חיזוק האבטחה הפיזי עם תאימות ISO 27001:2022
במקרה שניתנת גישה לא מורשית לאזורים פיזיים מוגבלים כגון חדרי שרתים וחדרי ציוד IT, נכסי מידע עלול להיפגע במונחים של סודיות, זמינות, יושרה ואבטחה.
ב-ISO 27001:2022 נספח A 7.4, מונעים מפולשים להיכנס לחצרים פיזיים רגישים ללא אישור.
המטרה של ISO 27001:2022 נספח A 7.4?
נספח א' בקרה 7.4 מחייב ארגונים ליישם כלי מעקב מתאימים. זאת על מנת לאתר ולמנוע מפולשים חיצוניים ופנימיים להיכנס ללא רשות לאזורים פיזיים מוגבלים.
כלי מעקב המסוגלים לנטר ולתעד אזורים מוגבלי גישה מגנים מפני סיכונים הנובעים מגישה לא מורשית לאזורים מוגבלים, כולל אך לא רק:
- גניבת נתונים.
- אובדן נכסי מידע.
- נזק כספי.
- הסרה של נכסי מדיה נשלפים למטרות זדוניות.
- הדבקה בתוכנה זדונית של נכסי IT.
- התקפות מבוצעות על ידי פולש באמצעות תוכנת כופר.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
למי יש בעלות על נספח A 7.4?
לפי ISO 27001 נספח א בקרה 7.4, עמידה בבקרה זו מחייבת זיהוי של כל האזורים המוגבלים. זה גם דורש זיהוי של כלי מעקב המתאימים לאזור הפיזי הספציפי שיש לנטר.
לפיכך, על קצין הביטחון הראשי להיות אחראי על יישום, תחזוקה, ניהול וביקורת של מערכות המעקב בצורה יעילה.
הנחיות כיצד לעמוד ב-ISO 27001:2022 נספח A 7.4
על פי ISO 27001 נספח A Control 7.4, ארגונים חייבים ליישם את שלושת השלבים הבאים כדי לזהות ולהרתיע גישה בלתי מורשית למתקנים המכילים נכסי מידע קריטיים ולמנוע פגיעה בהם.
הצב מערכת ניטור וידאו כדי לפקוח עין על המצב
כדי לנטר באופן רציף גישה לאזורים מוגבלים המארחים נכסי מידע קריטיים, לארגון צריך להיות מערכת מעקב וידאו, כגון מצלמות במעגל סגור. זו דוגמה למערכת כזו. יתר על כן, זה גם קריטי שמערכת מעקב זו תשמור תיעוד של כל הכניסות והיציאות במקום.
התקנת גלאים להפעלת אזעקה
היכולת להפעיל אזעקה כאשר פולש נכנס לחצרים הפיזיים מאפשרת לצוות האבטחה להגיב במהירות לכל פרצת אבטחה. זה גם יכול להיות דרך יעילה להרתיע פולשים מלהיכנס לביתך.
מומלץ לארגונים לרכוש גלאי תנועה, קול ומגע שיתריעו כאשר מתגלה פעילות חריגה בשטח הפיזי של הארגון.
זה כולל, אך לא מוגבל ל:
- יש להתקין גלאי מגע בסביבה. כאשר חפץ או אדם לא מוכרים באים במגע עם חפץ מסוים או מנתקים מגע עם חפץ מסוים, יש להפעיל אזעקה. גלאי מגע יכול, למשל, להיות מוגדר כך שיפעיל אזעקה כאשר גלאי המגע יוצר קשר עם כל חלון או דלת.
- ניתן להגדיר את גלאי התנועה כך שיתריע אם הם מזהים תנועה בטווח הראייה שלהם של אובייקט שנע בטווח הראייה שלהם.
- גלאי קול, כמו גלאי זכוכית שבורה, יכול להיות מופעל כאשר הוא מזהה צליל, מה שיכול לסייע במניעת תאונות דרכים.
תצורה של אזעקות לכל המתחם הפנימי
הכרחי לוודא שמערכת האזעקה הוגדרה כראוי. זה יבטיח שכל האזורים הרגישים, לרבות כל הדלתות החיצוניות, החלונות, השטחים הפנויים וחדרי המחשב, נמצאים בטווח של מערכת האזעקה. זה ימנע ניצול כל פגיעות.
לדוגמה, פולשים עשויים להשתמש באזורי עישון או כניסות לחדר כושר בתור וקטורים לתקיפה אם הם אינם מפוקחים.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
סוגי מערכות המעקב הזמינות
למרות ISO 27001 נספח א' בקרה 7.4 אינו מחייב ארגונים לבחור מערכת מעקב אחת על פני אחרת, הוא כן מפרט מספר כלי מעקב שניתן להשתמש בהם בנפרד או בשילוב עם אחרים, כולל:
- מצלמות טלוויזיה במעגל סגור.
- שומרי ביטחון.
- מערכות אזעקה לפריצה.
- תוכנה לניהול אבטחה פיזית.
ISO 27001:2022 נספח A 7.4 הנחיות משלימות
יש לקחת בחשבון את השיקולים הבאים בעת יישום מערכות ניטור אבטחה פיזיות לפי נספח A בקרה 7.4:
- שמירה על סודיות לגבי התכנון והתפקוד הפנימי של מערכות ניטור היא חיונית.
- כדי למנוע את הסיכון של השבתה מרחוק של מערכות ניטור על ידי גורמים זדוניים, יש ליישם אמצעים מתאימים. יש ליישם צעדים אלה כדי למנוע חשיפה של פעולות ניטור, והזנות וידאו לגורמים לא מורשים.
- חיוני שלוח הבקרה של האזעקה יהיה ממוקם באזור מצויד באזעקה. בנוסף, חיוני שלאדם שמפעיל את האזעקה תהיה גישה בטוחה וקלה ליציאה מהאזור.
- יש להשתמש בגלאי חסין חבלה ולוח בקרה של אזעקה.
- יש לנטר ולתעד אנשים באמצעות מערכות מעקב רק למטרות לגיטימיות. ניטור והקלטה אלה צריכים לעמוד בכל החוקים והתקנות החלים, לרבות חוקי הגנת מידע. למשל, האיחוד האירופי ובריטניה GDPR עשוי לדרוש מארגונים לערוך הערכת השפעה לפני פריסת מצלמות במעגל סגור. יתר על כן, הקלטת עדכוני וידאו צריכה לעמוד בתקופות שמירת הנתונים שנקבעו על ידי החוקים המקומיים החלים.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
מהם השינויים מ-ISO 27001:2013?
ראוי לציין כי בקרת 7.4 היא בקרת נספח A חדשה לגמרי שאינה מטופלת בתקן ISO 27001:2013.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
היתרונות של ISMS.online
ISMS.online מציע מגוון רחב של כלים רבי עוצמה המפשטים את ההטמעה, התחזוקה והשיפור של מערכת ניהול אבטחת המידע שלך (ISMS) כדי לעמוד בדרישות התאימות ל-ISO 27001.
בנוסף למתן כלים מקיפים, ISMS.online מאפשר לך ליצור מדיניות ונהלים מותאמים אישית לסיכונים ולדרישות הארגון שלך. זה גם מאפשר שיתוף פעולה בין עמיתים ושותפים חיצוניים כגון ספקים או מבקרי צד שלישי.
צור קשר עוד היום כדי הזמן הדגמה.
קפוץ לנושא
