בתוך ISO 27001:2022 נספח A: מבט מקרוב על בקרות מפתח

מבוא ל-ISO 27001:2022 נספח A

ISO 27001: 2022 הוא תקן אבטחת מידע בינלאומי המיושם באמצעות מערכת ניהול אבטחת מידע (ISMS). נספח A של התקן מכיל 93 בקרות אבטחה שניתן ליישם בהתבסס על הצרכים והיעדים של הארגון שלך.  

יישום בקרות אלה מאפשר לארגון שלך לטפל בסיכונים פוטנציאליים ולהשיג עמידה בתקן ISO 27001. זוהי גישה מוכחת להראות ללקוחות וללקוחות פוטנציאליים שלך שהגנה על הנתונים שלהם היא בראש סדר העדיפויות של העסק שלך.  

במאמר זה, נבחן את נספח A, נתאר בקרות קריטיות, ונסביר מדוע הבנה והטמעה של בקרות נספח A רלוונטיות היא חיונית להצלחת ISO 27001 של הארגון שלך. 

ISO 27001:2022 נספח A קטגוריות

 93 ISO 27001:2022 נספח א' בקרות מסווגות בארבע קטגוריות: 

•        בקרות ארגוניות
•        אנשים שולטים
•        בקרות פיזיות 
•        בקרות טכנולוגיות.

בקרות ארגוניות

ISO 27001 מכיל 37 בקרות ארגוניות. בקרות אלו מתייחסות למדיניות, נהלים, מבנים ועוד של הארגון שלך, ומאפשרות לך ליישם אבטחת מידע יעילה ברמה הארגונית.  

בקרות ארגוניות כוללות את מדיניות אבטחת המידע שלך, אחריות על אבטחת מידע, בקרת גישה, ניהול נכסים ועוד. 

אנשים בקרות

תקן ISO 27001 מכיל שמונה בקרות של אנשים, תוך התמקדות באמצעים קריטיים שארגונים צריכים לנקוט כדי להבטיח שהעובדים יקבלו הדרכת אבטחת מידע מספקת ויכירו את האחריות שלהם. 

בקרות האנשים כוללות חינוך לאבטחת מידע, מודעות והדרכה, אמצעי עבודה מרחוק, דיווח על אירועי אבטחת מידע ועוד. 

בקרות פיזיות 

14 הבקרות הפיזיות ב-ISO 27001 מתייחסות לאבטחת הסביבה הפיזית של הארגון שלך. 

בקרות פיזיות כוללות אמצעי אבטחה לעבודה באזורים מאובטחים, ניהול אמצעי אחסון, מדיניות ברורה של שולחן עבודה ומסך ועוד. 

בקרות טכנולוגיות

ישנן 34 בקרות טכנולוגיות המתוארות ב-ISO 27001:2022 המתייחסות לאלמנטים טכנולוגיים שונים ברחבי הארגון שלך. 

בקרות טכנולוגיות כוללות אימות מאובטח, ניהול נקודות תורפה טכניות, פעילויות ניטור ושימוש בהצפנה. 

בקרות ISO 27001:2022 קריטי

הארגון שלך לא בהכרח צריך ליישם את כל 93 הבקרות, אבל עליך לבחור בקרות הרלוונטיות למטרות אבטחת המידע של הארגון שלך ולסיכונים שזיהית. נדרשות מספר בקרות חיוניות עבור רוב הארגונים, אם לא כולם, כדי לעמוד בתקן ISO 27001. 

שימו לב שהרשימה למטה אינה ממצה. הארגון שלך צריך לשקול כל בקרה בהתבסס על יעדי אבטחת המידע הכוללים שלך. 

A.5.1 מדיניות אבטחת מידע

שליטה A.5.1, מדיניות לאבטחת מידע, מבטיח התאמה מתמשכת, נאותות ואפקטיביות של תמיכה והכוונה ניהולית לאבטחת המידע ופרטיות הארגון שלך. 

מיושם בהצלחה, בקרה זו מבטיחה שלארגון שלך יש סט של מדיניות אבטחת מידע ופרטיות שנועדה ליידע ולהנחות את התנהגותם של אנשים בהתאם לסיכוני אבטחת מידע.  

למשל, שלך מדיניות אבטחת מידע, שהיא דרישה של ISO 27001:2022 סעיף 5.2, צריך להיות מאושר על ידי ההנהלה ולציין את הגישה של הארגון שלך לניהול אבטחת מידע. זה צריך לשקול את האסטרטגיה העסקית שלך, הדרישות, החקיקה הרלוונטית, התקנות והחוזים.  

הפוליסה צריכה: 

• כלול הגדרה של אבטחת מידע 

• לספק מסגרת לקביעת יעדי אבטחת מידע 

• ציין מחויבות מתמשכת לשיפור ה-ISMS של הארגון שלך 

• הקצאת אחריות לניהול אבטחת מידע לתפקידים מוגדרים. 

ההנהלה הבכירה צריכה לאשר את מדיניות אבטחת המידע וכל שינוי שנעשה כדי להבטיח יישום יעיל. לאחר מכן, עליך להעביר את המדיניות (וכל מדיניות משנה הקשורה, כגון בקרת גישה ומדיניות ניהול נכסים) לצוות הרלוונטי. 

 א.5.1. תוצאות: מדיניות אבטחת מידע; מדיניות משנה רלוונטית לנושא, למשל A.5.10 שימוש מקובל במידע ובנכסים קשורים אחרים, א.8.32 ניהול שינויים, A.8.13 גיבוי מידע, וכו ' 

א.5.15 בקרת גישה

שליטה א.5.15, בקרת כניסה דורש מהארגון שלך לקבוע וליישם כללים כדי לשלוט בגישה הפיזית והלוגית למידע ולנכסים קשורים אחרים בהתבסס על דרישות עסקיות ואבטחת מידע. זה מבטיח שרק פרופילים מורשים יכולים לגשת למידע ולנכסים אחרים ומונע גישה לא מורשית. 

עליך להתייחס לבקרה זו באמצעות מדיניות בקרת גישה, אשר יושבת כמדיניות ספציפית לנושא תחת מדיניות אבטחת המידע שלך. מדיניות בקרת הגישה שלך צריכה לשקול:  

• קביעה אילו ישויות דורשות איזה סוג של גישה למידע ולנכסים אחרים 

• אבטחת יישומים 

• גישה פיזית, נתמכת על ידי בקרות כניסה פיזיות 

• הפצת מידע והרשאה ורמות אבטחת מידע וסיווג מידע 

• הגבלות על גישה מועדפת 

• הפרדת תפקידים 

• חקיקה, תקנות וחובות חוזיות רלוונטיות לגבי הגבלת גישה לנתונים או שירותים 

• הפרדה של פונקציות בקרת גישה (כגון בקשת גישה, הרשאת גישה וניהול גישה) 

• אישור פורמלי של בקשות גישה 

• ניהול זכויות גישה 

• רישום. 

בדרך כלל נעשה שימוש בעקרונות של צורך לדעת וצורך-להשתמש בבקרת גישה: 

• צריך לדעת כרוך בישות (כגון אדם או ארגון) המוענקת רק גישה למידע שהישות דורשת לביצוע משימותיה.  

• צריך להשתמש כרוך בכך שניתן לישות רק גישה לתשתית טכנולוגיית מידע עם צורך ברור.  

עקרונות אלה יכולים להנחות כיצד הארגון שלך מעניק גישה לנכסי מידע. עליך לשקול גם דרישות עסקיות וגורמי סיכון בעת ​​הגדרת כללי בקרת הגישה המיושמים ואת רמת הפירוט הדרושה. 

א.5.15 תוצאות: מדיניות בקרת גישה ספציפית לנושא; יישום בקרת גישה (למשל בקרת גישה חובה, בקרת גישה לפי שיקול דעת, בקרת גישה מבוססת תפקידים או בקרת גישה מבוססת תכונות). 

א.6.3 מודעות, חינוך והדרכה לאבטחת מידע

שליטה A.6.3, מודעות, חינוך והכשרה לאבטחת מידע, הוא הבסיס לעמדת האבטחה של הארגון שלך. זה מבטיח שהעובדים והגורמים המעוניינים יכולים למנוע, לזהות ולדווח על אירועי אבטחת מידע פוטנציאליים.  

הבקרה מחייבת את הצוות והגורמים הרלוונטיים לקבל מודעות מתאימה לאבטחת מידע, חינוך, הכשרה ועדכונים שוטפים על מדיניות אבטחת המידע של הארגון שלך ועל מדיניות ונהלים ספציפיים לנושא, בהתאם לתפקידיהם. 

עליך להקים תוכנית מודעות, חינוך והכשרה לאבטחת מידע בהתאם ליעדי אבטחת המידע שלך, וההדרכה צריכה להתקיים מעת לעת. התוכנית צריכה להבהיר את העובדים לאחריותם לאבטחת מידע ולכלול תוכנית חינוך והכשרה מתאימה כדי לסייע לצוות להבין את מטרת אבטחת המידע ואת ההשפעה הפוטנציאלית של התנהגותם, ככל שהיא קשורה לאבטחת מידע, על העסק שלך. 

שקול לכסות היבטים כגון:  

• מחויבות ההנהלה לאבטחת מידע בכל הארגון שלך 

• צרכי היכרות ותאימות הנוגעים לכללים וחובות ישימים לאבטחת מידע 

• אחריות אישית על מעשיו וחוסר המעשים, ואחריות כללית לאבטחת או הגנה על מידע השייך לארגון 

• נהלי אבטחת מידע בסיסיים כגון דיווח על אירועים ואבטחת סיסמאות 

• נקודות יצירת קשר ומשאבים למידע נוסף וייעוץ. 

A.6.3 תוצאות: אימון למודעות תקופתית; תוכנית חינוך והכשרה תקופתית; הפצה שוטפת של מדיניות אבטחת מידע רלוונטית, לרבות עדכונים. 

 A.8.24 שימוש בקריפטוגרפיה

שליטה A.8.24, שימוש בקריפטוגרפיה דורש מהארגון שלך להגדיר וליישם כללים לשימוש יעיל בקריפטוגרפיה. ניתן להשתמש בקריפטוגרפיה להשגת יעדי אבטחת מידע שונים, כגון: 

• סודיות, על ידי שימוש בהצפנה כדי להגן על מידע רגיש או קריטי 

• יושרה או אותנטיות, על ידי שימוש בחתימות דיגיטליות או קודי אימות של הודעות כדי לאמת את האותנטיות או השלמות של מידע רגיש או קריטי 

• אי-דחייה, על ידי שימוש בטכניקות הצפנה כדי לספק עדות להתרחשות או אי התרחשות של אירוע או פעולה 

• אימות, by שימוש בטכניקות הצפנה לאימות משתמשים וישויות אחרות המבקשות גישה למערכת, לישויות או למשאבים שלך. 

הארגון שלך צריך ליישם מדיניות הצפנה ספציפית לנושא, כולל עקרונות כלליים להגנה על מידע. עליך לשקול גם דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות רלוונטיות הקשורות לקריפטוגרפיה. שיקולים קריטיים למדיניות ההצפנה שלך כוללים: 

• זיהוי רמת ההגנה והסיווג הנדרשים של המידע ובעקבות כך קביעת סוג, חוזק ואיכות האלגוריתמים ההצפנה הנדרשים 

• הגישה לניהול מפתחות ויצירת מפתחות, לרבות תהליכים מאובטחים להפקה, אחסון, ארכיון, אחזור, הפצה, פרישה והשמדה של מפתחות קריפטוגרפיים 

• תפקידים ואחריות ליישום הכללים לשימוש יעיל בקריפטוגרפיה וניהול והפקת מפתחות. 

בהתאם לבקרה זו, על הארגון שלך להגדיר ולהשתמש במערכת ניהול מפתח. 

A.8.24 תוצאות: מדיניות הצפנה ספציפית לנושא; יישום שיטות הצפנה מתאימות; הטמעת מערכת ניהול מפתח.

הערכת סיכונים וטיפול בתקן ISO 27001:2022 

הארגון שלך יצטרך להגדיר וליישם תהליך הערכת סיכוני אבטחת מידע כדי לעמוד בתקן ISO 27001:2022 סעיף 6.1.2, הערכת סיכוני אבטחת מידע.  

תהליך הערכת סיכוני אבטחת המידע צריך: 

• קבע ותחזק קריטריונים לסיכון אבטחת מידע, לרבות קריטריונים לקבלת סיכונים וקריטריונים לביצוע הערכות סיכוני אבטחת מידע. 

• ודא שהערכות חוזרות ונשנות של אבטחת מידע מייצרות תוצאות עקביות, תקפות וניתנות להשוואה. 

• זיהוי סיכוני אבטחת המידע. 

• נתח סיכוני אבטחת מידע, כולל הסבירות להתרחשות סיכון, השלכות אפשריות של התרחשות סיכון ורמות הסיכון 

• הערך את סיכוני אבטחת המידע על ידי השוואת תוצאות ניתוח הסיכונים עם קריטריוני הסיכון שנקבעו ותעדוף סיכונים מנותחים לטיפול. 

תהליך זה מאפשר לבנות מסגרת שיטתית להערכת סיכונים. לאחר ביסוס זה, עליך להגדיר וליישם תהליך טיפול בסיכוני אבטחת מידע בהתאם לסעיף 6.1.3.  

תהליך הטיפול בסיכון שלך צריך לכלול: 

• בחירת אפשרויות טיפול בסיכון מתאימות. 

• בהתחשב בתוצאות הערכת הסיכונים. 

• קביעת הבקרות הנחוצות ליישום אפשרויות הטיפול בסיכון המוצגות.  

 כאן, נספח א' משמש קו מנחה לטיפול בסיכון מקיף והולם. באמצעות מסגרת הערכת הסיכונים שלך, אתה יכול לתעדף ולבחור בקרות על סמך פרופיל הסיכון שלך והדרישות הארגוניות שלך. לאחר מכן, עליך לבחור את הבקרות הנחוצות נספח A ליישום כדי לטפל בהן ולהבטיח שלא התעלמו מהבקרות הקריטיות.

נספח A: ISO 27001:2013 לעומת ISO 27001:2022 

הגרסה הנוכחית של ISO 27001, שפורסמה בשנת 2022, כוללת קבוצה מחודשת של בקרות נספח A בהשוואה לאיטרציה של 2013. בעבר, נספח A כלל 114 בקרות ב-14 קטגוריות; כעת נספח A מכיל 93 בקרות בארבע קטגוריות ליבה כמפורט: ארגוני, אנשים, פיזי וטכנולוגי.  

שינוי זה נובע בעיקר מאיחוד הבקרות; עם זאת, יש לקחת בחשבון 11 בקרות אבטחה חדשות: 

• A.5.7 מודיעין איומים  

• א.5.23 אבטחת מידע לשימוש בשירותי ענן  

• א.5.30 מוכנות תקשוב להמשכיות עסקית 

• A.7.4 ניטור אבטחה פיזית 

• A.8.9 ניהול תצורה 

• א.8.10 מחיקת מידע

• א.8.11 מיסוך נתונים

• A.8.12 מניעת דליפת נתונים 

• א.8.16 פעולות ניטור

• A.8.23 סינון אינטרנט 

• A.8.28 קידוד מאובטח 

עדכון 2022 מציג גם חמש תכונות ליבה חדשות לסיווג קל יותר: 

• סוג בקרה (מונע, בלשי, מתקן) 

• מאפייני אבטחת מידע (סודיות, שלמות, זמינות) 

• מושגי אבטחת סייבר (זהות, הגנה, זיהוי, תגובה, התאוששות) 

• יכולות תפעוליות (ממשל, ניהול נכסים וכו') 

• תחומי אבטחה (ממשל ומערכת אקולוגית, הגנה, הגנה, חוסן). 

מעבר מ-ISO 27001:2013 ל-ISO 27001:2022 

אם הארגון שלך כבר מוסמך ל-ISO 27001:2013, המועד האחרון למעבר לגרסה החדשה הוא 31 באוקטובר 2025.  

ב-ISMS.online, אנחנו כבר עוזרים לחברות לעבור ל-ISO 27001:2022. ללקוחות שלנו יש 100% הצלחה בהשגת הסמכה באמצעות שלנו שיטת תוצאות מובטחות (ARM).  

כדי להתחיל, אנו מפרקים את התהליך לשבעה שלבים פשוטים. הדרכה שלב אחר שלב זו מובנית בפלטפורמה שלנו, כך שאנו נדריך אותך בכל שלב - מעדכון תוכנית הטיפול בסיכון שלך ועד להוכחת עמידה בדרישות התקן של 2022. אנו גם נעזור לך לשמור על תאימות לשנת 2013 תוך העברת ההסמכה שלך לשנת 2022, על מנת להבטיח שהעסק שלך יעמוד בדרישות.   

נספח A: פתיחת נעילה של ISO 27001:2022 הצלחה 

עבור ארגונים המעוניינים להשיג אישור ISO 27001, חיוני להבין את בקרות נספח A וליישם אותן בצורה יעילה וברורה. בקרות אלו מאפשרות לך למנוע את התרחשותם של סיכוני אבטחת מידע פוטנציאליים ולהתווה תהליכים ונהלים כדי להגיב ביעילות במקרה של אירוע. הם גם מאפשרים לך לבנות ISMS חזק שיתפתח ויצמח עם צרכי העסק שלך. 

לכל ארגון דרישות אבטחת מידע שונות, לכן עליך להעריך את הצרכים והיעדים הספציפיים של העסק שלך בעת בחירת בקרות נספח A. ייתכן שתגלה שחלק מהבקרות מתייחסות לסיכונים שהערכות הסיכונים שלך מוצאות אינן ישימות. פלטפורמת ISMS.online יכולה לפשט את התהליך הזה: זהה וטפל במהירות בבקרות הרלוונטיות שלך בנספח A באמצעות תבניות מלאות מראש ומנוע ניהול הסיכונים הדינמי שלנו.  

הפלטפורמה שלנו מתחברת גם למערכות הקיימות שלך, כך שתמצא את כל מה שאתה צריך להצלחה במקום אחד. והכי חשוב, באמצעות שלנו תוכן הדסטארט, מסע התאימות שלך הושלם ב-81% מהכניסה הראשונה שלך.  

למדו עוד כיצד תוכלו למנף את הנתיב המעשי והמשתלם שלנו להשגת תקן ISO 27001 בפעם הראשונה, בסקירה הלבנה שלנו "נתיב מוכח להצלחה בתקן ISO 27001".