- לִרְאוֹת ISO 27002:2022 בקרה 7.14 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 11.2.7 לקבלת מידע נוסף.
ISO 27001 נספח A 7.14: שיטות עבודה מומלצות לסילוק ושימוש חוזר של ציוד מאובטח
יש להרוס ציוד IT שאין בו עוד צורך, להרוס, להחזיר למושכר, להעביר לצד שלישי, למחזר או לעשות שימוש חוזר לפעולות עסקיות אחרות.
ארגונים צריכים להגן על מידע ותוכנה ברישיון על ידי הבטחת המחיקה או החלפתו לפני השלכה או שימוש חוזר בציוד. זה יעזור להגן על סודיות הנתונים המאוחסנים במכשיר.
אם ארגון מעסיק ספק שירותי סילוק נכסי IT חיצוני להעברת מחשבים ניידים, מדפסות וכוננים חיצוניים מיושנים, ספק זה עלול לקבל גישה לא מורשית לנתונים המתארחים בציוד.
ISO 27001:2022 נספח A 7.14 עוסק כיצד ארגונים יכולים לשמור על סודיות הנתונים המאוחסנים בציוד המיועד לסילוק או לשימוש חוזר, על ידי יישום אמצעי ונהלי אבטחה יעילים.
מטרת ISO 27001:2022 נספח A 7.14
ISO 27001: 2022 נספח A 7.14 מאפשר לארגונים למנוע גישה בלתי מורשית לנתונים עדינים על ידי אימות שכל המידע והתוכנה המורשים על ציוד נמחקים או מוחקים באופן בלתי הפיך לפני שהציוד מושלך או מוסר לצד שלישי לשימוש חוזר.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 7.14
בהתאם ל-ISO 27001:2022 נספח A 7.14, יש לקבוע נוהל סילוק מידע-שימוש חוזר בנתונים כלל-ארגוני, לרבות זיהוי כל הציוד ויישום מנגנוני סילוק טכניים מתאימים ותהליכי שימוש חוזר.
השמיים מנהל מידע ראשי צריך להיות אחראי על הקמה, הפעלה ותחזוקה של מערכות ותהליכים להשלכה ושימוש מחדש בציוד.
הנחיות לגבי ISO 27001:2022 נספח A 7.14 תאימות
ISO 27001:2022 נספח A 7.14 מפרט ארבעה שיקולים חיוניים לציות שארגונים צריכים לזכור:
מומלץ לנקוט עמדה יזומה
לפני השלכה או שימוש חוזר, ארגונים חייבים לוודא אם הציוד כולל כזה נכסי מידע ותוכנות מורשות ולהבטיח שהן יימחקו לצמיתות.
הרס פיזי או מחיקה בלתי הפיכה של נתונים
ISO 27001:2022 נספח A 7.14 קובע כי ניתן לנקוט בשתי גישות כדי להבטיח מחיקה מאובטחת וקבועה של מידע על ציוד:
- יש להשמיד פיזית ציוד שמכיל התקני מדיה אחסון המכילים מידע.
- ארגונים צריכים להתייחס לנספח A 7.10 ולנספח A 8.10 לגבי אחסון מדיה ומחיקת מידע, בהתאמה, על מנת להבטיח שכל הנתונים המאוחסנים בציוד יימחקו, יוחלפו או מושמדים באופן שמונע אחזור על ידי גורמים זדוניים.
יש להסיר את כל התוויות והסימונים
ניתן לסמן או לסמן את רכיבי הציוד והנתונים שהם מכילים כדי לזהות את הארגון או לחשוף את בעל הנכס, הרשת או רמת הסיווג של המידע. יש להשמיד את כל התוויות והסימונים הללו לצמיתות.
הסרת בקרות
ארגונים עשויים לשקול הסרת בקרות אבטחה, כגון הגבלות גישה או מערכות מעקב, בעת פינוי מתקנים, בהינתן התנאים הבאים:
- הסכם השכירות קובע את הדרישות להחזרת הנכס.
- הפחתת הסיכון של כל גישה בלתי מורשית למידע רגיש על ידי השוכר העתידי היא חיונית.
- האם ניתן להשתמש בבקרות הנוכחיות במתקן הקרוב.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות משלימות על נספח א' 7.14
בנוסף להנחיות הכלליות, ISO 27001:2022 נספח A 7.14 מספק שלוש המלצות ספציפיות לארגונים.
ציוד פגום
כאשר ציוד המכיל נתונים נשלח לתיקון, הוא עלול להיות חשוף לגישה לא מורשית מצד שלישי.
ארגונים צריכים לבצע הערכת סיכונים, תוך התחשבות ברמת הרגישות של הנתונים, ולשקול אם השמדת הציוד תהיה בחירה מעשית יותר מאשר תיקון.
הצפנת דיסק מלא
הבטחת הצפנת הדיסק המלא עומדת בסטנדרטים הגבוהים ביותר חיונית לשמירה על סודיות הנתונים. יש לציין כי יש להקפיד על הדברים הבאים:
- ההצפנה אמינה ושומרת על כל היבט של הדיסק, כולל שטח שנותר.
- מפתחות קריפטוגרפיים צריכים להיות באורך מספיק כדי לסכל התקפות כוח גס.
- ארגונים צריכים להגן על סודיות המפתחות ההצפנה שלהם. לדוגמה, אין לאחסן את מפתח ההצפנה באותו כונן קשיח.
כלי כתיבה
ארגונים צריכים לבחור בגישת החלפה תוך התחשבות בקריטריונים הבאים:
- נכס המידע זכה לרמת סיווג מסוימת.
- סוג אמצעי האחסון שבו המידע נשמר ידוע.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 7.14 מחליף את ISO 27001:2013 נספח A 11.2.7 בתקן המתוקן. גרסת ISO 27001:2022 מחליפה את גרסת ISO 27001:2013 של התקן, כאשר הגרסה העדכנית ביותר כוללת עדכונים לנספח A 7.14.
ISO 27001:2022 נספח A 7.14 דומה מאוד למקבילו משנת 2013. עם זאת, לגרסת 2022 יש דרישות מקיפות יותר בהנחיות הכלליות.
בהשוואה ל-ISO 27001:2013, גרסת 2022 מביאה את הדרישות הבאות:
- ארגונים צריכים למחוק את כל הסימנים והתגים המציינים את רמת הארגון, הרשת והסיווג שלהם.
- ארגונים צריכים לשקול לבטל את כל הבקרות שהם הקימו במתקן כאשר הם עוזבים.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.Online מספקת גישה מקיפה ליישום ISO 27001:2022. הוא מציע תהליך יעיל, המאפשר למשתמשים לעמוד במהירות וביעילות בסטנדרטים של תקן האבטחה הבינלאומי. עם הממשק הידידותי למשתמש שלו, זה מקל על ארגונים להקים ולתחזק מערכת איתנה מערכת ניהול אבטחת מידע.
מערכת מבוססת אינטרנט זו מאפשרת לך להוכיח שה-ISMS שלך עומד בקריטריונים שצוינו, באמצעות תהליכים, נהלים ורשימות תיוג יעילים.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
קפוץ לנושא
