- לִרְאוֹת ISO 27002:2022 בקרה 6.3 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 7.2.2 לקבלת מידע נוסף.
מהו ISO 27001:2022 נספח A 6.3?
ISO 27001: 2022, נספח א' 6.3, מודעות, חינוך והדרכה לאבטחת מידע, מדגיש את הצורך של הצוות לקבל הדרכה מתאימה באבטחת מידע, לרבות רענון מדיניות שוטף הרלוונטי לתפקידיהם.
הסבר על מודעות, חינוך והדרכה לאבטחת מידע
מודעות, חינוך והכשרה לאבטחת מידע (מודעות לאבטחת IT) כרוכים במתן מידע למשתמשים על המשמעות של אבטחת מידע והשראה שלהם לשפר את שיטות אבטחת המחשב שלהם.
יש ליידע את המשתמשים על סיכוני האבטחה הפוטנציאליים הקשורים לפעילותם וללמוד כיצד להתגונן מפניהם.
מודעות, חינוך והכשרה לאבטחת מידע חיוניים להצלחתו של כל ארגון. כל הצוות חייב להבין את המשמעות של אבטחת מידע ואת ההשלכות שיש לה על כולם.
ככל שהעובדים מבינים יותר כיצד להגן על עצמם מפני סכנות סייבר, כך הארגון שלך יהיה בטוח יותר.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
מהי המטרה של ISO 27001:2022 נספח A 6.3?
המטרה של ISO 27001:2022 נספח A 6.3 היא להבטיח שאנשי צוות ומחזיקי עניין רלוונטיים מיודעים ומשכילים כראוי לעמוד בהתחייבויותיהם לאבטחת מידע.
ISO 27001:2022 נספח A 6.3 מפרט את מגוון הפעילויות הנחוצות כדי להבטיח לאנשי הצוות את הידע והיכולות הדרושים לפעול במסגרת אבטחת המידע של הארגון. בראש ובראשונה, נספח א' בקרה זה מתמקד בהעלאת המודעות למשמעות של אבטחת מידע, תמיכה בפרקטיקה טובה ועידוד התאמה למדיניות ולתקנות רלוונטיות.
נספח א' 6.3 מוסבר
חינוך, מודעות והכשרה לאבטחת מידע הם מרכיבים חיוניים באסטרטגיית ניהול הסיכונים של ארגון ויש לשלב אותם במדיניות האבטחה. על ידי מתן הידע והכלים הדרושים לעובדים, ארגונים יכולים להבטיח שאמצעי האבטחה שלהם יעילים.
ISO 27001:2022 נספח A 6.3 מתאר את הצורך לעסקים לקיים תוכנית מודעות לאבטחת מידע כדי להעניק לכל הצוות את הידע והיכולות המתאימים לשמירה על משאבי מידע. הוא נותן עצות לגבי מה צריך לכלול בתוכנית מודעות פרודוקטיבית.
ייתכן שהארגון יצטרך לספק הכשרה למודעות אבטחה לפחות פעם בשנה, או בהתאם להערכת הסיכונים, לכל הצוות עם גישה לנכסי מידע רגישים או למערכות מידע המאחסנות, מעבדות או משדרות נתונים רגישים.
מה כרוך ואיך לעמוד בדרישות
ארגונים חייבים ליישם תהליך המבטיח שהעובדים עברו הכשרה נאותה לבצע את תפקידם בצורה בטוחה ומאובטחת, מבלי לפגוע באבטחת המידע. ההדרכה יכולה להתבצע במפגשים, או באמצעות משאבים מקוונים כגון סרטונים או סמינרים מקוונים. נספח A 6.3 מכתיב זאת.
יש לפתח תוכניות מודעות, חינוך והכשרה לאבטחת מידע בהתאם למדיניות הארגון, מדיניות ספציפית לנושא ונהלי אבטחה רלוונטיים. זה צריך לשקול את המידע שצריך הגנה ואת בקרות האבטחה במקום כדי להגן עליו, וצריך להתקיים באופן קבוע.
הצגת מודעות, חינוך והכשרה הן לעובדים החדשים והן לאלו העוברים לתפקידים הזקוקים לרמות שונות של אבטחה מועילה.
קמפיין מודעות צריך לכלול מספר פעילויות כדי להגביר את ההבנה. זה יכול לכלול קמפיינים, חוברות, פוסטרים, ניוזלטרים, אתרי אינטרנט, מפגשי מידע, תדרוכים, מודולי למידה אלקטרונית ומיילים.
לפי נספח A 6.3, תוכנית זו צריכה לכלול:
- ההנהלה מוקדשת להבטחת אבטחת מידע בכל הארגון.
- היכרות והקפדה על נהלי אבטחת המידע הרלוונטיים, לרבות מדיניות האבטחה וכל מדיניות, תקנות, חוקים, חוזים והסכמים נוספים הנוגעים לאבטחת מידע.
- אחריות אישית על מעשיו ושל חוסר המעש, אחריות להגנה על מידע השייך לארגון ולבעלי העניין שלו; זה חיוני.
- נהלי אבטחה בסיסיים כמו דיווח על אירועי אבטחת מידע (ראה נספח A 6.8) ובקרות בסיס כגון אבטחת סיסמאות יש להקפיד על.
- נקודות ומשאבים ליצירת קשר עם אבטחת מידע, כולל חומרים נוספים למודעות לאבטחת מידע.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 אינו בקרה חדשנית לחלוטין. גרסה זו של ISO 27001, שפורסמה באוקטובר 2022, מעדכן את הגרסה הקודמת ISO 27001:2013.
ISO 27001:2013 נספח A בקרת 7.2.2 חסרה את טבלת המאפיינים והצהרת המטרה המפורטים ב-ISO 27001:2022 נספח A בקרה 6.3.
למרות השונות במספרי הבקרה, נראה שאין הבחנות אחרות בין שני בקרות נספח A. בעוד שהנוסח של שני בקרות נספח א' משתנה, משמעותם ומטרתם נשארים זהים.
נספח A Control 6.3 תוכנן להיות ידידותי יותר למשתמש, ולאפשר לאנשים להבין טוב יותר את תוכנו.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מי אחראי על התהליך הזה?
תגובה זו תלויה בארגון שלך. צוותי אבטחה של ארגונים רבים מנהלים את תודעת אבטחת המידע, ההוראה וההדרכה שלהם. עם זאת, חלק מהארגונים מפקידים במחלקת משאבי אנוש או סניף אחר לטפל בזה.
הבטחה שמישהו לוקח אחריות על גיבוש וביצוע תוכנית המודעות לאבטחה של הארגון שלך היא חיונית. על מנהל אבטחת המידע לפקח על אדם/מחלקה זו (אם שונה מהם).
אדם זה צריך להיות בעל ידע מעמיק באבטחת מידע ולהיות מסוגל לשוחח עם הצוות לגבי פרוטוקולי אבטחה שונים. יתר על כן, הם צריכים להיות מסוגלים ליצור תוכן עבור תוכניות ההכשרה שלך ולערוך הדרכה חוזרת לצוות.
חיוני להבין שאבטחת מידע אינה רק חובתו של ה-IT. כל העובדים צריכים להיות אחראים. חברות צריכות ליצור צוות המוקדש לאבטחה, אך עליהן גם להבטיח שכולם יבינו את המשמעות של סודיות ואמינות.
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןמה המשמעות של השינויים הללו עבורך?
ISO 27001:2022 נספח A 6.3 הוא עדכון של ISO 27001:2013 נספח A 7.2.2 ולא בקרת נספח A חדשה. כתוצאה מכך, רוב הארגונים לא ידרשו לשנות דבר.
אם כבר יישמת את גרסת 2013 של ISO 27001, עליך להעריך אם השינויים הללו רלוונטיים לחברה שלך. באופן דומה, אם אתה מתכנן האיזמים הסמכה, עליך לבדוק את תהליכי האבטחה שלך כדי להבטיח שהם עומדים בתקן המתוקן.
כיצד ISMS.Online עוזר
ISMS.online מספק פתרון מקיף ליישום ISO 27001:2022. זוהי פלטפורמה מבוססת אינטרנט המאפשרת לארגונים להוכיח את תאימותם לתקני ISO 27001 באמצעות תהליכים, נהלים ורשימות תיוג יעילים.
פלטפורמה זו לא רק מקלה על היישום של ISO 27001 אלא גם מספקת משאב מצוין להכשרת אנשי אבטחת מידע ותיעוד כל המאמצים.
היתרונות של השימוש ב-ISMS.Online הם רבים:
- פלטפורמה זו קלה לשימוש וניתן לגשת אליה מכל מכשיר.
- זה מתכוונן לחלוטין כדי להתאים לדרישות שלך.
- תהליכי עבודה ותהליכים מותאמים אישית שיתאימו לדרישות העסקיות שלך.
- משאבי הדרכה כדי לסייע לאנשי צוות חדשים להשיג מיומנות מהר יותר.
- הספרייה מכילה תבניות למסמכים שונים, לרבות מדיניות, נהלים, תוכניות ורשימות תיוג.
ISMS.online מייעל את יישום של ISO 27001, המציע את כל המשאבים, המידע והכלים הדרושים לך במקום אחד. רק כמה לחיצות על העכבר שלך הן כל מה שצריך כדי להבטיח שה-ISMS שלך עומד בתקן.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
קפוץ לנושא
