ISO 27001: 2022 נספח A בקרה 5.9 נקרא מלאי מידע ונכסים נלווים אחרים.
היא מחייבת ארגונים לזהות ולתעד את הנכסים החשובים לפעילותם והסיכונים הנלווים, ולנקוט בצעדים כדי להגן עליהם. זה מבטיח שהנכסים מנוהלים ומפוקחים כראוי, ועוזר להבטיח שהם מאובטחים.
נספח A ל-ISO 27001:2022 מתאר את בקרה 5.9, המסביר כיצד יש ליצור רשימה של מידע ונכסים קשורים, יחד עם בעליהם בהתאמה, ולהתעדכן.
על הארגון להכיר למה יש לו גישה על מנת לנהל את פעולותיו. עליו להיות מודע לנכסי המידע שלו.
IA מקיף הוא חלק מכריע במדיניות אבטחת המידע של כל ארגון. זהו מלאי של כל פריט נתונים שמאוחסן, מעובד או מועבר, כמו גם המיקומים ובקרות האבטחה עבור כל אחד מהם. זה בעצם המקבילה החשבונאית הפיננסית של הגנה על נתונים, המאפשר לארגונים לזהות כל פיסת נתונים.
ניתן להשתמש ב-IA כדי לזהות חולשות בתוכנית האבטחה שלך ולספק מידע להערכה סיכוני סייבר שעלולים להוביל לפרצה. זה יכול להיות גם ראיה להוכיח שנקטת צעדים לזיהוי נתונים רגישים במהלך ביקורת ציות, שעוזר לך להתחמק מקנסות ועונשים.
השמיים מלאי של נכסי מידע צריך לציין מי הבעלים והאחראי לכל נכס, כמו גם את הערך והחשיבות של כל פריט לפעילות הארגון.
זה חיוני לשמור על מלאי עדכני כדי להבטיח שהם משקפים במדויק שינויים בתוך הארגון.
לניהול נכסי מידע יש מסורת ארוכה בתכנון המשכיות עסקית (BCP), התאוששות מאסון (DR) והכנה לתגובה לאירועים.
זיהוי מערכות קריטיות, רשתות, מסדי נתונים, יישומים, זרימות נתונים ורכיבים אחרים הדורשים אבטחה הוא השלב הראשון בכל אחד מהתהליכים הללו. בלי לדעת מה צריך להגן, והיכן הוא ממוקם, אתה לא יכול לתכנן איך להגן עליו.
בקש ציטוט
הבקרה נועדה להכיר בזו של הארגון מידע ונכסים נלווים כדי להבטיח אבטחת מידע ולציין בעלות ראויה.
נספח A ל-ISO 27001:2022 מתאר את בקרה 5.9, המתווה את המטרה וההנחיות ליישום ליצירת מלאי של מידע ונכסים אחרים ביחס למסגרת ISMS.
ערוך מלאי של כל המידע והנכסים המשויכים, סווגו לקטגוריות, זהה בעלים ותעד בקרות קיימות/נדרשות.
זהו מהלך חיוני להבטיח שכל חפצי הנתונים מאובטחים כראוי.
כדי לעמוד בקריטריונים של ISO 27001:2022, עליך לזהות את המידע ושאר הנכסים הקשורים בארגון שלך. לאחר מכן, עליך להעריך את המשמעות של פריטים אלה ביחס לאבטחת מידע. במידת הצורך, שמור רישומים במלאי ייעודי או קיים.
הגודל והמורכבות של ארגון, בקרות ומדיניות קיימות, וסוגי המידע והנכסים שבהם הוא משתמש ישפיעו על התפתחות המלאי.
הבטחת מלאי המידע ושאר הנכסים המשויכים הוא מדויק, מעודכן, עקבי ועושר בקנה אחד עם מלאי אחר הוא המפתח, לפי בקרה 5.9. כדי להבטיח דיוק, אפשר לשקול את הדברים הבאים:
ייתכן שארגונים מסוימים יצטרכו להחזיק מלאי מרובים למטרות שונות. לדוגמה, ייתכן שיש להם מלאי מיוחד עבור רישיונות תוכנה או מכשירים פיזיים כגון מחשבים ניידים וטאבלטים.
חיוני לבדוק מעת לעת את כל המלאי הפיזי הכולל התקני רשת כגון נתבים ומתגים על מנת לשמור על דיוק המלאי עבור מטרות ניהול סיכונים.
למידע נוסף על מילוי בקרה 5.9, יש לעיין במסמך ISO 27001:2022.
ב-ISO 27001:2022, 58 פקדים מ-ISO 27001:2013 תוקנו ו-24 פקדים נוספים אוחדו. נוספו 11 פקדים חדשים, וחלקם נמחקו.
לכן, לא תמצא נספח א' בקרה 5.9 - מלאי מידע ונכסים נלווים אחרים – בגרסת 2013, כפי שהיא כעת שילוב של ISO 27001:2013 נספח A 8.1.1 - מלאי נכסים - ו ISO 27001:2013 נספח A 8.1.2 – בעלות על נכסים – בגרסת 2022.
נספח A ל-ISO 27001:2022 מתאר בקרה 8.1.2, בעלות על נכסים. זה מבטיח שכל נכסי המידע מזוהים בבירור ובבעלותם. לדעת מי הבעלים של מה מסייעת לקבוע אילו נכסים זקוקים להגנה ומי דורש אחריות.
ל-ISO 27001:2013 ול-ISO 27001:2022 יש בקרים דומיםעם זאת, נספח A בקרה 5.9 של האחרון הורחב כדי לספק פרשנות פשוטה יותר. לדוגמה, הנחיות היישום לגבי בעלות על נכסים בשליטה 8.1.2 מכתיבה כי בעל הנכס צריך:
סעיף הבעלות בשליטה 5.9 הורחב לכלול תשע נקודות, במקום ארבע המקוריות. בוצעו תיקונים באיות ובדקדוק, והטון שונה לסגנון מקצועי וידידותי. יתירות וחזרות בוטלו והכתיבה היא כעת בסגנון פעיל.
בעל הנכס צריך לקחת אחריות על הפיקוח המתאים על נכס לאורך מחזור חייו, ולוודא כי:
מיזוג שני הפקדים הללו לאחד מקל על הבנת המשתמש.
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
השינויים האחרונים ב-ISO 27001 אינם משפיעים על ההסמכה הנוכחית שלך מול תקני ISO 27001. רק שדרוגים ל לתקן ISO 27001 יכולה להיות השפעה על אישורים קיימים. גופי ההסמכה יעבדו עם הגופים המאשרים כדי לתכנן תקופת מעבר שתעניק לארגונים עם תעודות ISO 27001 מספיק זמן לעבור מגרסה אחת לאחרת.
יש לנקוט בצעדים אלה כדי לעמוד בגרסה המתוקנת:
במהלך המעבר לתקן החדש, תהיה לנו גישה לשיטות מומלצות ואיכויות חדשות לבחירת בקרה, מה שמאפשר תהליך בחירה יעיל ויעיל יותר.
אתה צריך להתמיד בשיטה מבוססת סיכונים כדי להבטיח שרק הבקרות הרלוונטיות והיעילות ביותר ייבחרו עבור הארגון שלך.
ISMS.online אידיאלי ליישום מערכת ניהול אבטחת המידע ISO 27001 שלך. זה תוכנן במיוחד כדי לעזור לחברות לעמוד בדרישות התקן.
השמיים הפלטפורמה מיישמת שיטה מוכוונת סיכון בשילוב עם שיטות עבודה מומלצות ותבניות מובילות בתעשייה כדי לעזור לך לברר את הסיכונים הניצבים בפני הארגון שלך ואת הבקרות הנדרשות לניהולם. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות.
אתה יכול לנצל את היתרונות של ISMS.online כדי לבנות ISMS, ליצור סט מותאם אישית של מדיניות ותהליכים, לעמוד בקריטריונים של ISO 27001 ולקבל עזרה מיועצים מנוסים.
פלטפורמת ISMS.online מבוססת על Plan-Do-Check-Act (PDCA), הליך איטרטיבי בן ארבעה שלבים לשיפור מתמיד, העונה על כל הדרישות של ISO 27001:2022. זה פשוט. צור איתנו קשר עכשיו כדי לארגן את ההפגנה שלך.
