ISO 27001:2022 נספח A 7.2 מדגיש את הדרישה מארגונים לאבטח אזורים באמצעות שימוש בבקרות כניסה מתאימות ונקודות גישה.
בקרות כניסה ונקודות גישה חיוניות למערכת האבטחה של כל בניין. הן מאפשרות לדיירים להיכנס ולצאת תוך שמירה על אבטחה, ויכולות לעצור את הכניסה של מי שאינו מורשה או רצוי.
מערכות בקרת כניסה מספקות גישה לבניין באמצעות דלתות ושערים, לרבות לוחות מקשים, קוראי כרטיסים, סורקים ביומטריים וטלפונים. בנוסף, הם מספקים מנגנוני נעילה לדלתות ושערים, בנוסף לקרוסלות ודלתות מסתובבות.
נקודת גישה היא מכשיר אלקטרוני המבטיח אבטחה במבנים מסחריים גדולים. הוא משתמש בטכנולוגיית RFID כדי לעקוב אחר כל התנועה בתוך ומחוץ למקום. נקודת הגישה שולחת נתונים חזרה למפקדה, ומאפשרת לאנשי אבטחה לצפות מתי מישהו נכנס או יוצא מהמתקן ולאיזה אזורים הם ניגשים במהלך שהותם.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
ISO 27001:2022 נספח א' בקרה 7.2 מבטיחה רק גישה פיזית מורשית לנתוני הארגון ולנכסים קשורים אחרים.
אבטחה פיזית היא חשיבות עליונה לשמירה על סודיות, שלמות ונגישות של משאבי מידע. נספח א' בקרה 7.2 של ISO 27001: 2022 עוסקת בעיקר בשמירה על נתונים ונכסים קשורים אחרים מפני גישה לא מורשית, גניבה או אובדן. לפיכך, יש ליישם נקודות כניסה וגישה הכרחיות כדי להבטיח שרק אנשים מורשים יכולים לגשת אזורים מאובטחים.
יש ליישם בקרות כדי להבטיח ביטחון סביר שרק לאנשים מורשים יש גישה פיזית, ושהם מזוהים במדויק.
יש ליישם שימוש במנעולים, מפתחות (ידניים ואלקטרוניים), מאבטחים, מערכות ניטור ומחסומים אחרים בכניסות ובנקודות גישה. יש להשתמש במערכות בקרת גישה כגון סיסמאות, מפתחות כרטיסים או מכשירים ביומטריים כדי לאבטח אזורים רגישים בתוך המתקן.
ארגונים חייבים לשלוט, ואם אפשר, להפריד נקודות גישה כגון אזורי מסירה וטעינה ונקודות כניסה אחרות למתחם ממתקני ה-IT שלהם כדי למנוע גישה בלתי מורשית, על מנת לעמוד בדרישות של יישום נספח A 7.2. אזורים אלה צריכים להיות מוגבלים לצוות מורשה בלבד.
מסמך ISO 27001:2022 מספק הנחיות יישום עבור נספח A 7.2, המסייע בעמידה בדרישות לצוות, מבקרים ואנשי משלוח. כדי לצפות בהנחיות אלה, גש לגרסה המתוקנת של התקן.
נספח A 7.2 ב-ISO 27001:2022 אינו מדד חדש, אלא שילוב של בקרות נספח A 11.1.2 ו-11.1.6 מ-ISO 27001:2013. אלה שני בקרות נספח A תוקנו ב-ISO 27001:2022 כדי להפוך אותו ליותר אינטואיטיבי מ-ISO 27001:2013.
נספח א' בקרה 11.1.2 - בקרות כניסה פיזיות דורשות שמירה על אזורים מאובטחים על ידי בקרות כניסה נאותות, כך שרק צוות מורשה יוכל לקבל גישה. חלק זה של התקן מתאר את האמצעים שארגונים יכולים לנקוט כדי להבטיח שרק אלו המורשים רשאים להיכנס למטרות ספציפיות.
הרגולציה מחייבת להטמיע אימות דו-שלבי לצוות מורשה כדי לקבל גישה לאזורים רגישים לאבטחת מידע, עם יומן פיזי או שביל ביקורת אלקטרוני כדי לתמוך בכך.
נספח א' בקרה 11.1.6 – אזורי אספקה וטעינה קובעים כי יש להגביל את הגישה לאזורים אלו לכוח אדם מורשה בלבד. מומלץ לתכנן אותם כך שהם מופרדים מאזורי תפעול, ובכך למנוע מאנשי משלוח גישה לחלקים אחרים של הבניין.
בסופו של דבר, בקרות נספח A 7.2 ובקרות נספח A 11.1.2 ו-11.1.6 דומות במהותן. ההבחנה העיקרית היא שנספח A 11.1.2 ונספח A 11.1.6 אוחדו לשיפור ידידותיות המשתמש.
בגרסת 2022 של ISO 27001, נכללו טבלת תכונות ומטרת בקרה, אשר נעדרו מהפקדים של גרסת 2013.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
שליטה בגישה הפיזית היא חיונית לאבטחה של כל ארגון או עסק. הבטחת שאנשים לא מורשים לא יכנסו למתחם היא חיונית. כתוצאה מכך, יישום צעדים מחמירים הוא חיוני.
מחלקת האבטחה מפקחת על כל היבטי האבטחה הפיזיים, כגון בקרת כניסה. אם אין להם את המומחיות או המשאבים הדרושים כדי לנהל זאת, הם עשויים להקצות סמכויות למחלקה אחרת.
צוותי IT חיוניים גם לאבטחה פיזית. הם מבטיחים שהמערכות הטכנולוגיות המשמשות לאבטחה פיזית הן עדכניות ומאובטחות. לדוגמה, אם לארגון שלך יש מערכת זיהוי חדירה (IDS) בכניסה אך התוכנה לא חודשה במשך חודשים, ייתכן שהיא לא תהיה יעילה נגד פולשים.
הארגון שלך לא צריך לשנות באופן משמעותי את נוהלי אבטחת המידע שלו, שכן התקן ISO 27001:2022 המתוקן עבר התאמה מינימלית בלבד.
אם יש לך אישור ISO 27001:2013, תגלה שגישת ניהול אבטחת המידע הנוכחית שלך עומדת בסטנדרטים החדשים.
אם אתם מתחילים מההתחלה, כדאי שתכירו את הנחיות הציות בתקן החדש.
הפלטפורמה שלנו נותן למשתמשים גישה לכל התיעוד והמשאבים הרלוונטיים, כגון מדיניות, נהלים, תקנים, הנחיות ומידע על תהליכי ציות.
ISMS.online מושלם עבור עסקים המבקשים:
הפלטפורמה שלנו מציעה לוחות מחוונים מותאמים אישית המעניקים לך תובנה בזמן אמת לגבי מצב התאימות שלך.
מעקב ונהל את מסע התאימות שלך ל-ISO 27001:2022 הכל במקום אחד: ביקורת, ניתוח פערים, ניהול הדרכה, הערכת סיכונים ועוד.
צור איתנו קשר עכשיו כדי לקבוע הפגנה.
עשיתי את ISO 27001 בדרך הקשה אז אני באמת מעריך כמה זמן זה חסך לנו בהשגת הסמכת ISO 27001.
