ISO 27001:2022 נספח A 6.4 מחייב ארגונים להקים תהליך משמעתי כדי לפעול כגורם מרתיע נגד אבטחת מידע הפרות.
יש ליישם תקשורת פורמלית של תהליך זה ולקבוע עונש המתאים לעובדים ולבעלי עניין אחרים המפרים את מדיניות אבטחת המידע.
מֵידָע מדיניות אבטחה הפרות מהוות הפרה של התקנות המסדירות את הטיפול התקין במידע. ארגונים קובעים מדיניות זו כדי להגן על נתונים סודיים, קנייניים ואישיים, כגון רישומי לקוחות ומספרי כרטיסי אשראי. בנוסף, מדיניות אבטחת מחשבים כלולה גם באלה כדי להבטיח שהנתונים המאוחסנים במחשבים יישארו מאובטחים ושלמים.
אם אתה משתמש באימייל של החברה כדי לשלוח הודעות אישיות ללא רשות מהממונה עליך, הדבר עלול להוות הפרה של מדיניות החברה. כמו כן, אם תטעה בעת שימוש בציוד או בתוכנה של המשרד, וכתוצאה מכך נזק לציוד או לנתונים המאוחסנים בו, מדובר גם בהפרה של מדיניות אבטחת המידע.
אם עובד מפר את מדיניות אבטחת המידע של ארגון, עלולים להיגרם צעדים משמעתיים או פיטורים. במצבים מסוימים, עסק עשוי לבחור שלא לפטר עובד שמפר את מדיניות השימוש במחשב שלו, אלא לנקוט בצעדים מתאימים אחרים כדי לעצור הפרות נוספות של מדיניות החברה.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
מטרת ההליך המשמעתי היא לוודא שאנשי צוות וכל בעלי עניין אחרים מכירים בתוצאות של הפרת מדיניות אבטחת המידע.
נספח A 6.4 נועד הן להרתיע ולסייע בטיפול בכל הפרות של מדיניות אבטחת מידע, תוך הבטחת העובדים ובעלי עניין קשורים אחרים מודעים להשלכות.
תוכנית אבטחת מידע יעילה חייבת לכלול את היכולת לנהל אמצעי משמעת מתאימים לעובדים המפרים את תקנות אבטחת המידע. פעולה זו מבטיחה שאנשי הצוות יבינו את ההשלכות של התעלמות מתקנות שהוגדרו מראש, ובכך מקטין את הסבירות לדליפת נתונים מכוונת או בשוגג.
דוגמאות לפעילויות שניתן לכלול בעת אכיפת שליטה זו הן:
יש ליישם במהירות את האמצעים המשמעתיים המפורטים במסגרת אירוע, כדי למנוע הפרות נוספות של מדיניות ארגונית.
לפגוש את דרישות נספח א' 6.4, יש לנקוט צעדים משמעתיים כאשר יש ראיות לאי ציות למדיניות, לנהלים או לתקנות של הארגון. זה כולל גם כל חקיקה ותקנות רלוונטיות.
לפי נספח A 6.4, התהליך המשמעתי הפורמלי צריך לקחת בחשבון את המרכיבים הבאים כאשר נוקטים בגישה מדורגת:
שקול את כל ההתחייבויות המשפטיות, החקיקתיות, הרגולטוריות, החוזיות והתאגידיות הרלוונטיות, כמו גם כל גורם רלוונטי אחר, בעת נקיטת פעולה.
ISO 27001:2022 נספח A 6.4 מחליף את ISO 27001:2013 נספח A 7.2.3 בגרסה המתוקנת של 2022 של ISO 27001.
תקן ISO 27001:2022 משתמש בשפה ידידותית למשתמש כדי להבטיח שמשתמשי התקן יוכלו להבין את תוכנו. ישנם שינויים קלים בניסוח, אולם ההקשר והתוכן הכלליים נשארים זהים.
ההבחנה היחידה שתבחין היא שמספר הבקרה של נספח A שונה מ-7.2.3 ל-6.4. יתרה מכך, לתקן 2022 יש יתרון נוסף של טבלת תכונות והצהרת מטרה אשר נעדרים בגרסת 2013.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
ברוב המקרים, התהליך המשמעתי מפוקח על ידי מנהל המחלקה או נציג משאבי אנוש. זה לא נדיר שנציג משאבי האנוש נותן את האחריות לפעולות משמעתיות למישהו אחר בארגון, כמו מומחה אבטחת מידע.
המטרה העיקרית של צעדים משמעתיים היא להגן על הארגון מפני כל הפרה נוספת מצד איש הצוות. עוד מטרתו היא להרתיע כל התרחשות נוספת של אירועים דומים על ידי לוודא שכל העובדים מודעים למשמעות של פרצות אבטחת מידע.
חיוני לכל ארגון להבטיח שננקטים צעדים משמעתיים כאשר איש צוות הפר את המדיניות או הנהלים שלו. כדי להבטיח זאת, יש לקבוע הנחיה ברורה כיצד לטפל במצבים כאלה, לרבות הנחיות כיצד לבצע חקירות והפעולות שיש לנקוט לאחר מכן.
אם אתה חושב כיצד השינויים הללו משפיעים עליך, הנה סיכום תמציתי של הנקודות הקריטיות ביותר:
אם אתה מכוון להרוויח הסמכת ISMS, עליך להעריך את אמצעי האבטחה שלך כדי להבטיח שהם עומדים בתקן המתוקן.
כדי לקבל תובנה לגבי ההשפעה שיכולה להיות ל-ISO 27001:2022 החדש על נהלי אבטחת הנתונים שלך והסמכת ISO 27001, אנא עיין במדריך ה-ISO 27001:2022 החם שלנו.
ISMS.online היא המובילה תוכנת מערכת ניהול ISO 27001, מסייע בעמידה בתקן ISO 27001. זה מסייע לחברות להבטיח שמדיניות האבטחה והנהלים שלהן תואמים את הדרישה.
זֶה פלטפורמה מבוססת ענן מציעה מגוון שלם של כלים כדי לעזור לארגונים להקים מערכת ניהול אבטחת מידע (ISMS) המבוססת על ISO 27001.
כלים אלה מורכבים מ:
ISMS.Online מספק למשתמשים את היכולת:
ISMS.Online מציע עצות כיצד לבצע את ה-ISMS שלך בצורה אופטימלית, עם הדרכה לגבי יצירת מדיניות ופרוטוקולים הקשורים ניהול סיכונים, הכשרה למודעות לאבטחת הצוות והכנה לתגובה לאירועים.
פנה אלינו עכשיו כדי לקבוע הפגנה.
ההצלחה האחרונה שלנו בהשגת הסמכות ISO 27001, 27017 ו-27018 נבעה במידה רבה מ-ISMS.online.
