ISO 27001:2022 נספח A 6.5 מחייב ארגונים לציין תפקידים ואחריות של אבטחת מידע שיישארו אפקטיביים גם אם צוות עוזב או יוקצה מחדש. להעביר את החובות והחובות הללו לעובד ולכל צד שלישי רלוונטי.
עובדים מחויבים על פי חוק לשמור על סודיות כל מידע שהמעסיק שלהם מפקיד בידיהם. חיוני לעובדים להבין את הדרישות להגנה על נתוני המעסיק שלהם.
מעסיקים זכאים בדרך כלל לצפות מהעובדים שלהם לשמור על נתונים סודיים ולא לנצל אותם למטרות רווח אישי, למשל באמצעות סחר בפנים או פעילויות בלתי חוקיות אחרות.
מספר דוגמאות לחובות ואחריות של אבטחת מידע כוללות:
חיוני שארגונים יהיו מודעים לחובותיהם בעת ניהול נתונים אישיים על מנת להימנע מהפרה של תקנות פרטיות כלשהן, שכן ההשלכות הן על העסק והן על הצוות שלו עלולות להיות קשות.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
נספח א יש ליישם את סעיף 6.5 עם עזיבת עובד או קבלן מהארגון, או כאשר חוזה מסתיים לפני סיום תוקפו.
בקרה זו שומרת על האינטרסים של אבטחת המידע של הארגון במקרה של שינויי העסקה או הפסקת חוזה.
נספח א' זה מגן מפני האפשרות של עובדים לנצל את הגישה שלהם למידע ולתהליכים סודיים למטרות רווח אישי או כוונת זדון, במיוחד לאחר עזיבתם את הארגון או העבודה.
ISO 27001: 2022 נספח א' 6.5 מבקש להגן על האינטרסים של אבטחת המידע של הארגון במקרה של שינוי או סיום העסקה או חוזים. זה מכסה עובדים, קבלנים וצדדים שלישיים שמקבלים גישה לנתונים סודיים.
הערך אם אנשים כלשהם (כולל בעלי חוזה) עם גישה לנתונים האישיים הרגישים שלך עוזבים את הארגון שלך ונקוט אמצעים כדי להבטיח שהם לא ישמרו ויתמידו בגישה לנתונים האישיים הרגישים שלך לאחר שהם עוזבים.
אם אתה מזהה שאדם עוזב וקיים סיכוי שמידע אישי סודי עלול להיחשף, עליך לנקוט בצעדים מתאימים לפני שהם הולכים או מהר ככל האפשר לאחר מכן כדי להבטיח שזה לא יקרה.
כדי לעמוד בקריטריונים של נספח A 6.5, חוזה העבודה או הסכם העבודה של אדם צריך לפרט כל אחריות אבטחת מידע וחובות שעדיין עומדות לאחר סיום הקשר.
אחריות אבטחת מידע עשויה להיכלל בחוזים או הסכמים אחרים הנמשכים יותר מתקופת העסקתו של העובד.
עם עזיבת תפקיד או החלפת מקום עבודה, על בעל התפקיד לוודא שאחריות האבטחה שלו מועברת וכל אישורי הגישה נמחקים ומוחלפים.
לפרטים נוספים על תהליך זה, עיין במסמך התקן ISO 27001:2022.
ISO 27001:2022 נספח A 6.5 הוא התאמה ל-ISO 27001:2013 נספח A 7.3.1 במקום בקרת נספח א' חדשה.
היסודות של שני הפקדים האלה זהים, אם כי יש פערים קטנים. לדוגמה, הנחיות היישום שונות מעט בשתי הגרסאות.
החלק הראשון של נספח A 7.3.1 ב-ISO 27001:2013 מורה שארגונים חייבים:
עם הפסקת העבודה, חיוני למסור את הדרישות הנדרשות לאבטחת המידע והחוק, כמו גם את כל הסכמי הסודיות החלים ותנאי העסקה שעשויים להימשך לתקופה מוגדרת לאחר סיום ההתקשרות של העובד או הקבלן.
אותו סעיף נספח A 6.5 של ISO 27001:2022 קובע כי:
הנוהל לניהול סיום או שינוי העסקה צריך לפרט אילו תחומי אחריות וחובות אבטחת מידע נשארים בתוקף לאחר סיום או שינוי. זה עשוי לכלול שמירה על סודיות מידע, קניין רוחני וידע אחר שנרכש, כמו גם כל אחריות אחרת שנקבעה בהסכם סודיות.
האחריות והחובות שנותרו בתוקף לאחר סיום העסקתו, החוזה או ההסכם של אדם צריכות להיות מפורטים בתנאים וההגבלות שלהם. בנוסף, כל חוזים או הסכמים שנפרשים על פני תקופה מוגדרת מעבר לסיום העסקתו של הפרט עשויים לכלול אחריות לאבטחת מידע.
למרות ההבדל בניסוח, לשתי הבקרות נספח A יש מבנה ומטרה דומים במידה רבה בהקשרים שלהם. כדי להפוך את נספח A 6.5 לידידותי יותר למשתמש, השפה הופשטה, ומאפשרת למשתמשים להבין טוב יותר את תוכנה.
גרסת 2022 של ISO 27001 כוללת הצהרת מטרה וטבלת תכונות עבור כל בקרה, המסייעת למשתמשים בהבנתם וביישום שלהם. זה חסר במהדורת 2013.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
בהתאם להמלצה של ISO 27001:2022 נספח A 6.5, משאבי אנוש בדרך כלל לוקח אחריות על כל תהליך הסיום ברוב הארגונים, תוך שיתוף פעולה עם הממונה על הפרט כדי להבטיח אבטחת מידע כחלק מהנהלים.
כוח אדם המסופק על ידי גורם חיצוני (לדוגמה, ספק) צריך להיות מופסק בהתאם לחוזה שנקבע בין הארגון לבין הגורם החיצוני.
תקן ISO 27001:2022 נותר כמעט ללא שינוי, רק עודכן לשיפור השימושיות. אף ארגון שעומד כעת בתקן ISO 27001:2013 לא צריך לנקוט באמצעים נוספים כדי לשמור על תאימות.
כדי לעמוד בשינויים ב-ISO 27001:2022, הארגון יצטרך לבצע רק שינויים קלים בשיטות ובתהליכים הקיימים שלו, במיוחד אם הוא שואף לחדש את ההסמכה.
חברות יכולות לרתום את ISMS.online כדי לסייע בעמידה בתקן ISO 27001:2022. פלטפורמה זו מפשטת את תהליך הניהול, העדכון, הבדיקה וההערכה של פרוטוקולי האבטחה שלהם.
הפלטפורמה מבוססת הענן שלנו מפשט את ניהול ISMS, המאפשר לך לפקח ביעילות על ניהול סיכונים, מדיניות, תוכניות, נהלים ועוד, הכל ממקור אחד. הפלטפורמה פשוטה והממשק הידידותי שלה מקל על האיסוף שלה.
ISMS.online מאפשר לארגון שלך:
אם אתה מפעיל עסק הדורש עמידה בתקן ISO 27001, ISMS.Online מספק מבחר מקיף של תכונות כדי לאפשר לך לבצע משימה חיונית זו.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
