- לִרְאוֹת ISO 27002:2022 בקרה 8.9 לקבלת מידע נוסף.
מטרת ISO 27001:2022 נספח A 8.9
תצורות, כקובץ תצורה בודד או כאוסף של תצורות המקושרות זו לזו, קובעות כיצד מנוהלים החומרה, התוכנה והרשתות.
כדוגמה, קובץ התצורה של חומת אש יכיל את תכונות הבסיס שבהן המכשיר משתמש כדי לנהל את התעבורה הנכנסת ויוצאת מרשת הארגון, כגון רשימות חסימה, העברת יציאות, רשתות LAN וירטואליות ומידע VPN.
ניהול תצורה מהווה חלק מהותי בכל ארגון ניהול נכסים אִסטרָטֶגִיָה. תצורות הן חיוניות כדי לוודא שהרשת פועלת כפי שהיא צריכה, ולהגנה על מכשירים מפני שינויים לא אושרו או שינויים בלתי הולמים על ידי אנשי תחזוקה ו/או ספקים.
בעלות על נספח א' 8.9
ניהול תצורה הוא חובה ניהולית המוקדשת לשמירה ותצפית על נתונים ומידע הקשורים לנכסים הקיימים במכשירים ויישומים שונים. לכן, הבעלות צריכה להיות בידיהם של מנהל מערכות מידע או המקבילה.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות לגבי ISO 27001:2022 נספח A 8.9 תאימות
ארגונים צריכים לעצב ולהפעיל מדיניות ניהול תצורה עבור מערכות וחומרה חדשות וקיימות כאחד. בקרות פנימיות צריכות לכלול אלמנטים מרכזיים כגון תצורות אבטחה, חומרה עם קובצי תצורה וכל תוכנה או מערכות רלוונטיות.
ISO 27001: 2022 נספח A 8.9 מחייב ארגונים לשקול את כל התפקידים והחובות הרלוונטיים בעת קביעת מדיניות תצורה, כולל הקצאת בעלות על תצורות על בסיס מכשיר אחר מכשיר או יישום אחר יישום.
הדרכה על תבניות סטנדרטיות
ארגונים צריכים לשאוף להשתמש בתבניות סטנדרטיות כדי לאבטח את כל החומרה, התוכנה והמערכות בכל מקום מעשי. תבניות אלה צריכות:
- נסה להשתמש בהוראות קוד פתוח ספציפיות לספק זמינות באופן חופשי כדי להגדיר בצורה אופטימלית נכסי חומרה ותוכנה.
- ודא שהמכשיר, האפליקציה או המערכת עומדים בדרישות האבטחה המינימליות.
- שיתוף פעולה עם הגדולים בחברה אבטחת מידע פעילויות, כולל כל תקנות ISO החלות.
- קח בחשבון את הצרכים העסקיים המיוחדים של הארגון - במיוחד ביחס להגדרות אבטחה - כמו גם את האפשרות להחיל או לנהל תבנית בכל זמן נתון.
- במרווחי זמן קבועים, סקור את עדכוני המערכת והחומרה, ואת כל איומי האבטחה הנוכחיים, כדי להבטיח ביצועים מיטביים.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות לגבי בקרות אבטחה
אבטחה היא בעלת חשיבות עליונה בעת החלת תבניות תצורה או שינוי תבניות קיימות בהתאם להנחיות שהוזכרו לעיל.
כאשר שוקלים להטמיע תבניות ברחבי החברה, ארגונים צריכים לשאוף לצמצום סכנות אבטחת מידע פוטנציאליות על ידי:
- לרסן את כמות כוח האדם עם הסמכות המנהלית לכמות המינימלית האפשרית.
- השבת כל זהות שאינה בשימוש או שאינה נחוצה.
- עקוב בקפידה אחר גישה לתוכניות תחזוקה, כלי עזר והגדרות פנימיות.
- ודא שהשעונים מתואמים להקלטת תצורה מדויקת ולסייע בכל בדיקה עתידית.
- החלף מיד סיסמאות ברירת מחדל או הגדרות בטיחות המסופקות עם כל מכשיר, שירות או תוכנית.
- הפעל תקופת התנתקות מוגדרת מראש עבור כל התקנים, מערכות או יישומים שלא היו פעילים במשך מסגרת זמן קבועה מראש.
- ודא עמידה ב-ISO 27001:2022 נספח A 5.32 כדי להבטיח שכל דרישות הרישוי מולאו.
הדרכה בנושא ניהול וניטור תצורות
הארגון מחויב לשמור ולתעד תצורות, יחד עם היסטוריה של כל שינוי או הגדרות חדשות, בהתאם לתהליך ניהול השינויים ISO 27001:2022 נספח A 8.32.
יומנים צריכים לכלול מידע המפרט:
- מי מחזיק בנכס.
- רשום את השעה של שינוי התצורה האחרון.
- גרסה זו של תבנית התצורה שנמצאת בתוקף.
- הסבר כל מידע הרלוונטי לשיוך הנכס עם תצורות בגאדג'טים/מערכות אחרות.
ארגונים צריכים להשתמש במגוון רחב של שיטות כדי לעקוב אחר התפקוד של קבצי תצורה ברחבי הרשת שלהם, כגון:
- אוטומציה.
- תוכניות מיוחדות לתחזוקת תצורה זמינות לשימוש. תוכניות אלו מאפשרות ניהול יעיל ואפקטיבי של הגדרות.
- כלי תמיכה מרחוק המאכלסים באופן אוטומטי נתוני תצורה עבור כל מכשיר.
- כלי עזר לניהול מכשירים ותוכנה ארגוניים נוצרים כדי לצפות בכמויות גדולות של נתוני תצורה בו זמנית.
- תוכנת BUDR מספקת גיבויים אוטומטיים של תצורות למקום מאובטח, ויכולה לשחזר מרחוק או באתר תבניות למכשירים פגומים או פגומים.
ארגונים צריכים להשתמש בתוכנה מיוחדת כדי לפקח על כל שינוי בתצורת המכשיר, תוך נקיטת פעולה מהירה כדי לאשר או להחזיר את השינוי למצבו הראשוני.
בקרות הנלווה לנספח א'
- ISO 27001:2022 נספח A 5.32
- ISO 27001:2022 נספח A 8.32
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןשינויים והבדלים מ-ISO 27001:2013
ISO 27001:2022 נספח A 8.9 אינו קיים ב-ISO 27001:2013, שכן מדובר בתוספת חדשה בגרסה של 2022.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל ISO 27001:2022 בנפרד נספח א לִשְׁלוֹט.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ISMS.Online מספקת גישה מקיפה ל יישום ISO 27001. הוא מציע חבילת שירות מלא, המבטיחה שכל התהליך יטופל במהירות וביעילות. הוא מספק את כל הכלים, המשאבים וההדרכה הדרושים כדי לאפשר לארגונים ליישם את התקן בביטחון.
מערכת מבוססת אינטרנט זו מאפשרת לך להוכיח כי שלך מערכת ניהול אבטחת מידע (ISMS) עומד בסטנדרטים המקובלים, עם תהליכים, נהלים ורשימות ביקורת שקולים היטב.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
קפוץ לנושא
