- לִרְאוֹת ISO 27002:2022 בקרה 8.19 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 12.5.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 12.6.2 לקבלת מידע נוסף.
מטרת ISO 27001:2022 נספח A 8.19
ניתן לסווג תוכנה תפעולית ככל תוכנה בה החברה משתמשת לביצוע פעילותה, להבדיל מתוכנות המשמשות לבדיקה או פיתוח.
חיוני שתוכנה תותקן וינוהל ברשת על פי תקנות מחמירות כדי למזער סיכונים, לשפר את היעילות ולאבטח רשתות ושירותים פנימיים וחיצוניים.
בעלות על נספח א' 8.19
ISO 27001: 2022 נספח א' 8.19 עוסק במושגים טכניים הקשורים לתחזוקה וניהול של מערכות מחשוב תפעוליות. לכן, האחריות צריכה להיות על ה מנהל מערכות מידע, או שווה ערך.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיה כללית בנושא ISO 27001:2022 נספח A 8.19 תאימות
כדי להבטיח את בטיחות השינויים וההתקנות ברשת שלהם, ארגונים צריכים:
- ודא שרק אנשים בעלי ההכשרה והמיומנות הנדרשים יבצעו עדכוני תוכנה (לפי ISO 27001:2022 נספח A 8.5).
- ודא שמותקן רק קוד הפעלה באיכות גבוהה; קוד זה צריך להיות נטול שגיאות וחייב להשלים את תהליך הפיתוח בהצלחה.
- התקן ועדכן תוכנה רק לאחר שהתיקון או העדכון נבדקו בהצלחה, והארגון בטוח שלא יתרחשו התנגשויות או בעיות.
- שמור את מערכת הספרייה מעודכנת.
- עשה שימוש ב'קונפיגורציה' מערכת בקרה' כדי לפקח על כל התוכנות התפעוליות כולל תיעוד התוכנית.
- לפני כל עדכונים או התקנות, הסכים על 'אסטרטגיית החזרה' כדי להבטיח רציפות עסקית במקרה של שגיאה בלתי צפויה או התנגשות.
- שמור תיעוד של כל שינוי שבוצע בתוכנה התפעולית, מתן סקירה קצרה של העדכון, האנשים המעורבים וחותמת זמן.
- ודא שכל תוכנה שאינה בשימוש מאוחסנת ומוחזקת בצורה מאובטחת עם כל התיעוד הנדרש, קבצי תצורה, יומני מערכת ונהלים תומכים, למקרה שיהיה צורך בכך בעתיד.
- לאכוף תקנות מחמירות על חבילות התוכנה שמשתמשים יכולים להתקין, בהתבסס על העקרונות של 'הרשאות הקטנות ביותר' ובהתאם לתפקידים ולחובות ישימים.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הדרכה על תוכנת ספקים
כאשר מדובר בתוכנה המסופקת על ידי הספק (למשל תוכנה המשמשת להפעלת מכונות או למטרה עסקית ייחודית), חיוני לקיים את ההנחיות של הספק כדי להבטיח שהיא תישאר תקינה.
חיוני להיות מודע לכך שגם במקרים של תוכנות או מודולי תוכנה שסופקו ומנוהלים חיצונית (כלומר הארגון אינו אחראי לכל עדכונים), יש לנקוט באמצעים כדי להבטיח שעדכוני צד שלישי לא יפגעו בשלמות הרשת של הארגון.
ארגונים צריכים להימנע משימוש בתוכנת ספקים לא מאומתים אלא אם הם חיוניים לחלוטין ולזכור את השלכות האבטחה של הפעלת תוכניות מיושנות במקום לשדרג למערכות חדשות ומאובטחות יותר.
אם ספק דורש גישה לרשת של ארגון כדי להתקין או לעדכן משהו, יש לנטר את הפעילות ולהתיר אותה לפי ISO 27001:2022 נספח A 5.22.
הנחיות משלימות על נספח א' 8.19
יש לשדרג, להתקין ולתקן תוכנה בהתאם לנהלי ניהול השינויים של הארגון, כדי להבטיח עקביות עם שאר העסקים.
בכל פעם מזוהה תיקון שמסיר לחלוטין פגיעות (או קבוצת פגיעות) או מסייע בכל מקרה לשפר את הארגון של אבטחת מידע תהליכים, יש ליישם שינויים כאלה בדרך כלל (אם כי עדיין יש צורך לבחון שינויים כאלה על בסיס אינדיבידואלי).
ארגונים צריכים להשתמש בגרסה העדכנית ביותר המתוחזקת באופן פעיל של תוכנת קוד פתוח, במידת הצורך. כמו כן, עליהם לקחת בחשבון סיכונים כלשהם הקשורים לשימוש בתוכנה לא מתוחזקת בפעילותם.
בקרות הנלווה לנספח א'
- ISO 27001:2022 נספח A 5.22
- ISO 27001:2022 נספח A 8.5
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.19 מחליף את נספח ISO 27001:2013 12.5.1 (התקנת תוכנה במערכות תפעוליות) ו-12.6.2 (הגבלות על התקנת תוכנה) ב תקן 2022 המתוקן.
ISO 27001:2022 נספח A 8.19 משלב את רוב הקווים המנחים ב-ISO 27001:2013 נספח A 12.5.1 ו- 12.6.2, עם כמה מושגי מפתח שהורחבו ונוספו עקרונות שלטון חדשים:
- תחזוקה וניהול של מערכת ספריה.
- כללים המסדירים את השימוש בתוכנת קוד פתוח.
- הקפידו על ניטור לוגי קפדני של התקנת תוכנות ספק ותחזוקה.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.online מספק א פתרון מקיף ליישום ISO 27001:2022. מערכת מבוססת אינטרנט זו מאפשרת להדגים כי שלך מערכת ניהול אבטחת מידע עומד בסטנדרטים המאושרים, באמצעות שימוש בתהליכים, נהלים ורשימות תיוג יעילים.
זֶה הפלטפורמה לא רק הופכת את יישום ISO 27001 לפשוטה אך הוא גם משמש כמשאב מצוין להכשרת צוות בנושא שיטות עבודה ותהליכים מומלצים ביחס לאבטחת מידע, כמו גם לרישום כל המאמצים.
היתרונות של השימוש ב-ISMS.online הם רבים:
- פלטפורמה זו ידידותית למשתמש וניתן לגשת אליה מכל מכשיר.
- זה מתכוונן בקלות כדי להתאים לדרישות שלך.
- התאם אישית את זרימות העבודה והתהליכים כך שיתאימו לדרישות העסקיות שלך.
- כלים כדי לאפשר לצוות חדש להתמקצע מהר יותר.
- ספריית מסמכי תבניות זמינה, כולל מדיניות, נהלים, תוכניות ורשימות תיוג.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
קפוץ לנושא
