- לִרְאוֹת ISO 27002:2022 בקרה 7.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 11.1.1 לקבלת מידע נוסף.
מהו ISO 27001:2022 נספח A 7.1?
ISO 27001: 2022 נספח A 7.1 מחייב ארגונים להקים היקפי אבטחה ולהשתמש בהם כדי להגן על מידע ונכסים נלווים.
נכסי מידע ואבטחת מידע מוסברים
ניתן לתאר מידע ככל נתון, ידע או תובנה שיש להם ערך לארגון או לחברה. זה כולל כל פרט שהושג על אנשים, לקוחות, שותפים, עובדים ובעלי עניין אחרים.
ניתן לסווג באופן נרחב את נכסי אבטחת המידע ל:
נתונים
נתונים ומידע טועים לעתים קרובות זה בזה, אך יש הבדל מובהק. הנתונים הם גולמיים, לא מעובדים ובדרך כלל אינם מועילים בצורתם הנוכחית. מצד שני, מידע הוא נתונים שסודרו בפורמט שמיש, כמו מייל או מספר טלפון.
תשתית
תשתית מקיפה את כל מרכיבי הרשת - שרתים, מדפסות, נתבים ועוד - כדי ליצור מערכת מגובשת.
תשתית תוכנה, כגון מערכות הפעלה ויישומים, חייבים להיות מוגנים מפני איומי סייבר, בדיוק כפי שעושה החומרה. כדי למנוע ניצול על ידי האקרים זדוניים המבקשים גישה לנתונים רגישים, שניהם צריכים להיות מעודכנים באופן קבוע עם תיקונים ותיקונים עבור כל פגיעות שנחשפו על ידי האקרים.
היקפי אבטחה פיזיים מוסברים
אבטחה פיזית מתייחסת לאמצעים הפיזיים השומרים על המשאבים והחצרים של הארגון. זהו חלק מהותי והכרחי מאבטחת מידע. זה כולל יותר מסתם נעילת הדלת; זה גם כרוך במודעות למי יש גישה למה, מתי, איפה ואיך.
היקפי אבטחה פיזיים מזהים את הגבולות הפיזיים של בניין או אזור ושולטים בגישה אליו. ניתן להפעיל גדרות, חומות, שערים ומחסומים אחרים כדי למנוע כניסה בלתי מורשית של אנשים או כלי רכב. יתר על כן, ניתן להשתמש בציוד מעקב אלקטרוני כגון מצלמות במעגל סגור כדי לנטר פעילות מחוץ למתקן.
היקפי אבטחה פיזיים מציעים את השכבה הראשונית של הגנה מפני גורמים חיצוניים המנסים לגשת למערכת המחשב שלך באמצעות חיבור קווי או אלחוטי בעסק. לעתים קרובות הם משולבים עם בקרות נוספות של אבטחת מידע, כגון ניהול זהויות, בקרת גישה ומערכות זיהוי חדירה.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות לגבי ISO 27001:2022 נספח A 7.1
ISO 27001:2022 נספח A 7.1 מבטיח שארגון יכול להראות שיש לו גבולות אבטחה פיזיים מתאימים כדי לעצור גישה פיזית לא מורשית למידע ולנכסים קשורים אחרים.
זה כרוך בנקיטת צעדים כדי למנוע:
- אסורה כניסה בלתי מורשית למבנים, חדרים או אזורים המכילים נכסי מידע.
- הוצאת נכסים ללא רשות מהמקום אינה מקובלת.
- ניצול בלתי מורשה של נכסי מתחם, כגון מחשבים והתקנים נלווים, אסור.
- אסור להתעסק ללא אישור בציוד תקשורת אלקטרוני, כגון טלפונים, פקסים ומסופי מחשב.
אפשר ליישם היקפי אבטחה פיזיים בשתי דרכים שונות:
בקרת גישה פיזית – מגן על כניסה למתקנים ומבנים ותנועה בתוכם. זה כולל נעילת דלתות, אזעקות, גדרות ומחסומים.
אבטחת חומרה - מספק שליטה על ציוד פיזי, כגון מחשבים, מדפסות וסורקים, המעבד נתונים המכילים מידע רגיש.
שליטה זו עוזרת הגנה על מידע ונכסים קשורים אחרים, כגון מסמכים, רשומות וציוד חסויים, על ידי מניעת שימוש לא מורשה בחלל המתקנים, בציוד ובציוד.
מה כרוך ואיך לעמוד בדרישות
יש לאמץ הנחיות שיש לקחת בחשבון עבור היקפי אבטחה פיזיים במידת האפשר:
- הקמת מחסומי אבטחה ואיתור המיקום והחוזק המדויקים של כל אחד מהם בהתאם לתקנות אבטחת מידע הנוגעות למשאבים בתוך הגבול.
- הבטחת האבטחה הפיזית של בניין או אתר שמכילים מערכות עיבוד מידע היא חיונית, ללא פערים או נקודות תורפה בהיקף שבהן ניתן להקל על פריצה.
- המשטחים החיצוניים של האתר, לרבות גגות, קירות, תקרות וריצוף, חייבים להיות בעלי מבנה יציב וכל הדלתות החיצוניות צריכות להיות מצוידות במנגנוני בקרה כמו סורגים, אזעקות ומנעולים כדי למנוע כניסה בלתי מורשית.
- ודא שחלונות ודלתות ננעלים כאשר הם אינם תפוסים ושקול אבטחה חיצונית לחלונות, במיוחד בקומת הקרקע; יש לקחת בחשבון גם אוורור.
לקבלת תובנה נוספת לגבי הצפוי לעמידה בתקן ISO 27001:2022, עיין בתיעוד המצורף.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 7.1 מחליף את ISO 27001:2013 נספח א' 11.1.1; ההקשר והמשמעות נותרו דומים במידה רבה, אם כי מנוסחים אחרת.
גרסת 2022 ראתה ירידה בדרישות היישום בהשוואה לבקרה הקודמת.
נספח A 7.1 חסר את הדרישות המפורטות בנספח A 11.1.1, שהן כדלקמן:
- צריך להיות אזור קבלה מאויש או דרך אחרת לניהול כניסה פיזית לאתר או לבניין.
- יש לאפשר כניסה לאתרים ומבנים בלבד לאנשי מורשה.
- בניית מחסומים פיזיים, כאשר ישים, כדי למנוע גישה פיזית בלתי מורשית ולמנוע זיהום סביבתי.
- יש צורך בהתקנת מערכות זיהוי פולשים העומדות בתקנים לאומיים, אזוריים או בינלאומיים ובדיקתן באופן קבוע כדי לאבטח את כל הדלתות החיצוניות והחלונות הנגישים.
- יש להצטייד בכל האזורים הפנויים במערכת אזעקה בכל עת.
- עלינו להבטיח כיסוי של תחומים אחרים, כגון חדרי מחשב ותקשורת.
- על הארגון לשמור על מתקני עיבוד המידע שלו מופרדים פיזית מאלה המנוהלים על ידי מקורות חיצוניים.
אין השמטה מפחיתה את האפקטיביות של תקן ISO 27001:2022 החדש; במקום זאת, הם בוטלו כדי להקל על השימוש וההבנה של השליטה.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מי אחראי על התהליך הזה?
השמיים מנהל מידע ראשי (CIO) הוא המנהיג האחראי לשמירה על נתוני ומערכות החברה. הם עובדים עם מנהלים אחרים כדי לשקול אבטחה בעת קבלת החלטות עסקיות, כגון מנהל הכספים והמנכ"ל. יישום מדיניות ונהלים להגנה על המידע של החברה הוא חלק מרכזי מתפקיד ה-CIO.
למנהל הכספים יש תפקיד בהחלטה על היקפי אבטחה פיזיים. בעבודה עם מנהלי C-suite אחרים, כולל ה-CIO, הם מחליטים כמה להשקיע באמצעי אבטחה פיזיים כגון מצלמות מעקב, בקרות גישה ואזעקות.
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןמה המשמעות של השינויים הללו עבורך?
ISO 27001:2022 אינו שיפוץ גדול, ולכן אין צורך בשינויים משמעותיים לעמידה בדרישות.
כדאי לבחון את היישום הנוכחי שלך כדי להבטיח שהוא תואם את הדרישות החדשות. במיוחד, אם בוצעו שינויים כלשהם מאז הגרסה של 2013. כדאי להעריך מחדש את השינויים הללו כדי לקבוע אם הם נשארים תקפים או שיש לשנותם.
כיצד ISMS.Online עזרה
ISMS.online יכול לסייע בהוכחת תאימות ל-ISO 27001 על ידי אספקת מערכת מקוונת המאפשרת אחסון מסמכים במקום אחד ונגיש. זה גם מקל על פיתוח רשימות ביקורת לכל מסמך, ובכך מקל על סקירה ושינוי של מסמכים.
האם תרצה לחוות איך זה עובד?
פנה אלינו עוד היום ל לשריין הפגנה.
קפוץ לנושא
