- לִרְאוֹת ISO 27002:2022 בקרה 7.13 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 11.2.4 לקבלת מידע נוסף.
ISO 27001:2022 נספח A 7.13 - הסבר על תחזוקת ציוד מאובטח
ISO 27001:2022 נספח A 7.13 עוסק בהקמת ויישום נהלים ואמצעים מתאימים לתחזוקה נאותה של ציוד כדי להבטיח שנכסי המידע המאוחסנים בציוד זה לא ייפגעו.
לאחסון, שימוש והעברה של נכסי מידע, ציוד IT כגון שרתים, מחשבים ניידים, התקני רשת ומדפסות חיוניים. כשל בתחזוקה של ציוד זה בהתאם למפרטיו ולסיכונים הסביבתיים עלול לגרום לאיכות ירודה ולפגיעה בביצועים. בשל חוסר תחזוקה זה, השלמות, הסודיות והזמינות של נכסי המידע עלולים להיפגע.
לדוגמה, ייתכן שארגון לא יבין ששטח הדיסק שלו מלא אם הוא לא יצליח לבצע תחזוקה שוטפת בחומרת השרת שלו. השרת עלול לאבד נתונים המועברים אליו או ממנו כתוצאה מכך.
מהי המטרה של ISO 27001:2022 נספח A 7.13?
ISO 27001:2022 נספח A 7.13 מתאר כיצד לבצע תחזוקה נאותה בציוד המשמש לאחסון נכסי מידע בהתבסס על אמצעים ונהלים טכניים.
אמצעים ונהלים נקבעים כדי להבטיח שנכסי מידע מוגנים מפני אובדן, נזק וגישה לא מורשית, בין שאר החששות.
ISO 27001: 2022 נספח A 7.13 מתאר סוג מניעתי של בקרה לפיו ארגונים צריכים לנקוט בגישה אקטיבית לתחזוקת הציוד שלהם.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
למי יש בעלות על נספח A 7.13?
עמידה בנספח א' 7.13 קובעת כי יש להכין רשימת ציוד, לערוך הערכת סיכונים בהתבסס על גורמים סביבתיים ומפרטי המוצר, וכן קביעת ויישום נהלים ואמצעים מתאימים להבטחת תחזוקה נאותה של הציוד.
השמיים מנהל אבטחת מידע צריך להיות אחראי להבטחת תאימות ל-ISO 27001:2022 נספח A 7.13 למרות החשיבות של אנשים שמטפלים בציוד זה על בסיס יומי.
הנחיה כללית על ISO 27001:2022 נספח A 7.13 לתאימות
נספח A 7.13 מספק לארגונים 11 המלצות ספציפיות:
- מומלץ לבצע את המפרטים של יצרן הציוד לגבי נהלי תחזוקה, כגון מרווחי שירות מומלצים.
- עבור כל הציוד, ארגונים צריכים להקים וליישם תוכנית תחזוקה.
- תחזוקה או תיקון של ציוד יבוצעו רק על ידי צוות מורשה או צדדים שלישיים מורשים.
- כל התקלות והתקלות בציוד צריכות להיות מתועדות על ידי ארגונים. יתר על כן, יש לרשום גם את כל פעילויות התחזוקה בציוד האמור.
- חיוני לארגונים ליישם נהלי תחזוקה מתאימים ללא קשר אם התחזוקה מתבצעת על ידי עובדיהם או על ידי צדדים שלישיים. יתר על כן, הסכמי סודיות צריך להיות חתום על ידי הצוות הרלוונטי.
- כל צוות התחזוקה צריך להיות בפיקוח כל הזמן.
- יש לאכוף בקפדנות את הליכי הגישה וההרשאה עבור עבודות תחזוקה מרחוק.
- ארגונים צריכים ליישם אמצעי אבטחה מתאימים בהתאם לנספח A 7.9 בכל פעם שציוד מוסר מהמתחם לצורך תחזוקה.
- ארגונים צריכים לעמוד בדרישות התחזוקה המוטלות על ידי ספקי ביטוח.
- כדי להבטיח שלא התעסקו בציוד ומתפקד כראוי, חברות צריכות לבדוק אותו לאחר תחזוקה.
- ארגונים צריכים לקבוע וליישם אמצעים ונהלים מתאימים לסילוק או שימוש חוזר בציוד לפי נספח A 7.14.
הנחיות משלימות על נספח א' 7.13
ISO 27001:2022 נספח A 7.13 קובע כי הדברים הבאים נחשבים לציוד ונופלים תחת היקף נספח A 7.13:
- ממירי חשמל.
- מזגנים.
- נכסים דומים.
- רכיבים טכניים של מתקנים לעיבוד מידע.
- סוללות.
- מטפי כיבוי.
- מעליות.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
מהם השינויים וההבדלים מ-ISO 27001:2013?
ISO 27001:2022 נספח A 7.13 מחליף את ISO 27001:2013 נספח א' 11.2.4 ('תחזוקת ציוד').
גרסת ISO 27001:2022 מכילה דרישות מקיפות יותר
בהשוואה לגרסת ISO 27001:2013, נספח A 7.13 בגרסת 2022 מגדיר דרישות מקיפות יותר.
בעוד שגרסת ISO 27001:2013 מונה רק שש דרישות ספציפיות, ISO 27001:2022 נספח A 7.13 מכיל 11 דרישות.
נספח A 7.13 מציג את חמש הדרישות הבאות, שלא טופלו בגרסת ISO 27001:2013:
- עבור כל הציוד, ארגונים צריכים להקים וליישם תוכנית תחזוקה.
- כל צוות התחזוקה צריך להיות בפיקוח כל הזמן.
- עבודות תחזוקה המבוצעות מרחוק צריכות להיות כפופות לבקרת גישה והרשאה קפדנית.
- על פי נספח A 7.14, ארגונים צריכים לקבוע וליישם אמצעים ונהלים מתאימים לסילוק או שימוש חוזר בציוד.
- ארגונים צריכים ליישם אמצעי אבטחה מתאימים בהתאם לנספח A 7.9 בכל פעם שציוד מוסר מהמתחם לצורך תחזוקה.
תיקון ISO 27001:2022 מגדיר 'ציוד'
ההנחיה המשלימה מגדירה 'ציוד' בנספח A 7.13. לעומת זאת, גרסת ISO 27001:2013 לא התייחסה למשמעות של 'ציוד'.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
אתה יכול לעשות את הפעולות הבאות עם ISMS.online:
- ודא שהתהליכים שלך מתועדים. באמצעות ממשק אינטואיטיבי זה, אתה יכול לתעד את התהליכים שלך מבלי להתקין תוכנה כלשהי.
- הערכת סיכונים בצורה יעילה יותר על ידי אוטומציה של התהליך.
- עם דוחות ורשימות ביקורת מקוונים, אתה יכול להדגים בקלות תאימות.
- תוך כדי עבודה לקראת הסמכה, שמור תיעוד של ההתקדמות שלך.
ISMS.online מציע מגוון שלם של תכונות כדי לעזור לארגונים ועסקים להשיג עמידה בתקן ISO 27001:2022.
צור איתנו קשר עוד היום כדי קבע הדגמה.
קפוץ לנושא
