- לִרְאוֹת ISO 27002:2022 בקרה 8.6 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 12.1.3 לקבלת מידע נוסף.
מטרת ISO 27001:2022 נספח A 8.6
ניהול קיבולת ב-ICT הוא יותר מסתם לוודא שלארגונים יש מספיק מקום לגישה לנתונים ולגיבוי ושחזור מאסון (BUDR). זה מחייב להבטיח שיש כוח מחשוב ומשאבים נאותים כדי לענות על דרישות המשתמש. זה כולל גם תכנון וניהול של רשתות, מרכזי נתונים ותשתיות ICT אחרות כדי לענות על צרכי הארגון.
ארגונים חייבים להבטיח שהם יכולים לפעול ביעילות עם מערכת משאבים הנותנת מענה למגוון צרכים עסקיים, כולל משאבי אנוש, טיפול בנתונים, ניהול משרדים פיזיים ומתקנים נלווים.
פונקציות אלו עלולות לפגוע בשליטה של ארגון על המידע שלהם.
ISO 27001:2022 נספח A 8.6 הוא שילוב של מוֹנֵעַ ו בקרות בילוש ל לשמור על סיכון רמות. בקרה זו מבטיחה שלארגון יש יכולת מספקת לעיבוד מידע.
בעלות על נספח א' 8.6
ISO 27001:2022 נספח A 8.6 מתייחס ליכולת של ארגון להישאר עסק בר קיימא בטווח הארוך.
הבעלות צריכה להיות של סמנכ"ל תפעול או שווה ערך, לקיחת אחריות על שמירה על היושרה והיעילות של הפעילות העסקית מדי יום.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות כלליות בנושא ISO 27001:2022 נספח A 8.6
ISO 27001:2022 נספח א' Control 8.6 מספק 7 עצות כלליות:
- ארגונים צריכים להתייחס להמשכיות עסקית כדאגה ראשונה במעלה בעת הפעלת בקרות ניהול קיבולת, כגון יישום מלא של בקרות בילוש המזהות בעיות אפשריות לפני שהן מתעוררות.
- ניהול הקיבולת צריך להתבסס על פונקציות פרואקטיביות של כוונון וניטור, תוך עבודה משותפת כדי להבטיח שהמערכות והתפעול העסקי לא ייפגעו.
- ארגונים צריכים לבצע באופן קבוע מבחני קיצון כדי לוודא את יכולתם לספק את צרכיהם העסקיים הכוללים. בדיקות אלו צריכות להיות מותאמות אישית לכל מקרה ולהיות מותאמות לאזור הפעולה שאליו הן מיועדות.
- ניהול קיבולת לא צריך להתחשב רק בנתונים הקיימים של הארגון ובצרכים התפעוליים; הם צריכים גם לתכנן צמיחה מסחרית וטכנית פוטנציאלית (הן פיזית והן דיגיטלית) שתהיה מוגנת עתיד ככל האפשר.
- ארגונים חייבים לקחת בחשבון את זמני ההובלה והעלויות המשתנים בעת הרחבת המשאבים. משאבים יקרים ומאתגרים להגדלה צריכים לקבל הערכה יסודית יותר כדי להבטיח שהפעילות העסקית תימשך.
- ההנהלה הבכירה צריכה להיות ערה לכל סיכון של תלות באנשי מפתח או משאבים אישיים, שכן כל בעיה הנובעת מכך יכולה להוביל לבעיות מורכבות.
- בניית אסטרטגיית תכנון קיבולת המתייחסת ספציפית למערכות ותהליכים עסקיים מרכזיים.
הדרכה לניהול ביקוש
ISO 27001:2022 נספח A 8.6 מעודד אסטרטגיה דו-כיוונית לניהול קיבולת - או הגדלת קיבולת או קיצוץ הביקוש לקבוצה נתונה של משאבים.
כאשר שואפים להגביר את הקיבולת, ארגונים צריכים:
- חשבו על הבאת כוח אדם חדש לביצוע חובת עבודה.
- השג מתקנים חדשים או שטחי משרדים באמצעות רכישה, השכרה או השכרה.
- השג עיבוד נוסף, אחסון נתונים וזיכרון RAM (באתר או מבוסס ענן) על ידי רכישה, חכירה או השכרה.
- חשבו על ניצול משאבי ענן 'אלסטיים' ו'ניתנים להרחבה' שמתרחבים בהתאם לצרכים המחשוביים של הארגון, ללא מעורבות כמעט.
ארגונים צריכים לשאוף להפחית את הביקוש על ידי:
- הסר מידע לא מעודכן כדי לשחרר קיבולת אחסון בשרתים ובמדיה הקשורה.
- השלך בצורה מאובטחת כל עותקים מודפסים של מידע שהארגון אינו צריך, ואינו מחויב לשמור באמצעות חקיקה או תקנה.
- הסר כל משאבי ICT, יישומים או הגדרות וירטואליות שאינן נחוצות יותר.
- בחן את פעילויות ה-ICT המתוכננות (כולל חשבונות, תחזוקה אוטומטית ופעילויות אצווה) כדי למקסם את יכולות הזיכרון ולהקטין את השטח שנלקח על ידי הנתונים שנוצרו.
- מקסם את קוד היישום ושאילתות מסד הנתונים המתרחשות בתדירות מספקת כדי להשפיע על היכולת התפעולית של החברה.
- הגבל את כמות רוחב הפס המוקצה לפעילויות לא חיוניות ברשת החברה. זה יכול לכלול הגבלת גישה לאינטרנט וחסימת הזרמת וידאו/שמע ממכשירי עבודה.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.6 מחליף את ISO 27001:2013 נספח א' 12.1.3 (ניהול קיבולת).
ISO 27001:2022 נספח A 8.6 מספק קבוצה יסודית של הנחיות לארגונים כיצד הם יכולים להרחיב את הקיבולת שלהם או להקטין את הביקוש שלהם.
בניגוד ל-ISO 27001:2013 נספח A 12.1.3 אין כיוון מסוים כיצד להגדיל את הקיבולת. עם זאת, ISO 27001:2022 נספח A 8.6 מספק שלבים מדויקים ליצירת מרחב תמרון תפעולי נוסף.
ISO 27001:2013 נספח A 12.1.3 אינו מספק הנחיות כיצד להעריך יכולת תפעולית או לבקר את יכולתו של ארגון להתמודד עם קיבולת בטווח הארוך, מלבד המלצה על תוכנית ניהול קיבולת.
בהתאם לגידול הדרמטי של מחשוב ענן בעשר השנים האחרונות, ISO 27001:2022 נספח A 8.6 קובע בבירור שארגונים צריכים להשתמש במשאבים מבוססי ענן המותאמים לצרכים העסקיים שלהם.
ISO 27001:2013 נספח A 12.1.3 אינו מתייחס למתקני אחסון או מחשוב מחוץ לאתר.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001: 2022 נספח א' בקרה.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
רשימת הבדיקה שלנו עוזרת לפשט את היישום של ISO 27001:2022, המנחה אותך לאורך כל התהליך. שֶׁלָנוּ פתרון מקיף מבטיח את תאימותך לתקן ISO/IEC 27001:2022.
ברגע שתתחבר, תתקדם עד 81%.
ניתן פתרון מקיף ופשוט לעמידה מלאה.
צור איתנו קשר עכשיו כדי לקבוע הפגנה.
קפוץ לנושא
