- לִרְאוֹת ISO 27002:2022 בקרה 8.27 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 14.2.5 לקבלת מידע נוסף.
ISO 27001:2022 בקרה 8.27 - חיזוק אבטחת המערכת מהיסוד
ISO 27001: 2022 נספח A 8.27 מפרט שארגונים חייבים ליישם ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים כדי להבטיח שהתכנון, ההטמעה והניהול של מערכת המידע מתאימים לדרישות האבטחה של הארגון. זה כולל הקמת ארכיטקטורות מערכת מאובטחות, עקרונות הנדסיים ושיטות תכנון מאובטחות.
המבנים המורכבים של מערכות מידע עכשוויות, בשילוב עם סביבת סיכוני אבטחת הסייבר המשתנה ללא הרף, הופכים את מערכות המידע ליותר מועדות לאיומי אבטחה קיימים ופוטנציאליים.
נספח A 8.27 מתאר כיצד ארגונים יכולים להגן מערכות המידע שלהם מאיומי אבטחה דרך יישום עקרונות הנדסת מערכת מאובטחת בכל שלבי מחזור החיים של מערכת המידע.
מטרת ISO 27001:2022 נספח A 8.27
נספח A 8.27 מאפשר לארגונים לאבטח מערכות מידע במהלך שלבי התכנון, הפריסה והתפעול, באמצעות הקמה והטמעה של עקרונות הנדסת מערכת מאובטחת שמהנדסי מערכות חייבים לדבוק בהם.
בעלות על נספח א' 8.27
השמיים מנהל מערכות מידע קצין ביטחון יש לשאת באחריות להקמה, שמירה והטמעה של הכללים השולטים בהנדסה בטוחה של מערכות מידע.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיה כללית בנושא ISO 27001:2022 נספח A 8.27 תאימות
ISO 27001:2022 נספח A 8.27 מדגיש את הצורך של ארגונים להטמיע אבטחה במכלול מערכות המידע שלהם, כולל תהליכים עסקיים, יישומים וארכיטקטורת נתונים.
יש ליישם שיטות הנדסה מאובטחות עבור כל המשימות הקשורות למערכות מידע, לבחון ולעדכן באופן קבוע כדי להתחשב באיומים ודפוסי תקיפה מתעוררים.
נספח A 8.27 חל גם על מערכות שנוצרו על ידי ספקים חיצוניים, בנוסף לאלו שפותחו ומופעלות באופן פנימי.
ארגונים צריכים להבטיח שהנהלים והסטנדרטים של ספקי השירות תואמים לפרוטוקולים ההנדסיים המאובטחים שלהם.
ISO 27001:2022 נספח A 8.27 מחייב עקרונות הנדסת מערכת מאובטחת כדי לטפל בשמונה הנושאים הבאים:
- שיטות לאימות משתמש.
- הנחייה מאובטחת של בקרת הפעלה.
- נהלים לחיטוי ואימות נתונים.
- אמצעי אבטחה להגנה על נכסי מידע ומערכות מפני איומים ידועים מנותחים באופן מקיף.
- אמצעי אבטחה מנותחים לפי יכולתם לזהות, לחסל ולהגיב לאיומי אבטחה.
- ניתוח אמצעי האבטחה המופעלים על פעילויות עסקיות ספציפיות, כגון הצפנת מידע.
- היכן וכיצד ייושמו אמצעי אבטחה. ניתן לשלב בקרת אבטחה ספציפית נספח א' בתוך התשתית הטכנית כחלק מתהליך זה.
- האופן שבו אמצעי אבטחה שונים פועלים יחד ופועלים כמערכת משולבת.
הדרכה על עקרון אפס אמון
ארגונים צריכים לזכור את עקרונות אפס אמון אלה:
- בהתבסס על ההנחה שמערכות הארגון כבר נפגעות וכי האבטחה ההיקפית המוגדרת של הרשת שלו אינה יכולה לספק הגנה מספקת.
- יש לאמץ מדיניות של "אימות לפני אמון" בכל הנוגע להענקת גישה למערכות מידע. זה מבטיח שהגישה ניתנת רק לאחר בדיקה, ומוודא שלאנשים הנכונים יש את זה.
- הבטחת בקשות המוגשות למערכות מידע מוגנות באמצעות הצפנה מקצה לקצה מספקת ביטחון.
- מנגנוני אימות מיושמים בהנחה של בקשות גישה מרשתות חיצוניות ופתוחות למערכות מידע.
- הטמעת הרשאות מינימליות ובקרת גישה דינמית בהתאם ל-ISO 27001:2022 נספח A 5.15, 5.18 ו-8.2. זה חייב לכלול אימות והרשאה של מידע רגיש ומערכות מידע תוך התחשבות בהיבטים הקשריים כגון זהויות המשתמש (ISO 27001:2022 נספח A 5.16) וכן סיווג מידע (ISO 27001:2022 נספח A 5.12).
- אימות את זהות המבקש ואמת בקשות הרשאה לגישה למערכות מידע על פי מידע אימות ב-ISO 27001:2022 נספח A 5.17, 5.16 ו-8.5.
מה צריכות לכסות טכניקות הנדסת מערכת מאובטחת?
הארגון שלך צריך לזכור את הדברים הבאים:
- שילוב של עקרונות ארכיטקטורה מאובטחים כגון "אבטחה לפי עיצוב", "הגנה לעומק", "כשל מאובטח", "אי-אמון בקלט מיישומים חיצוניים", "הנחת הפרה", "הרשאות הקטנות ביותר", "שימושיות וניהול" ו"פחות פונקציונליות "הוא ערך עליון.
- ביצוע סקירת עיצוב מכוונת אבטחה לאיתור בעיות אבטחת מידע ולוודא שאמצעי אבטחה נקבעים ועונים על צורכי האבטחה.
- תיעוד והכרה של אמצעי אבטחה שאינם עומדים בדרישות הוא חיוני.
- הקשחת מערכת חיונית לאבטחה של כל מערכת.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
אילו קריטריונים יש לקחת בחשבון בעת תכנון עקרונות הנדסה מאובטחת?
ארגונים צריכים לקחת בחשבון את הנקודות הבאות בעת הגדרת עקרונות הנדסת מערכת מאובטחת:
- הדרישה לתאם בקרות נספח A עם ארכיטקטורת אבטחה מסוימת היא הכרחית.
- תשתית אבטחה טכנית קיימת של ארגון, לרבות תשתית מפתח ציבורי, ניהול זהויות ומניעת דליפת נתונים.
- האם הארגון יכול לבנות ולקיים את הטכנולוגיה שנבחרה.
- יש לשקול את העלות והזמן הנדרש למילוי דרישות האבטחה, תוך התחשבות במורכבותם.
- הקפדה על שיטות עבודה מומלצות עדכניות היא חיונית.
הנחיות ליישום עקרונות הנדסת מערכת מאובטחת
ISO 27001:2022 נספח A 8.27 קובע כי ארגונים יכולים להשתמש בעקרונות הנדסיים מאובטחים בעת הגדרת הפריטים הבאים:
- סובלנות תקלות ואסטרטגיות חוסן אחרות הן חיוניות. הם עוזרים להבטיח שהמערכות יישארו פעילות למרות התרחשותם של אירועים בלתי צפויים.
- הפרדה באמצעות וירטואליזציה היא טכניקה אחת שניתן להשתמש בה.
- הגנת חבלה, ודא שהמערכות נשארות מאובטחות ואטומות להפרעות זדוניות.
טכנולוגיית וירטואליזציה מאובטחת יכולה להפחית את הסיכון של יירוט בין יישומים הפועלים על אותו מכשיר.
מודגש כי מערכות עמידות בפני חבלה יכולות לזהות הן מניפולציה לוגית ופיזית של מערכות מידע, ולמנוע גישה לא מורשית לנתונים.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.27 מחליף את ISO 27001:2013 נספח A 14.2.5 בתקן 2022 המתוקן.
גרסת 2022 מכילה דרישות נרחבות יותר מגרסת 2013, כגון:
- בהשוואה לשנת 2013, גרסת 2022 מספקת הנחיות לגבי העקרונות ההנדסיים המאובטחים שצריכים להכיל.
- בניגוד לאיטרציה של 2013, גרסת 2022 לוקחת בחשבון את הקריטריונים שארגונים צריכים לקחת בחשבון בעת בניית עקרונות הנדסת מערכת מאובטחת.
- גרסת 2022 מספקת הנחיות לגבי עיקרון אפס האמון, שלא נכלל בגרסת 2013.
- מהדורת 2022 של המסמך כוללת המלצות לטכניקות הנדסיות מאובטחות, כגון "אבטחה לפי עיצוב", שלא הייתה קיימת בגרסת 2013.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
רשימת הבדיקה שלנו שלב אחר שלב הופכת את הטמעת 27001 ISO לפשוטה. שֶׁלָנוּ פתרון תאימות מלא עבור ISO/IEC 27001:2022 ינחה אותך בתהליך מתחילתו ועד סופו.
עם הכניסה, אתה יכול לצפות להתקדמות של עד 81%.
פתרון זה הוא מקיף ופשוט לחלוטין.
פנה עכשיו ל להזמין הדגמה.
קפוץ לנושא
