ISO 27001 דרישה 8.1 - תכנון ובקרה תפעוליים

דרישות ISO 27001:2022

• 4.1 הבנת הארגון וההקשר שלו

• 4.2 הבנת הצרכים והציפיות של בעלי עניין

• 4.3 קביעת היקף ה-ISMS

• 4.4 מערכת ניהול אבטחת מידע (ISMS)

• 5.1 מנהיגות ומחויבות

• 5.2 מדיניות אבטחת מידע

• 5.3 תפקידים ארגוניים, אחריות וסמכויות

• 6.1 פעולות לטיפול בסיכונים והזדמנויות

• 6.2 יעדי אבטחת מידע ותכנון להשגתן

• 7.1 משאבים

• 7.2 יכולת

• 7.3 מודעות

• 7.4 תקשורת

• 7.5 מידע מתועד

• 8.1 תכנון ובקרה תפעולית

• 8.2 הערכת סיכוני אבטחת מידע

• 8.3 טיפול בסיכוני אבטחת מידע

• 9.1 ניטור, מדידה, ניתוח והערכה

• 9.2 ביקורת פנימית

• 9.3 סקירת הנהלה

• 10.1 אי התאמה ופעולה מתקנת

• 10.2 שיפור מתמשך

ISO 27001:2022 נספח A בקרות

בקרות ארגוניות

• 5.1 מדיניות אבטחת מידע

• 5.2 תפקידים ואחריות של אבטחת מידע

• 5.3 הפרדת תפקידים

• 5.4 אחריות ניהול

• 5.5 קשר עם רשויות הממשלה

• 5.6 צור קשר עם קבוצות עניין מיוחדות

• 5.7 מודיעין סייבר

• 5.8 אבטחת מידע בניהול פרויקטים

• 5.9 מלאי מידע ונכסים נלווים אחרים

• 5.10 שימוש מקובל במידע ובנכסים נלווים אחרים

• 5.11 החזרת נכסים

• 5.12 סיווג מידע

• 5.13 תיוג מידע

• 5.14 העברת מידע

• 5.15 בקרת גישה

• 5.16 ניהול זהות

• 5.17 מידע אימות

• 5.18 זכויות גישה

• 5.19 אבטחת מידע ביחסי ספקים

• 5.20 טיפול באבטחת מידע במסגרת הסכמי ספקים

• 5.21 ניהול אבטחת מידע בשרשרת אספקת ה-ICT

• 5.22 ניטור וסקירה וניהול שינויים של שירותי ספקים

• 5.23 אבטחת מידע לשימוש בשירותי ענן

• 5.24 תכנון והכנה לניהול אירועי אבטחת מידע

• 5.25 הערכה והחלטה על אירועי אבטחת מידע

• 5.26 תגובה לאירועי אבטחת מידע

• 5.27 למידה מתקריות אבטחת מידע

• 5.28 אוסף ראיות

• 5.29 אבטחת מידע בזמן שיבוש

• 5.30 מוכנות ICT להמשכיות עסקית

• 5.31 דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות

• 5.32 זכויות קניין רוחני

• 5.33 הגנה על רשומות

• 5.34 פרטיות והגנה על PII

• 5.35 סקירה עצמאית של אבטחת מידע

• 5.36 עמידה במדיניות, כללים ותקנים לאבטחת מידע

• 5.37 נהלי הפעלה מתועדים

אנשים בקרות

• 6.1 סריקה

• 6.2 תנאי העסקה

• 6.3 מודעות, חינוך והדרכה לאבטחת מידע

• 6.4 תהליך משמעתי

• 6.5 אחריות לאחר סיום או שינוי עבודה

• 6.6 הסכמי סודיות או סודיות

• 6.7 עבודה מרחוק

• 6.8 דיווח אירועי אבטחת מידע

בקרות פיזיות

• 7.1 היקפי אבטחה פיזית

• 7.2 כניסה פיזית

• 7.3 אבטחת משרדים, חדרים ומתקנים

• 7.4 ניטור אבטחה פיזית

• 7.5 הגנה מפני איומים פיזיים וסביבתיים

• 7.6 עבודה באזורים מאובטחים

• 7.7 Clear Desk ומסך ברור

• 7.8 מיקום ומיגון ציוד

• 7.9 אבטחת נכסים מחוץ לשטח

• 7.10 אחסון מדיה

• 7.11 כלי עזר תומכים

• 7.12 אבטחת כבלים

• 7.13 תחזוקת ציוד

• 7.14 סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

• 8.1 התקני נקודת קצה של משתמש

• 8.2 זכויות גישה מועדפות

• 8.3 הגבלת גישה למידע

• 8.4 גישה לקוד המקור

• 8.5 אימות מאובטח

• 8.6 ניהול קיבולת

• 8.7 הגנה מפני תוכנות זדוניות

• 8.8 ניהול נקודות תורפה טכניות

• 8.9 ניהול תצורה

• 8.10 מחיקת מידע

• 8.11 מיסוך נתונים

• 8.12 מניעת דליפת נתונים

• 8.13 גיבוי מידע

• 8.14 יתירות של מתקנים לעיבוד מידע

• 8.15 רישום

• 8.16 פעולות ניטור

• 8.17 סנכרון שעון

• 8.18 שימוש בתוכניות שירות מועדפות

• 8.19 התקנת תוכנה על מערכות תפעוליות

• 8.20 אבטחת רשת

• 8.21 אבטחת שירותי רשת

• 8.22 הפרדת רשתות

• 8.23 סינון רשת

• 8.24 שימוש בקריפטוגרפיה

• 8.25 מחזור חיים של פיתוח מאובטח

• 8.26 דרישות אבטחת יישומים

• 8.27 ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת

• 8.28 קידוד מאובטח

• 8.29 בדיקות אבטחה בפיתוח וקבלה

• 8.30 פיתוח במיקור חוץ

• 8.31 הפרדת סביבות פיתוח, בדיקה וייצור

• 8.32 שינוי הנהלה

• 8.33 מידע על בדיקה

• 8.34 הגנה על מערכות מידע במהלך בדיקות ביקורת

לגבי ISO 27001

• לגבי ISO 27001

• השג ISO 27001

• ISO 27001 דרישות ובקרה

• ניהול נכסים

• ISO 27001 הסמכה

• מה זה ISMS?

• שיקולי מפתח עבור ה-ISMS שלך

• העברת ה-ISMS שלך ל-ISMS.online

• ISO 27002 מוסבר