים.
מכיוון שפרויקטים עשויים להשתרע על פני מספר מחלקות וארגונים, יש לתאם את יעדי בקרה 5.8 של נספח A בין מחזיקי עניין פנימיים וחיצוניים.
כהנחיה, בקרות נספח A מזהות חששות אבטחת מידע בפרויקטים ו להבטיח את הפתרון שלהם לאורך כל מחזור החיים של הפרויקט.
היבט מרכזי בניהול פרויקטים הוא אבטחת מידע, ללא קשר לסוג הפרויקט. אבטחת מידע צריכה להיות מושרשת במרקם הארגון, וניהול פרויקטים ממלא תפקיד מרכזי בכך. לפרויקטים המשתמשים במסגרות תבניות מומלצת רשימת בדיקה פשוטה וניתנת לחזרה, המראה שאבטחת מידע נשקלת.
המבקרים מחפשים מודעות לאבטחת מידע בכל שלבי מחזור החיים של הפרויקט. זה גם צריך להיות חלק מהחינוך והמודעות המתואמים לאבטחת משאבי אנוש עבור A.6.6.
כדי להוכיח עמידה בתקנת הגנת המידע הכללית (GDPR) וחוק הגנת הנתונים 2018, ארגונים חדשניים ישלבו את A.5.8 עם חובות קשורות לנתונים אישיים וישקלו אבטחה מעצם תכנון, הערכות הגנת מידע (DPIAs) ותהליכים דומים.
יש לכלול דרישות אבטחת מידע אם מערכות מידע חדשות מפותחות או מערכות מידע קיימות משודרגות.
ניתן להשתמש ב-A.5.6 בשילוב עם A.5.8 כאמצעי אבטחת מידע. זה גם ישקול את הערך של המידע בסיכון, שיכול להתאים לתכנית סיווג המידע של A.5.12.
הערכת סיכונים צריכה להתבצע בכל פעם שמפתחת מערכת חדשה לגמרי, או מבוצע שינוי במערכת קיימת. זאת כדי לקבוע את הדרישות העסקיות לבקרות אבטחה.
כתוצאה מכך, יש להתייחס לשיקולי אבטחה לפני בחירת פתרון או תחילת פיתוחו. יש לזהות את הדרישות הנכונות לפני בחירת תשובה.
יש לתאר ולהסכים על דרישות האבטחה במהלך תהליך הרכש או הפיתוח שישמשו כנקודות ייחוס.
זה לא נוהג טוב לבחור או ליצור פתרון ולאחר מכן להעריך את רמת יכולת האבטחה שלו בהמשך. התוצאה היא בדרך כלל סיכונים גבוהים יותר ועלויות גבוהות יותר. זה גם עלול לגרום לבעיות עם החקיקה החלה, כגון GDPR, המעודד פילוסופיית עיצוב מאובטחת וטכניקות כגון הערכות השפעות על פרטיות הגנת מידע (DPIA). המרכז הלאומי לאבטחת סייבר (NCSC) אישר באופן דומה שיטות פיתוח ועקרונות קריטיים מסוימים כהנחיות לשיקול. ISO 27001 כולל גם הנחיית יישום. יש צורך בתיעוד של כל התקנות שבוצעו.
באחריות המבקר לוודא ששיקולי אבטחה ייחשבו בכל שלבי מחזור החיים של הפרויקט. זה לא משנה אם הפרויקט מיועד למערכת חדשה שפותחה או לשינוי מערכת קיימת.
בנוסף, הם יצפו שסודיות, יושרה וזמינות יילקחו בחשבון לפני תחילת תהליך הבחירה או הפיתוח.
תוכל למצוא מידע נוסף על דרישות ISO 27001 ובקרות נספח A ב- מאמן וירטואלי של ISMS.online, המשלים את המסגרות, הכלים וחומר המדיניות שלנו.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
המספר ההולך וגדל של עסקים המבצעים את פעילותם באינטרנט העלה את החשיבות של אבטחת מידע בניהול פרויקטים. כתוצאה מכך, מנהלי פרויקטים מתמודדים עם מספר הולך וגדל של עובדים העובדים מחוץ למשרד ומשתמשים במכשיריהם האישיים לעבודה.
יצירת מדיניות אבטחה עבור העסק שלך תאפשר לך למזער את הסיכון של פריצה או אובדן נתונים. בנוסף, תוכל להפיק דוחות מדויקים על מצב הפרויקט והכספים בכל זמן נתון.
כחלק מתהליך תכנון וביצוע הפרויקט, יש לכלול אבטחת מידע בדרכים הבאות:
המפתח לשמירה על אבטחת הפרויקטים העסקיים שלך הוא להבטיח שמנהלי הפרויקטים שלך מבינים את החשיבות של אבטחת מידע ודבקים בה בחובותיהם.
אינטגרציה של אבטחת מידע ניהול פרויקטים חיוני מכיוון שהוא מאפשר לארגונים לזהות, להעריך ולטפל בסיכוני אבטחה.
שקול את הדוגמה של ארגון המיישם מערכת פיתוח מוצר מתוחכמת יותר.
מערכת פיתוח מוצר חדשה שפותחה ניתנת להערכת סיכוני אבטחת מידע, כולל חשיפה לא מורשית של מידע קנייני של החברה. ניתן לנקוט בצעדים כדי להפחית סיכונים אלו.
כדי לעמוד בתנאי ISO 27001:2022 מתוקן, על מנהל אבטחת המידע לשתף פעולה עם מנהל הפרויקט כדי לזהות, להעריך ולטפל בסיכוני אבטחת מידע כחלק מתהליך ניהול הפרויקט כדי לעמוד בדרישות של תקן ISO 27001:2022 המתוקן. ניהול פרויקט צריך לשלב אבטחת מידע כך שזה לא משהו שנעשה "ל" הפרויקט אלא משהו שהוא "חלק מהפרויקט".
על פי נספח, בקרה 5.8, מערכת ניהול הפרויקט צריכה לדרוש את הדברים הבאים:
כל הפרויקטים, ללא קשר למורכבותם, גודלם, משך הזמן, המשמעת או תחום היישום שלהם, כולל פרויקטי פיתוח ICT, צריכים להיות מוערכים לדרישות אבטחת מידע על ידי מנהל הפרויקט (PM). מנהלי אבטחת מידע צריכים להבין את מדיניות אבטחת המידע ונהלים קשורים וחשיבות אבטחת המידע.
תקן ISO 27001:2022 המתוקן מכיל פרטים נוספים לגבי הנחיות היישום.
In ISO 27001: 2022, הנחיות היישום של אבטחת מידע בניהול פרויקטים עודכנו כדי לשקף יותר הבהרות מאשר ב-ISO 27001:2013. לפי ISO 27001:2013, כל מנהל פרויקט צריך לדעת שלוש נקודות הקשורות לאבטחת מידע. עם זאת, זה הורחב לארבע נקודות ב-ISO 27001:2022.
בקרת 5.8 בנספח A של ISO 27001:2022 אינה חדשה אלא שילוב של בקרות 6.1.5 ו- 14.1.1 ב-ISO 27001:2013.
דרישות הקשורות לאבטחת מידע עבור מערכות מידע חדשות שפותחו או משופרות נדונות בנספח A Control 14.1.1 של ISO 27001:2013.
הנחיות יישום בקרה 14.1.1 של נספח A דומות לבקרה 5.8, העוסקת בהבטחת הארכיטקטורה והעיצוב של מערכות מידע מוגנים מפני איומים ידועים בתוך סביבת ההפעלה.
למרות שאינה בקרה חדשה, נספח A Control 5.8 מביא כמה שינויים משמעותיים לתקן. יתר על כן, שילוב שני הפקדים הופך את התקן ליותר ידידותי למשתמש.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כדי להבטיח אבטחת מידע מיושמת לאורך כל מחזור החיים של כל פרויקט, מנהל הפרויקט אחראי.
עם זאת, לראש הממשלה עשוי להיות מועיל להתייעץ עם קצין אבטחת מידע (ISO) כדי לקבוע אילו דרישות אבטחת מידע נחוצות עבור כל פרויקט.
באמצעות ISMS.online, תוכל לנהל את תהליכי ניהול סיכוני אבטחת המידע שלך בצורה יעילה ואפקטיבית.
דרך פלטפורמת ISMS.online, תוכל לגשת לכלים רבי עוצמה שנועדו לפשט את תהליך התיעוד, ההטמעה, התחזוקה והשיפור של מערכת ניהול אבטחת המידע שלך (ISMS) והשגת תאימות ל-ISO 27001.
ניתן ליצור מערכת מדיניות ונהלים בהתאמה אישית באמצעות חבילת הכלים המקיפה שמספקת החברה. מדיניות ונהלים אלה יותאמו כדי לענות על הסיכונים והצרכים הספציפיים של הארגון שלך. יתר על כך, הפלטפורמה שלנו מאפשר שיתוף פעולה בין עמיתים ושותפים חיצוניים, לרבות ספקים ומבקרי צד שלישי.
בנוסף להערכות DPIA והערכות נתונים אישיות קשורות אחרות, למשל הערכות אינטרסים לגיטימיים (LIAs), ISMS.online מספק מסגרות פשוטות ומעשיות ותבניות לאבטחת מידע בניהול פרויקטים.
ל קבע הדגמה, אנא צור איתנו קשר עוד היום.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
