ISO 27001:2022 נספח A 6.8 מחייב ארגונים ליצור מערכת המאפשרת לצוות לדווח אבטחת מידע אירועים שהם צופים או חושדים בהם באופן מיידי ובאמצעות הערוצים המתאימים.
פרצות אבטחת מידע (הידועות גם כאירועי אבטחת מידע) נמצאות במגמת עלייה, בתדירות ובעוצמה גוברת. למרבה הצער, רבים מההתרחשויות הללו אינן מורגשות.
גורמים רבים יכולים להפעיל אירועי אבטחת מידע:
לא משנה עד כמה הרשת שלכם מאובטחת, תמיד יהיה סיכון כלשהו להתרחשות אירוע אבטחת מידע. כדי למזער סיכון זה, השתמש בכלים ובטכניקות שונות, כגון דיווח, כדי לזהות איומים פוטנציאליים לפני שהם יכולים לגרום נזק כלשהו.
דיווח על אירועי אבטחת מידע הוא מרכיב מרכזי בכל אסטרטגיית אבטחת סייבר. הטמעת הטכנולוגיה הטובה ביותר להגנה על נתונים היא דבר אחד, אבל הבנת המתרחש היא דבר אחר.
דיווח על אירועי אבטחת מידע הוא תהליך של ציון תקריות, הפרות ואירועים מבוססי סייבר אחרים המתרחשים בארגון כדי לבחון אותם ולתכנן אסטרטגיות למניעת התרחשות חוזרות. אסטרטגיות תיעוד, ניתוח ומניעה הם כולם מרכיבים חיוניים.
דיווח על אירועי אבטחת מידע חיוני לכל ארגון; בלעדיו, לא יתקיים כל ידיעה האם הרשת נחדרה או אם קיימים סיכונים פוטנציאליים אחרים. ללא הבנה זו, לא ניתן לנקוט אמצעים למניעת תקריות עתידיות, ולא ניתן לזהות ולתקן התקפות מוקדמות יותר.
חיוני לטפל בכל אירוע במהירות וביעילות. זמן תגובה חיוני לשמירה על העסק ולמזעור ההשפעות על לקוחות ובעלי עניין אחרים.
נספח A 6.8 של ISO 27001:2022 נוצר כדי להשיג זאת.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
מטרת ISO 27001:2022 נספח א' בקרה 6.8 היא להקל על דיווח בזמן, עקבי ויעיל של אירועי אבטחת מידע שזוהו על ידי צוות.
הבטחה שאירועים מדווחים במהירות ומתועדים בצורה מדויקת היא קריטית כדי להבטיח שפעילויות תגובה לאירועים ואחריות ניהול אבטחה אחרים נתמכות כראוי.
לארגונים צריכה להיות תוכנית דיווח על אירועי אבטחת מידע בהתאם ל-ISO 27001:2022 נספח A Control 6.8 כדי לזהות ולצמצם אירועים שעלולים להשפיע על אבטחת המידע. התוכנית צריכה לאפשר קבלה, הערכה ותגובה לתקריות מדווחות.
ISO 27001: 2022 נספח א' בקרה 6.8 מתאר את המטרה וההנחיות לבניית מערכת דיווח אירועי אבטחת מידע בהתאם למסגרת ISO 27001.
בקרה זו נועדה ל:
סקור באופן קבוע תקריות ומגמות כדי לזהות בעיות לפני שהן הופכות לחמורות (למשל על ידי מעקב אחר מספר האירועים או משך הזמן של כל אירוע) צריך להיות חלק מרכזי ביישום נספח A 6.8.
ISO 27001:2022 נספח A 6.8 דורש את הדברים הבאים:
לפי נספח A 6.8, אירועים הדורשים דיווח אבטחת מידע כוללים:
זאת ועוד, אין באחריות הצוות המדווח לבדוק את הפגיעות או האפקטיביות של אירוע אבטחת המידע. יש להשאיר את זה לצוות המוסמך לטפל בכך שכן הדבר עלול לגרום לאחריות משפטית לעובד.
ראשית, נספח A 6.8 ב-ISO 27001:2022 אינו בקרה חדשה, אלא, זהו מיזוג של נספח A 16.1.2 ונספח A 16.1.3 ב-ISO 27001:2013. שני הפקדים הללו תוקנו ב-ISO 27001:2022 כדי להפוך אותו לנגיש יותר מ-ISO 27001:2013.
יש ליידע את העובדים והקבלנים באחריותם לדווח מיידית על אירועי אבטחת מידע ועל התהליך לשם כך, לרבות איש הקשר אליו יש להפנות דיווחים.
עובדים וקבלנים צריכים לדווח מיידית על כל חולשה באבטחת מידע לנקודת המגע, על מנת למנוע אירועי אבטחת מידע. מערכת הדיווח צריכה להיות פשוטה, נגישה ובר השגה ככל האפשר.
אתה יכול לראות שהמלצות שש ושמונה אוחדו לאחת בתקן ISO 27001:2022 המתוקן.
נספח A 6.8 כולל שני שיקולים נוספים שאינם קיימים בנספח A 16.1.2 ובנספח A 16.1.3. אלו הם:
בסופו של דבר, שתי האיטרציות די דומות. ההבדלים הגדולים ביותר הם השינוי של מספר הבקרה, שם הבקרה והשפה הנגישה יותר למשתמשים. יתרה מכך, תקן ISO 27001:2022 כולל טבלת תכונות ומטרת בקרה, תכונות שהתעלמו מהן בגרסת 2013.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
אבטחת מידע היא מאמץ משותף וכל חברי הארגון צריכים להיות מעורבים. עם זאת, ישנם מספר אנשים המשמשים כקו הגנה ראשון במהלך אירועים ביטחוניים. אנשים אלו אחראים לברר את איש הקשר הנכון לדיווח ולניהול התגובה לאירוע על מנת למנוע כל הישנות.
מי הם המגיבים הראשונים? זה משתנה בהתאם לארגון, אך כולל בדרך כלל:
השמיים קצין אבטחת מידע ראשי (CISO) אחראי על אבטחת המידע בארגון שלהם. הם עובדים בשיתוף עם ההנהלה הבכירה כדי להפחית ביעילות לנהל סיכונים כלשהם.
השמיים מנהל אבטחת מידע מפקח באופן שוטף על פעילויות יומיומיות, כגון ניטור מערכות וטיפול בתקריות, לרבות הגשת כרטיסים לצוותים אחרים.
השמיים מנהל משאבי אנוש ראשי (CHRO) יש אחריות כוללת לנושאי משאבי אנוש, המכסה גיוס עובדים, שימור עובדים, ניהול הטבות ותוכניות הכשרת עובדים. הם ממלאים תפקיד מפתח בקבלת החלטות גיוס וטיפוח המודעות בקרב הצוות לגבי דיווח על אירועי אבטחה.
כדי לעמוד בתקן ISO 27001:2022, פשוט ודא שתהליכי אבטחת המידע שלך יישארו מעודכנים. לא בוצעו שינויים מהותיים.
אם רכשת א ISO 27001 הסמכה, הגישה הנוכחית שלך לניהול אבטחת מידע צריכה להתאים לסטנדרטים החדשים. ודא שדיווח על אירועי אבטחת מידע משולב באסטרטגיה של החברה שלך.
התחל מחדש, תצטרך להתייחס לפרטים הניתנים בתקן המתוקן.
עיין במדריך ISO 27001:2022 שלנו למידע נוסף על האופן שבו תיקוני נספח A 6.8 ישפיעו על העסק שלך.
ISO 27001 הוא מסגרת לניהול אבטחת מידע המסייעת לארגונים בהקמת ISMS מוצלח. תקן זה מתאר דרישות לבניית ISMS בתוך ארגון.
ב-ISMS.online, הפלטפורמה מבוססת הענן שלנו מסייעת בבנייה, שמירה והערכת מערכת ניהול אבטחת מידע מבוססת תקני ISO 27001 (ISMS). אנו מציעים תבניות וכלים הניתנים להתאמה אישית כדי לעמוד בתקנות ISO 27001.
פלטפורמה זו מאפשרת לך לבנות ISMS העומד בתקן הבינלאומי ולהשתמש ברשימות הבדיקה המסופקות כדי להבטיח שניהול אבטחת המידע שלך עומד בתקן. יתרה מכך, אתה יכול לנצל את ISMS.online להערכת סיכונים ופגיעות כדי לזהות נקודות תורפה בתשתית הקיימת שלך הדורשות טיפול דחוף.
ISMS.online מספק את המשאבים להפגין עמידה בתקן ISO 27001. באמצעות כלים אלה, תוכל להוכיח עמידה בתקן המוכר הבינלאומי.
צור איתנו קשר עכשיו כדי לשריין הפגנה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
