- לִרְאוֹת ISO 27002:2022 בקרה 8.22 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 13.1.3 לקבלת מידע נוסף.
ISO 27001 נספח A 8.22: חיזוק האבטחה באמצעות הפרדת רשתות
כאשר פושעי סייבר חודרים למערכות מחשוב, שירותים או מכשירים, הם אינם מגבילים את עצמם לנכסים אלה בלבד.
הם עושים שימוש בחדירה הראשונה כדי לחדור לכל הרשת של החברה, להשיג גישה לנתונים רגישים או לבצע התקפות של תוכנות כופר.
נוכלי סייבר יכולים לגנוב את פרטי הכניסה של צוות משאבי אנוש בבית חולים לאחר מתקפת פישינג מוצלחת, ולאפשר להם גישה למערכות משאבי אנוש.
באמצעות נקודת הגישה שלהם, התוקפים יכולים לחצות את הרשת ולחשוף רשתות המכילות נתוני חולים חסויים. חדירה זו עלולה להוביל לאובדן נתונים, לגרום להפרעה בפעילות, או אפילו לפתוח דלת להתקפת תוכנת כופר.
בית החולים יכול למנוע גישה לא מורשית לנתונים חסויים ולהפחית את ההשלכות של הפרה על ידי שימוש בטכניקות פילוח רשת כגון חומות אש, רשתות וירטואליות או בידוד שרתים.
ISO 27001:2022 נספח A 8.22 מתאר כיצד חברות יכולות ליישם ולשמר שיטות הפרדת רשת מתאימות כדי למנוע סיכונים לזמינות, לשלמות ולסודיות של נכסי מידע.
מטרת ISO 27001:2022 נספח A 8.22
ISO 27001:2022 נספח A 8.22 מאפשר לארגונים לחלק את רשתות ה-IT שלהם לתתי רשתות בהתאם למידת הרגישות והחשיבות, ולהגביל את העברת המידע בין אותן תת רשתות שונות.
ארגונים יכולים להשתמש בזה כדי לעצור תוכנות זדוניות ווירוסים מלהגיע מרשתות נגועות לאלה המכילות נתונים רגישים.
זה מבטיח את זה ארגונים מאובטחים הסודיות, השלמות והנגישות של נכסי נתונים המאוחסנים בתתי רשתות חיוניות.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 8.22
השמיים קצין אבטחת מידע יש לשאת באחריות לעמידה ב-ISO 27001:2022 נספח A 8.22, המחייב פילוח של רשתות, מכשירים ומערכות לפי סיכונים ויישום של טכניקות ונהלים של הפרדת רשת.
הנחיה כללית בנושא ISO 27001:2022 נספח A 8.22 תאימות
ארגונים צריכים לשאוף להשיג שיווי משקל בין צרכים תפעוליים וחרדות אבטחה בעת הקמת תקנות הפרדת רשתות.
ISO 27001: 2022 נספח א Control 8.22 מספק שלוש המלצות שיש לקחת בחשבון בעת הגדרת הפרדת רשת.
כיצד להפריד את הרשת לתת-רשתות קטנות יותר
בעת פיצול הרשת לתת-דומיינים קטנים יותר, ארגונים צריכים לשקול את הרגישות והחשיבות של כל תחום רשת. בהתאם להערכה זו, תת-דומיינים של רשת עשויים להיות מתויגים כ'דומיינים ציבוריים', 'דומיינים שולחניים', 'דומיינים של שרתים' או 'מערכות בסיכון גבוה'.
ארגונים צריכים לקחת בחשבון מחלקות עסקיות כמו משאבי אנוש, שיווק ופיננסים בתהליך פילוח הרשת שלהם.
ארגונים יכולים גם למזג את שני הקריטריונים הללו, להקצות תת-דומיינים של רשת לקטגוריות כגון "דומיין שרת המקשר למחלקת המכירות".
היקפי אבטחה ובקרת גישה
ארגונים חייבים לתחום את הגבולות של כל תת-דומיין של רשת במפורש. אם צריכה להיות גישה בין שני תחומי רשת שונים, חיבור זה צריך להיות מוגבל ברמה ההיקפית באמצעות שימוש בשערים כמו חומות אש או נתבים לסינון.
ארגונים צריכים להעריך את צרכי האבטחה עבור כל תחום בעת הקמת הפרדת רשת וכאשר נותנים גישה דרך שערים.
הערכה זו חייבת להתבצע בהתאם למדיניות בקרת הגישה שנקבעה על ידי ISO 27001:2022 נספח A 5.15, תוך התחשבות בדברים הבאים:
- הסיווג המוקצה לנכסי מידע הוא באיזו רמה.
- חשיבות המידע היא מכרעת.
- עלות ומעשיות הם גורמים מרכזיים בעת ההחלטה באיזו טכנולוגיית שער להשתמש.
רשת אלחוטית
ISO 27001: 2022 נספח A 8.22 ממליץ לארגונים להקפיד על הנהלים הבאים בעת יצירת פרמטרי אבטחת רשת עבור רשתות אלחוטיות:
- הערך את השימוש בשיטות התאמת כיסוי רדיו לחלוקת רשתות אלחוטיות.
- עבור רשתות עדינות, ארגונים יכולים לקחת את כל ניסיונות הגישה האלחוטית כחיבורים חיצוניים ולאסור גישה לרשתות פנימיות עד שבקרת השער תיתן אישור.
- על הצוות להשתמש רק במכשירים שלהם בהתאם למדיניות הארגון; יש להפריד את הגישה לרשת הניתנת לצוות ולאורחים.
- על המבקרים להיות כפופים לאותן תקנות בנוגע לשימוש ב-Wi-Fi כמו חברי הצוות.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות משלימות על ISO 27001:2022 נספח A 8.22
ארגונים צריכים להבטיח שכל השותפויות העסקיות כפופות לאמצעי אבטחה מתאימים. נספח A 8.22 מייעץ לארגונים ליישם אמצעים כדי להגן על הרשת, התקני ה-IT ומתקני מידע אחרים שלהם בעת התקשרות עם שותפים עסקיים.
רשתות רגישות עלולות להיות חשופות לסיכון מוגבר של גישה לא מורשית. כדי להגן מפני זה, ארגונים צריכים לנקוט בצעדים המתאימים.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.22 מחליף את ISO 27001:2013 נספח A 13.1.3 בגרסה האחרונה של ISO.
בהשוואה ל-ISO 27001:2013, עדכון ISO 27001:2022 מחייב את הרשתות האלחוטיות הבאות:
- אם הצוות מציית למדיניות הארגון ומשתמש רק במכשירים שלהם, יש להפריד את הגישה לרשת האלחוטית הניתנת לצוות ולמבקרים.
- האורחים צריכים להיות כפופים לאותן הגבלות ובקרות בנוגע ל-Wi-Fi כמו אנשי הצוות.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.Online מאפשר לך:
- מסמכים מעבדים בקלות עם ממשק ידידותי זה למשתמש. אין צורך בהתקנת תוכנה במחשב או ברשת.
- ייעל את הליך הערכת הסיכונים שלך על ידי אוטומציה שלו.
- השג תאימות בקלות על ידי שימוש בדוחות ורשימות ביקורת מקוונים.
- שמור על תיעוד של ההתקדמות שלך בזמן שאתה עובד לקראת הסמכה.
ISMS.online מספק מערך מקיף של פונקציונליות כדי לסייע לארגונים ועסקים במפגש עם התעשייה ISO 27002 ו/או תקן ISO 27001:2022 ISMS.
צור איתנו קשר כדי לארגן הפגנה.
קפוץ לנושא
