ISO 27001: 2022 נספח א' 7.3 מתאר את הדרישה לבנייה וביצוע אבטחה פיזית למשרדים, חדרים ומקומות.
בקרה זו מעודדת ארגונים לנקוט אמצעים מתאימים כדי להגן מפני גישה בלתי מורשית לחדרים, משרדים ומתקנים, במיוחד כאשר עיסוק באבטחת מידע. אמצעים כאלה עשויים לכלול מנעולים, אזעקות, מאבטחים או אמצעים מתאימים אחרים להגנה מפני בעיות אבטחת מידע.
אבטחה פיזית היא מרכיב חיוני באבטחת מידע. יש לקחת את השניים בחשבון יחד. אבטחת מידע היא הגנה על נתונים ומערכות מפני גישה בלתי מורשית, שימוש, חשיפה, שיבוש, שינוי או הרס.
אבטחה פיזית כרוכה בנקיטת אמצעים להגנה על כוח אדם, מתקנים, ציוד ונכסים אחרים מפני סכנות פוטנציאליות, כגון פריצה, חבלה, טרור ופעילויות פליליות אחרות, על ידי הפחתת הסיכונים הנלווים.
קביעה אם יש לך מיקום רגיש למידע היא הצעד הראשוני ביטחון פיזי. אלה יכולים להיות משרדים, חדרים או מתקנים עם מחשבים המכילים נתונים עדינים, או כאלה עם צוות שניתנה להם גישה למידע עדין.
אבטח את כל הדלתות, החלונות והארונות; הצמד חותמות אבטחה למחשבים ניידים ומכשירים ניידים; התקן הגנת סיסמה עבור מחשבים; להצפין נתונים רגישים.
מצלמות במעגל סגור מספקות אמצעי יעיל למעקב אחר פעילות בשטח או באזורים מסוימים של מבנה.
תנועה, חום או קול יכולים להפעיל אזעקות אלו, אשר מתריעות בפני כל פולשים או אנשים לא מורשים באזור (למשל אזעקת אבטחה שנדלקת אם מישהו מנסה לפרוץ למשרד).
מטרת ISO 27001:2022 נספח א' בקרה 7.3 היא להגן על המידע של הארגון ונכסים קשורים אחרים במשרדים, חדרים ומתקנים מפני גישה פיזית, נזק והפרעות בלתי מורשית.
המטרה העיקרית של ISO 27001:2022 נספח A 7.3 היא להפחית את הסיכון של גישה פיזית לא מורשית למשרדים, חדרים ומתקנים לרמה מקובלת על ידי:
נספח א' 7.3 מתייחס לכל המבנים המשמשים את הארגון למשרדים או פעולות אדמיניסטרטיביות. זה מכסה גם חדרים שבהם נתונים סודיים נשמרים או מעובדים, כולל אזורים שבהם מתרחשות שיחות רגישות.
זה לא כולל אזורי קבלה או חלקים ציבוריים אחרים בשטח של ארגון, אלא אם כן הם מנוצלים למטרות מנהליות, כגון כאשר אזור קבלה משמש כמשרד.
נספח A 7.3 של ISO 27001:2022 קובע כי יש לשמור על חדרים ומתקנים. כדי לעמוד בדרישות אלה, יש לנקוט באמצעי האבטחה הבאים:
לפרטים נוספים על הגעה לבקרה הקבועה בתקן ISO 27001:2022, עיין במסמך.
ISO 27001:2022 נספח A 7.3 מחליף את ISO 27001:2013 נספח א' 11.1.3 בתקן 2022 המתוקן.
נספח A 7.3 אינו בקרה חדשנית. זוהי גרסה שונה של נספח A 11.1.3 ב-ISO 27001:2013. ההבחנה המשמעותית ביותר בין גרסאות 2013 ו-2022 היא שמספר הבקרה של נספח A שונה. מלבד התאמה זו, ההקשר והמשמעות הכללית נותרים ללא שינוי, למרות הניסוח מחדש.
בקרת נספח א' לשנת 2022 כוללת טבלת תכונות והצהרת מטרה, אשר נעדרים בגרסת 2013.
האדם הראשון להתייעץ בעת סידור משרדים, חדרים ומתקנים הוא בדרך כלל המנהל או המנהל האחראי על הבניין ותכולתו.
מנהל האבטחה מפקח על האבטחה בכל התחומים, לרבות משרדים ומתקנים. הוא/היא עוקב אחר כל הצוות עם גישה לאזורים אלה ומבטיח שהשימוש בהם מתאים.
במקרים מסוימים, מספר אנשים עשויים להיות אחראים לאבטחה. לדוגמה, כאשר לאדם יש גישה למידע רגיש שעלול להזיק לעסק או לחייהם הפרטיים של אנשי צוות אחרים, חיוני שיהיו מעורבים מספר אנשים באבטחתם.
מחלקת משאבי אנוש אחראית על פוליסות ביטוח עובדים והטבות, בעוד שה-IT מנהל מערכות מחשוב ורשתות. שתי המחלקות מעורבות בניהול בטיחות פיזית, כמו גם בעיות אבטחת סייבר כגון הונאות דיוג וניסיונות גישה לא מורשית.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
אין צורך בשינויים משמעותיים כדי להתאים לגרסה המעודכנת ביותר של ISO 27001:2022.
הערך את פתרון אבטחת המידע הקיים שלך כדי לוודא שהוא עומד בתקן המחודש. אם שינית משהו מאז 2013 כשהמהדורה האחרונה הונפקה, שקול לבדוק את השינויים האלה כדי להחליט אם הם עדיין ישימים או שיש לתקן אותם.
את העתיד הפלטפורמה מושלמת למתחילים באבטחת מידע או למי שרוצה להגיע במהירות להבנה של ISO 27001:2022 ללא צורך להשקיע זמן בלימוד מההתחלה או עיון במסמכים ארוכים.
ISMS.online מצויד בכל הכלים הדרושים כדי לעמוד בתאימות, כולל תבניות מסמכים מותאמות אישית, רשימות ביקורת ומדיניות.
צור איתנו קשר עכשיו כדי לקבוע הפגנה.
