ארגונים חייבים לקחת בחשבון את הסיכונים הנשקפים מאיומים פיזיים על נכסי המידע שלהם.
איומים כאלה עשויים לכלול נזק סביבתי, גניבה, הרס ופגיעה בנתונים. כל הבעיות הללו עלולות להוביל לאובדן מידע ולפוטנציאל לחשיפה של נתונים רגישים.
אירועי טבע כמו רעידות אדמה, שיטפונות ושריפות, כמו גם אסונות מעשה ידי אדם כמו תסיסה אזרחית ומעשים פליליים, מהווים איומים.
ISO 27001: 2022 נספח A 7.5 מחייב ארגונים להעריך, להכיר ולהפחית את הסיכונים לתשתית פיזית חיונית מסכנות פיזיות וסביבתיות.
ISO 27001:2022 נספח A 7.5 מאפשר לארגונים להעריך את הסיכונים הפוטנציאליים הנשקפים מאיומים סביבתיים ופיזיים, ולהפחית או לבטל סיכונים אלה על ידי יישום אמצעים מתאימים.
ISO 27001: 2022 נספח א 7.5 מחייב ארגונים לערוך הערכת סיכונים מקיפה לפני ביצוע פעולות הנחת יסוד פיזיות כלשהן, וליישם אמצעים מתאימים ביחס לסיכון שזוהה.
קציני ביטחון ראשיים אחראים ליצירה, ניהול, יישום והערכת התהליך כולו.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
ISO 27001:2022 נספח A 7.5 מתווה אסטרטגיה בת שלושה חלקים לזיהוי והסרה של סכנות פוטנציאליות ממקורות פיזיים וסביבתיים.
ארגונים צריכים לבצע א הערכת סיכונים לזהות כל סיכונים פיזיים וסביבתיים אפשריים שעלולים להתרחש בחצרים שלהם, ואז לאמוד את ההשפעות האפשריות של הסיכונים הפיזיים והסביבתיים שזוהו.
בהתחשב במגוון התנאים הסביבתיים והסיכונים הפיזיים שעלולים לעמוד בפני כל מבנה ותשתית, סוג האיום ורמת הסיכון שזוהה יהיו שונים בהתאם למיקום.
נכס אחד עשוי להיות פגיע במיוחד לשריפות בעוד שנכס אחר עשוי להיות ממוקם באזור מועד לרעידות אדמה.
חיוני שהערכת סיכונים תתבצע לפני תחילת הפעילות באתר, לפי נספח א' 7.5.
בהתחשב בסוג האיום והסיכון הנלווה שזוהו בתחילה, ארגונים צריכים ליישם את הבקרות הנכונות תוך התחשבות בהשלכות האפשריות של איומים סביבתיים ופיזיים.
ISO 27001:2022 נספח A 7.5 מציע דוגמאות לפקדים שניתן ליישם כדי להילחם באיומים שונים:
עקוב אחר ההתקדמות ובצע התאמות לפי הצורך. הערך באופן קבוע את התוצאות וערוך שינויים כדי להבטיח עמידה ביעדים. הקפד לתעד כל שינוי לעיון עתידי.
ISO 27001:2022 נספח A 7.5 מתאר ארבעה שיקולים שארגונים צריכים לזכור.
כל איום סביבתי ופיזי, כגון פסולת רעילה, רעידת אדמה ואש, נבדל מבחינת המאפיינים שלו, הסכנה שהוא מהווה והאמצעים שיש לנקוט.
ארגונים צריכים להתייעץ עם ייעוץ מומחה כיצד לזהות, לצמצם ו/או לנהל סיכונים הנובעים מאיומים אלו.
התחשבות בשטח המקומי, מפלסי המים והפעילות הטקטונית של אתר פוטנציאלי לבניין יכול לעזור לזהות ולחסל סיכונים פוטנציאליים מוקדם.
ארגונים צריכים לשקול את הסכנות של אסונות שנגרמו על ידי אדם באזור העירוני הנבחר, למשל, סערה פוליטית והתנהגות פלילית.
השימוש בשיטות אחסון מאובטחות, כגון כספות, מספק שכבת הגנה נוספת מפני אסונות כמו שריפה והצפות, בנוסף לאמצעי האבטחה הקיימים במקום.
ISO 27001:2022 נספח A 7.5 מציע שארגונים ישקלו מושג זה כאשר הם מציגים בקרות לחיזוק אבטחת הנחות. ניתן להשתמש בגישה זו כדי להילחם באיומים עירוניים כגון פעילויות פליליות, תסיסה אזרחית וטרור.
ISO 27001:2022 נספח A 7.5 מחליף את ISO 27001:2013 נספח א' 11.1.4 בתקן המתוקן.
גרסת 2013 התמקדה באופן שבו ארגונים צריכים להפעיל אמצעי מניעה נגד איומים פיזיים וסביבתיים, בעוד שגרסת 2022 היא מקיפה יותר, ומתארת את הצעדים הספציפיים שארגונים צריכים לנקוט כדי לציית.
לסיכום, שתי הבחנות עיקריות בולטות.
מהדורת 2013 לא סיפקה הנחיות כיצד ארגונים יכולים לזהות ולהפחית סיכונים הנגרמים מסיכונים סביבתיים ופיזיים.
גרסת 2022 מתארת תהליך בן שלושה שלבים שעל ארגונים ליישם, החל בהערכת סיכונים.
ההנחיות המשלימות לשנת 2022 כוללות שימוש בכספות ומניעת פשיעה באמצעות עיצוב סביבתי כדרכים להגברת האבטחה מפני איומים.
עם זאת, בשנת 2013 לא ננקטו צעדים נוספים.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
פלטפורמת ISMS.online מציעה מגוון של כלים חזקים כדי להפוך את התיעוד, הטמעה, השימור והשיפור שלך מערכת ניהול אבטחת מידע (ISMS) ולהיות תואם ל-ISO 27001:2022 קל יותר.
אוסף מקיף זה של כלים מספק מיקום אחד שבו תוכל להתאים אישית סט של מדיניות ונהלים כך שיתאימו לסיכונים ולצרכים המיוחדים של הארגון שלך.
פנה אלינו עוד היום ל לארגן הפגנה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
