ISO/IEC 27002

המדריך האולטימטיבי ל-ISO 27002

קבל אישור ISO 27001 פי 5 מהר יותר עם ISMS.online

לראות את זה בפעולה
מאת אלפי הארווי | עודכן ב-12 במרץ 2024

ISO 27002 מספק מערכת ייחוס של בקרות אבטחת מידע, אבטחת סייבר והגנת הפרטיות, כולל הנחיות יישום המבוססות על שיטות עבודה מומלצות מוכרות בינלאומיות. בגדול, הוא נותן הנחיות ליישום ISO 27001 ISMS. במדריך זה ניקח אותך מה זה, ולמה זה חשוב לעסק שלך.

קפוץ לנושא

מהו ISO 27002?

ISO/IEC 27002:2022 הוא תקן אבטחת מידע שפורסם על ידי ארגון התקינה הבינלאומי (ISO) והנציבות האלקטרוטכנית הבינלאומית (IEC). ל-ISO 27002 יש קשר הדוק ל-ISO 27001. באופן כללי, הוא נותן הנחיות לגבי יישום ISO 27001 ISMS.

ISO/IEC 27002 מספק מערכת ייחוס של בקרות אבטחת מידע, אבטחת סייבר והגנת הפרטיות, כולל הנחיות יישום המבוססות על שיטות עבודה מומלצות מוכרות בינלאומיות.

בעוד ש-ISO 27002 אינו תקן שניתן לאשר בפני עצמו, עמידה בהנחיות אבטחת המידע, האבטחה הפיזית, אבטחת הסייבר וניהול הפרטיות שלו מקרבת את הארגון שלך צעד אחד יותר לעמידה בדרישות ההסמכה של ISO 27001.


מדוע ISO 27002 חשוב?

אם הארגון שלך אוסף, משתמש או מעבד נתונים, תמיד יהיו סיכוני אבטחת מידע ואיומים שצריך להיזהר מהם.

כדי להתגונן מפני סיכונים אלו, עליך להיות בעל מערכת ניהול אבטחת מידע (ISMS) כדי להבטיח את הסודיות, הזמינות והשלמות של כל המידע ונכסי המידע.

האתגר העיקרי העומד בפני עסקים חדשים בסצנת ניהול אבטחת המידע הוא היקפו הרחב. הטמעה ותחזוקה של ISMS מכסה קשת רחבה כל כך שרוב המנהלים לא יודעים מאיפה להתחיל.

אם זה נשמע כמוך או אם אתה רק מחפש לשמור על אבטחת המידע שלך, אז נקודת התחלה מצוינת היא יישום הפקדים המוצעים ב-ISO/IEC 27002.

הפוך את זה לפשוט יותר עם ISMS.online

פלטפורמת ISMS.online מציעה הדרכה שלב אחר שלב החל מהגדרת ה-ISMS שלך ועד להסמכה, עם אחוזי הצלחה של 100%.
הזמן הדגמה עוד היום כדי לראות איך אנחנו יכולים לעזור לעסק שלך.

הזמן הדגמת פלטפורמה

מה הם היתרונות?

על ידי הטמעת בקרות אבטחת מידע המצויות ב-ISO 27002, ארגונים יכולים להיות בטוחים שנכסי המידע שלהם מוגנים על ידי שיטות עבודה מומלצות מוכרות ומאושרות בינלאומיות.

ארגונים מכל הגדלים ורמות הבגרות באבטחה יכולים להפיק את היתרונות הבאים מהקפדה על קוד הנוהג ISO 27002:

  • הוא מספק מסגרת עבודה לפתרון בעיות אבטחת מידע, אבטחת סייבר, אבטחה פיזית ופרטיות מידע.
  • לקוחות ושותפים עסקיים יהיו בטוחים יותר ויקבלו מבט חיובי על ארגון המיישם את התקנים המומלצים ובקרות אבטחת המידע.
  • מכיוון שהמדיניות והנהלים שסופקו מתאימים לדרישות האבטחה המוכרות בעולם, שיתוף הפעולה עם שותפים בינלאומיים הוא פשוט יותר.
  • עמידה בתקן מסייעת בפיתוח שיטות עבודה מומלצות של ארגון אשר יגדילו את הפרודוקטיביות הכוללת.
  • הוא מספק יישום, ניהול, תחזוקה והערכה מוגדרים של מערכות ניהול אבטחת מידע.
  • לארגון תואם ISO יהיה יתרון במשא ומתן על חוזים והשתתפות בהזדמנויות עסקיות גלובליות.
  • על ידי עמידה בבקרות אבטחת מידע ISO 27002, ניתן ליהנות מדמי ביטוח נמוכים יותר מהספקים.

הנחיית יישום לעמידה בתקן ISO 27001 זוכה להתייחסות רחבה במשפחת התקנים ISO 27000, כולל ISO 27701. ניתן למפות בקרות אבטחת מידע ISO 27002 מול תקנים דומים, כגון NIST, SOC2, CIS, TISAX® ועוד רבים נוספים.


ההסבר לתיקון ISO 27002:2022

ISO/IEC 27002 עודכן כדי לעדכן את בקרות אבטחת המידע כך שישקפו התפתחויות ונהלי אבטחת מידע עדכניים במגזרים שונים של עסקים וממשלות.

הגרסה החדשה של ISO 27002 2022 פורסמה ב-15 בפברואר 2022. תקנים ומסגרות אבטחה רבות קשורות או עושות שימוש בבקרות אבטחת המידע של ISO 27002:2013 ולכן הגרסה החדשה הזו תשפיע גם עליהן.

היקף ISO 27002:2013

תקן ISO 27002:2013 הוא/היה קוד פרקטיקה למערכת ניהול אבטחת מידע (ISMS) ומתעמק ברמת פירוט גבוהה בהרבה מהבקרות בנספח A של ISO 27001, המכיל טכניקות אבטחה, יעדי בקרה, דרישות אבטחה, בקרת גישה , בקרות טיפול בסיכוני אבטחת מידע, בקרות מידע אישיות וקנייניות וכן בקרות אבטחת מידע כלליות.

המטרה העיקרית של ISO 27002:2013 הייתה לספק טכניקות מקיפות של אבטחת מידע ובקרות ניהול נכסים עבור כל ארגון שזקוק לתוכנית חדשה לניהול אבטחת מידע או שרצה לשפר את מדיניות אבטחת המידע והנהלים הקיימים שלו.

מה השתנה ב-ISO 27002:2022?

השינוי המשמעותי הראשון בתקן הוא ההתרחקות מ"קוד נוהג" והצבתו כמערכת של בקרות אבטחת מידע שיכולות לעמוד בפני עצמה.

התקן המתוקן מספק מבנה פשוט יותר שניתן ליישם בכל ארגון. כעת ניתן להשתמש בגרסה המתוקנת של ISO 27002 גם לניהול פרופיל סיכון רחב יותר. זה כולל אבטחת מידע וההיבטים הטכניים יותר של אבטחה פיזית, ניהול נכסים, אבטחת סייבר ומרכיבי אבטחת משאבי אנוש שמגיעים עם הגנת הפרטיות.

סקירה כללית של ISO 27002:2022

השינוי המיידי הראשון הוא שם התקן.

בעבר, תקן ISO 27002:2013 נקרא "טכנולוגיית מידע - טכניקות אבטחה - קוד פרקטיקה עבור בקרות אבטחת מידע".

התקן נקרא כעת "אבטחת מידע, אבטחת סייבר והגנת פרטיות - בקרות אבטחת מידע" בגרסה 2022.

למה זה השתנה?

בהתחשב בנוף התאימות המודרני, בתקנות, כגון GDPR, POPIA ו-APPS והמשכיות העסקית המתפתחת וסיכוני הסייבר איתם מתמודדים ארגונים - הצורך ב-ISO 27002 להרחיב את היקף בקרות אבטחת המידע שלו היה מאוחר.

מטרת הגרסה האחרונה (2022) הייתה לשפר את כוונת התקן על ידי מתן מערך התייחסות למטרות בקרת אבטחת מידע ולהרחיב את היקף השימוש שלו באבטחת מידע, פרטיות ואבטחת סייבר ספציפית להקשר.

כיצד ISO 27002:2022 שונה מ-ISO 27002:2013

באופן כללי, מספר בקרות האבטחה בגרסה החדשה של ISO 27002:2022 ירד מ-114 בקרות ב-14 סעיפים במהדורת 2013 ל-93 בקרות במהדורת 2022. בקרות האבטחה הללו מסווגות כעת לארבעה "נושאים" בקרה.

בקרות מוסבר

"שליטה" מוגדרת כאמצעי שמשנה או שומר על סיכון. מדיניות אבטחת מידע, למשל, יכולה לשמור רק על סיכון, בעוד שעמידה במדיניות אבטחת מידע יכולה לשנות את הסיכון. יתרה מכך, בקרות מסוימות מתארות את אותו מדד גנרי בהקשרי סיכון שונים.

הורדה חינמית

קבל את המדריך שלך ל
ISO 27001 הצלחה

כל מה שאתה צריך לדעת על השגת ISO 27001 בפעם הראשונה

קבלו את המדריך בחינם

ערכות הבקרה מאורגנות כעת בארבע (4) קטגוריות אבטחה או נושאים במקום ארבעה עשר (14) תחומי בקרה. (בעבר A5. עד A.18)

ארבע הקטגוריות כוללות:

  • אִרְגוּנִי
  • אֲנָשִׁים
  • גוּפָנִי
  • טֶכנוֹלוֹגִי
  • 93 פקדים בגרסה החדשה של 27002
  • 11 פקדים חדשים
  • בסך הכל אוחדו 24 בקרות משניים, שלוש או יותר בקרות אבטחה מגרסת 2013; ו-58 הפקדים מ-ISO 27002:2013 נבדקו ושונו כדי להתיישר עם סביבת אבטחת הסייבר ואבטחת המידע הנוכחית.
  • נספח א' הכולל הנחיות ליישום תכונות.
  • נספח B, שמתכתב עם ISO/IEC 27001 2013. זוהי בעצם טבלת שתי טבלאות שמצליבה מספרי בקרה/מזהים כדי להקל על ההתייחסות המפרטת מה חדש ומה התמזג.

הפקדים החדשים

11 הפקדים החדשים

בקרת סקירות ועדכונים הנחיות

סעיף ההדרכה עבור כל בקרה נבדק ועודכן (במידת הצורך) כדי לשקף התפתחויות ושיטות עבודה נוכחיות.

השפה שבה נעשה שימוש לאורך הערות ההנחיה חזקה יותר מהגרסה הקודמת; כעת ישנה ציפייה מוגברת שבקרות חובה וארגונים יוכלו להוכיח עמידה בדרישות במידה רבה יותר. בנוסף, כל פקד מצויד כעת בהצהרת 'מטרה' ומציג קבוצה של "תכונות" (ראה 4.2) לכל פקד.

עסק המיישם בקרות יכול לבחור אילו מהם חלים עליהם בהתבסס על סיכון, כמו גם להוסיף משלהם ל-ISMS תואם ISO 27001 (שימוש תלוי הקשר).

ערכות נושא ותכונות ISO 27002

תכונות הן אמצעי לסווג בקרות. אלה מאפשרים לך ליישר במהירות את בחירת הבקרה שלך עם השפה והסטנדרטים הנפוצים בתעשייה.

תכונות אלו מזהות נקודות מפתח:

  • סוג בקרה
  • מאפייני InfoSec
  • מושגי אבטחת סייבר
  • יכולות מבצעיות
  • תחומי אבטחה

השימוש בתכונות תומך בעבודה שחברות רבות כבר עושות במסגרת הערכת הסיכונים והצהרת הישימות שלהן (SOA). לדוגמה, ניתן להבחין בין מושגי אבטחת סייבר הדומים לבקרות NIST ו-CIS, וניתן לזהות את היכולות התפעוליות הקשורות לתקנים אחרים.

לכל פקד יש כעת טבלה עם קבוצה של תכונות מוצעות ונספח A של ISO 27002:2022 מספק קבוצה של שיוכים מומלצים.

מאפייני אבטחת מידע

אבטחת מידע כוללת הגנה על היבטים שונים של המידע, אותם ניתן לייצג על ידי מודל ה-CIA. היבטים אלה כוללים סודיות, יושרה וזמינות המידע. הבנה זו מאפשרת גיבוש ויישום של בקרות אבטחת מידע אפקטיביות. אלה מוגדרים כעת כמאפיינים על בסיס בקרה.

סודיות

חיסיון המידע פירושה שיש לנקוט באמצעים כדי להגן עליו מפני גישה בלתי מורשית. אחת הדרכים להשיג זאת היא על ידי אכיפת רמות גישה שונות למידע על סמך מי שצריך גישה ועד כמה המידע רגיש. אמצעים מסוימים לניהול סודיות כוללים הצפנת קבצים ונפח, רשימות בקרת גישה והרשאות קבצים.


שלמות

שלמות הנתונים היא חלק בלתי נפרד משלישיית אבטחת המידע, שמטרתה להגן על הנתונים מכל שינוי או מחיקה בלתי מורשים. הדבר כולל גם הבטחה שניתן לבטל את השינויים או המחיקות הלא מורשים שנעשו בנתונים.


זמינות

זמינות נועדה להבטיח שהנתונים יהיו נגישים למי שזקוק להם כאשר הדבר נדרש. חלק מסיכוני אבטחת המידע לזמינות כוללים חבלה, פגיעה בחומרה, כשל ברשת והפסקות חשמל. שלושת המרכיבים הללו של אבטחת מידע עובדים יד ביד, ואי אפשר להתרכז באחד מהם על חשבון האחרים.


אנו נדריך אותך בכל שלב

הכלי המובנה שלנו לוקח אותך מההגדרה ועד להסמכה עם אחוזי הצלחה של 100%.

הזמן הדגמה

תכונות מושגי אבטחת סייבר מוצגות במסגרת התיקון לשנת 2022 של התקן. ערכי תכונה אלה מורכבים מזיהוי, הגנה, זיהוי, תגובה ושחזור. זה מיישר את תקן ISO 27002 עם ISO/IEC TS 27110, מסגרת אבטחת הסייבר של NIST (CSF) ו תקנים אחרים.

  1. לזהות – לפתח את ההבנה של הארגון ל לנהל סיכוני אבטחת סייבר למערכות, נכסים, נתונים ויכולות.
  2. להגן - לפתח ולהטמיע אמצעי הגנה כדי לספק שירותי תשתית קריטיים.
  3. לְגַלוֹת – לפתח וליישם פעילויות מתאימות לזיהוי התרחשות של אירוע אבטחת סייבר.
  4. להגיב - צור והטמיע את הפעילויות המתאימות לביצוע פעולה בתגובה לאירועי אבטחת סייבר שזוהו.
  5. להחלים – פיתוח ויישום הפעילויות המתאימות לשמירה על תוכניות לחוסן ולשחזור כל יכולות או שירותים שנפגעו עקב אירוע אבטחת סייבר.

יכולות מבצעיות

יכולת תפעולית היא תכונה לצפייה בבקרות מנקודת המבט של המטפל לגבי יכולות אבטחת מידע. 

אלה כוללים:
ניהול נכסי ממשל, הגנת מידע, אבטחת משאבי אנוש, אבטחה פיזית, אבטחת מערכת ורשת, אבטחת יישומים, תצורה מאובטחת, ניהול זהויות וגישה, ניהול איומים ופגיעות, המשכיות, קשרי ספקים אבטחה, משפטי ותאימות, ניהול אירועי אבטחת מידע והבטחת אבטחת מידע.

תחומי אבטחה

תחומי אבטחה היא תכונה לצפייה בבקרות מנקודת המבט של ארבעה תחומי אבטחת מידע: "ממשל ומערכת אקולוגית" כולל "ניהול אבטחת מערכת מידע וניהול סיכונים" ו"ניהול אבטחת סייבר של מערכת אקולוגית" (כולל בעלי עניין פנימיים וחיצוניים);

  • שליטה עשויה לכלול יישומים שונים (למשל גיבויים מסייעים בהגנה מפני תוכנות זדוניות, פריצות, באגים, תאונות, תקלות מכניות, שריפות וכו', ויכולים לכלול סגנים והחלפות מרובות מיומנויות עבור אנשים קריטיים וספקים/מקורות חלופיים של שירותי מידע נחוצים).
  • בדרך כלל נדרשים מספר פקדים בכל יישום או מצב נתון (למשל, ניתן להפחית תוכנות זדוניות באמצעות גיבויים, מודעות, אנטי-וירוס, בקרות גישה לרשת בתוספת IDS/IPS ועוד תוך הימנעות מהידבקות היא גישה רבת עוצמה אם היא מחוזקת עם מדיניות ונהלים).
  • הפקדים שבהם אנו משתמשים לעתים קרובות (למשל גיבויים) אינם הכל או כלום, המורכבים ממספר אלמנטים מינוריים יותר (למשל גיבוי כולל אסטרטגיות, מדיניות ונהלים, תוכנה, בדיקות חומרה, שחזור אירועים, הגנה פיזית וכו').

פשט את התהליך עם ISMS.online

בעוד שרבים רואים בזה את החלק המסובך, ה פלטפורמת ISMS.online ותמיכה הופכים את התהליך הזה לאינטואיטיבי. הזמן הדגמת פלטפורמה כדי לראות בעצמך.

הזמן הדגמת פלטפורמה

נספח א' הוסבר

הטבלה נספח A מדגימה את השימוש בתכונות, ומספקת דוגמאות כיצד להקצות תכונות לבקרות, ובכך ליצור תצוגות שונות (לפי 4.2).

יצוין כי ניתן להשיג את הסינון או המיון של המטריצה ​​באמצעות כלי כגון גיליון אלקטרוני פשוט או מסד נתונים, אשר יכול לכלול מידע נוסף כמו טקסט בקרה, הנחיה, הנחיית יישום ספציפית לארגון או תכונות. ISMS.online מאפשר אוטומטית את האסוציאציות הללו, מה שהופך את התהליך כולו ללא מאמץ.

נספח ב' הוסבר

טבלאות נספח B.1 ו-B.2 מספקות נקודות התייחסות קלות לניווט המספקות תאימות לאחור עם ISO/IEC 27002:2013. זה מקל על ארגונים המשתמשים בתקן הניהול הישן שצריכים לעבור ל-ISO 27002:2020, או כדי להקל על ההתייחסות בין תקנים המשתמשים ב-ISO 27002, למשל ISO 27001, ISO 27701 דומים. שוב, ISMS.online ממפה אוטומטית את מזהי הבקרה הישנים לחדשים בתוך הפלטפורמה שלנו, ומוציא את הכאב מהמעבר והיישום.

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח


בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים


אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע


בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד


בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת



ISO 27001 מול ISO 27002

ייתכן שארגונים המעוניינים לחקור מערכות ניהול אבטחת מידע נתקלו גם בתקנים ISO 27001 וגם 27002.

ISO 27001 הוא התקן העיקרי במשפחת 27000. חברות יכולות לקבל הסמכה נגד ISO 27001 עם זאת, הן לא יכולות לאשר נגד ISO 27002:2022 מכיוון שזהו תקן/קוד נוהג תומך.

ISO 27001 נספח A למשל מספק רשימה של בקרות אבטחה אך אינו אומר לך כיצד ליישם אותם, אלא מתייחס ל-ISO 27002.

לעומת זאת, ISO 27002 מספק הנחיות לגבי יישום בקרות המשמשות ב-ISO 27001. הדבר הגדול ב-ISO 27002 הוא שהבקרות אינן חובה; חברות יכולות להחליט אם הן רוצות להשתמש בהן או לא, תלוי אם הן ישימות מלכתחילה.

ISO 27001 מול ISO 27002

איך זה משפיע עליך?

תעבור תקופה עד שארגונים יידרשו לאמץ את הגרסה המתוקנת של ISO 27001 עבור מבדקי ההסמכה שלהם (לפחות שנה לאחר הפרסום, ובדרך כלל בשילוב עם מחזור ההסמכה מחדש הבא שלהם), כך שיהיה להם מספיק זמן לטפל בבעיות שינויים.

בסופו של דבר, השינויים לא אמורים להשפיע באופן משמעותי על מערכת ניהול אבטחת המידע (ISMS) של הארגון ועל היכולת לשמור על תאימות.

עם זאת, עשויה להיות השפעה על מסגרת הבקרה הכוללת של הארגון, בקרות ספציפיות והאופן שבו ארגון עוקב אחר ציות מתמשך.

בעת ההמרה לתקן החדש, ארגונים יצטרכו להעריך מחדש כיצד המסגרות, הבקרות והמדיניות שלהם מתאימים למבנה החדש ולבקרות ISO 27001/27002 המעודכנות.

תיקון ISO 27002 2022 ישפיע על ארגון באופן הבא:

  • אם אתה כבר מוסמך ISO 27001 2013
  • האם אתה באמצע הסמכה
  • אם אתה עומד לאשר מחדש
  • אם אתה כבר מוסמך ISO 27001:2013

אם הארגון שלך כבר מוסמך, אינך צריך לעשות דבר כעת; תקן ISO 27002 2022 המתוקן יהיה ישים עם חידוש/הסמכה מחדש. לפיכך, הגיוני שכל הארגונים המוסמכים יצטרכו להתכונן לתקן המתוקן בעת ​​הסמכה מחדש או אם יאמצו סטים חדשים של בקרות או תקנים כגון ISO 27701 או דומה.

קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה

איך זה משפיע על ההסמכה (המחדש) שלך?

נניח שארגון נמצא כעת בתהליך הסמכה או הסמכה מחדש של ISO 27001 2013. במקרה זה, הם יצפו לחזור ולהתבונן בהערכת הסיכונים שלהם ולזהות את הבקרות החדשות כפי שהן ישימות ולשנות את 'הצהרת התחולה' שלהן על ידי השוואת בקרות נספח א' המתוקנות.

מכיוון שישנן בקרות חדשות, בקרות ממוזגות והנחיה שונה או נוספת לבקרות אחרות, ארגונים צריכים לעיין בתקן ISO 27002:2022 המתוקן עבור כל שינוי ביישום.

למרות שעדכון 27001 של ISO 2022 טרם פורסם, נספח B של מפות ISO 27002 שולט בגרסאות 2013 ו-2022 של התקן.

הצהרת התחולה שלך (SOA) עדיין צריכה להתייחס לנספח A של ISO 27001, בעוד שהבקרות חייבות להתייחס לתקן ISO 27002:2022 המתוקן, שיהווה ערכת בקרה חלופית.

האם עליך לתקן את התיעוד שלך?

עמידה בשינויים אלה צריכה לכלול:

  • עדכון לתהליך הטיפול בסיכונים שלך עם בקרות מעודכנות
  • עדכון להצהרת התחולה שלך
  • עדכן את המדיניות והנהלים הנוכחיים שלך עם הנחיות כנגד כל בקרה במידת הצורך

איך זה משפיע על ISO 27001:2013

עד לפרסום תקן ISO 27001 2022 חדש, תכניות ההסמכה הנוכחיות של ISO יימשכו, אם כי מיפוי לבקרות החדשות של ISO 27002 2022 יידרש דרך נספח B1.1 ו-B1.2, אולם מבקרים מנוסים ב-ISO יזהו את מבנה הבקרות , לכן יהיה לי יותר עם מה לעבוד. אימוץ ISO 27002:2022 יכול לגרום לביקורת חלקה יותר.

שינויים קרובים ל-ISO 27001

רוב מומחי אבטחת המידע מצפים שהשינויים ב-ISO 27001 יהיו שינויים טקסטואליים קלים עם עדכון מינורי של נספח A כדי להתיישר עם הגרסה של ISO 27002 2022.

החלק העיקרי של ISO 27001, הכולל סעיפים 4-10, לא ישתנה. סעיפים אלה כוללים היקף והקשר, מדיניות אבטחת מידע, ניהול סיכונים למשאבים כגון הדרכה ומודעות לגבי תקשורת ובקרת מסמכים ועד ניטור ומדידה של פעילויות תפעוליות על ידי מחלקת ביקורת פנימית ועד לפעולות מתקנות.

רק הפקדים המפורטים ב-ISO 27001 נספח A ו-ISO 27002 יעודכנו.

שינויים ב-ISO 27001:2022 נספח A יהיו מיושרים במלואם עם השינויים ב-ISO 27002:2022

האם תקני 27000 אחרים מושפעים?

תקנים ומסגרות של מערכת ניהול הקשורות ומבוססות על גרסת ISO/IEC 27002:2013 יחושו בשינוי.

לשינויים תהיה השפעה נוספת כאשר הם יתגלגלו לתקנים קשורים כמו אבטחת ענן ISO 27017, פרטיות ISO 27701 ותקנים לאומיים שונים שאימצו או שילבו את הדרישות וההנחיות הנוכחיות.

זה אמור להתרחש כאשר מחזורי הסקירה והעדכון של תקנים אלה מתרחשים במהלך השנים הקרובות, וייתכן שצפויה השפעה נוספת על תקנים ומסגרות מקומיות.


הדגמת פרקטיקה טובה עבור ISO 27002

פיזית וסביבתית

ההיבטים הפיזיים והסביבתיים של ארגון הם קריטיים בקביעת אבטחת המידע שלו. הבקרות והנהלים המתאימים יבטיחו את הבטיחות הפיזית של המידע של הארגון על ידי הגבלת גישה לגורמים לא מורשים והגנה עליהם מפני נזקים כגון שריפות ואסונות אחרים.

חלק מטכניקות אבטחת המידע כוללות:

  • יש לנקוט באמצעים לניטור והגבלת הגישה הפיזית לחצרי הארגון ולתשתיות התומכות, כגון מיזוג אוויר וחשמל. זה ימנע ויבטיח זיהוי ותיקון של גישה לא מורשית, ונדליזם, נזק פלילי ושאר שיבושים שעלולים להתרחש.
  • יש לתת לאזורים רגישים גישה חלקית ולרשימת האנשים המורשים להיבדק ומאושרת מעת לעת (לפחות פעם בשנה) על ידי מחלקת הביטחון הפיזי או המינהל.
  • יש לאסור הקלטת וידאו, צילום או כל צורה אחרת של הקלטה דיגיטלית באזורים מוגבלים אלא באישור הרשות הרלוונטית.
  • יש להגדיר מעקבים סביב המקום במקומות כמו כניסות, יציאות ואזורים מוגבלים. יש לנטר את ההקלטות הללו מסביב לשעון על ידי צוות מיומן ולאחסן אותם למשך חודש לפחות למקרה שיש צורך בבדיקה.
  • יש לספק גישה מוגבלת בצורה של כרטיסי גישה כדי לאפשר גישה מוגבלת בזמן לספקים, מתאמנים, צדדים שלישיים, יועצים ואנשי צוות אחרים המאומתים לגישה לאזורים.
  • מבקרים בארגונים צריכים להיות מלווים בכל עת על ידי עובד למעט בעת שימוש בשטחים פתוחים כגון מבואת הקבלה ושירותים.

משאבי אנוש

אמצעים אלו מטרתם להבטיח שהמידע של הארגון בטוח מבחינת עובדי הארגון.

כמה תקני אבטחת מידע של משאבי אנוש כוללים:

  • כל עובד צריך להיבדק לפני העסקתו כדי לאמת את זהותו, ההתייחסויות המקצועיות שלו והתנהלותו הכוללת. אלה צריכים להיות קפדניים במיוחד אם הם רוצים לתפוס עמדות אבטחת מידע מהימנות בארגון.
  • על העובדים כולם להסכים להסכם סודיות או סודיות מחייב. זה יכתיב את רמת שיקול הדעת שהם מטפלים במידע האישי והקנייני שאיתו הם באים במגע במהלך העסקתם.
  • על מחלקת משאבי אנוש ליידע את המחלקות הכספים, המינהל והמחלקות הרלוונטיות האחרות כאשר עובד נקלט, מושעה, מפוטר, מועבר, בחופשה ארוכת טווח וכל נסיבות אחרות העלולות לחייב את שינוי הרשאותיו.
  • לאחר שמחלקת משאבי אנוש מודיעה למחלקות האחרות על השינוי בסטטוס של עובד, לאחר מכן יש להתאים את זכויות הגישה הפיזיות והלוגיות הרלוונטיות.
  • על מנהלי העובדים לבצע מעקב כדי להבטיח שכל המפתחות, כרטיסי הגישה, ציוד ה-IT, התקני האחסון וכל שאר נכסי החברה יוחזרו לפני סיום העסקתם.

בקרת גישה

בקרת הגישה כוללת את הסיסמאות, כרטיסי המפתח או הגבלות אבטחה אחרות שנועדו להגביל את הנגישות של המידע והמערכות של החברה.

חלקם כוללים:

  • הגישה לרשתות ארגוניות, מערכות IT, מידע ואפליקציות צריכה להיות מבוקרת בהתבסס על תפקיד המשתמשים או כפי שצוין על ידי בעלי נכסי המידע הרלוונטיים או הנהלים הארגוניים.
  • יש להגדיר מגבלות להתריע למערכת ו/או לנעול חשבונות משתמש לאחר מספר מוגדר מראש של ניסיונות כניסה כושלים. יש לעקוב אחר אלה כדי למנוע את הסיכון לניסיון הפרה.
  • כל תחנות העבודה/מחשבים הארגוניים צריכים להיות בעלי שומרי מסך מוגני סיסמה עם פסק זמן של פחות מ-10 דקות של חוסר פעילות.
  • זכויות הגישה המיוחסות, כגון אלה הנדרשות עם הניהול, התצורה, הניהול, האבטחה והניטור של מערכות ה-IT צריכות להיבדק מעת לעת על ידי גוף אבטחת המידע הרלוונטי.
  • ביטויי הסיסמה והסיסמאות חייבים להיות מורכבים וארוכים עם שילוב של ספרות, אותיות ותווים מיוחדים כדי שלא ניתן לנחש אותם. אין לאחסן אותם בפורמט כתוב או קריא כלשהו.
  • על הארגון להשבית את כל גישת הכתיבה למדיה נשלפת כגון כותבי תקליטורים/DVD בכל מחשבי החברה, אלא אם כן אושרה מסיבות עסקיות ספציפיות.

השלבים הבא

מבחינת השלבים הבאים, הפעילויות העיקריות שיש לבצע כוללות את הדברים הבאים:

  • רכישת התקן המעודכן.
  • עיין בתקן ISO 27002 החדש ושינויי הבקרה שלו.
  • בצע הערכת סיכונים/ניתוח.
  • כדי להפחית סיכונים שזוהו, בחר את הבקרות המתאימות ביותר ועדכן את מדיניות ה-ISMS, התקנים וכו' שלך בהתאם.
  • עדכן את הצהרת התחולה שלך (SoA).

זה יעזור לך להקדים את המשחק עבור הסמכה מחדש או אימוץ של תקנים/מסגרות משפחתיות נוספות של ISO 27000, למשל ISO 27018, 27017, 27032, שצפויים להתעדכן זמן קצר לאחר תיקון ISO 27001:2022.

קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה

שאלות נפוצות

מי יכול ליישם את ISO 27002

ISO/IEC 27002:2022 מיועד לכל מי שיוזם, מיישם או מתחזק מערכת ISMS. על ידי אימוץ גרסה מעודכנת זו, תוכל להקים בקרות אבטחה חזקות, רלוונטיות ומתאימות לסביבת הארגון שלך.

ארגונים מכל הגדלים ורמות הבגרות באבטחה יכולים להפיק תועלת מעמידה בקוד הנוהג ISO 27002. ב-ISMS.online, אנחנו כאן כדי לעזור לך ליישם בהצלחה את ISO 27002:2022.


כיצד להתחיל עם ISO 27002

היציאה למסע ISO 27002 היא פשוטה. ב-ISMS.online, אנו ממליצים על שמונת השלבים הבאים ליישום חלק:

  1. הבן את תקן ISO 27002: ISO 27002 הוא תקן בינלאומי המציע הנחיות לבחירה והטמעה של בקרות ונהלי אבטחת מידע. ישים לארגונים מכל הענפים והגדלים, הוא עוזר לפתח הנחיות לניהול אבטחת מידע המותאמות להקשר הספציפי שלך.
  2. למד את קטגוריות הבקרה: ISO 27002:2022 מציג ארבע קטגוריות של בקרות אבטחת מידע: ארגוניות, אנשים, פיזיות וטכנולוגיות.
  3. השג את תקן ISO 27002:2022: רכשו את תקן ISO 27002:2022 המלא מאתר האינטרנט של ה-ISO.
  4. הבן את הקשר בין ISO 27001 ל-ISO 27002: ISO 27001 מתאר יעדים או יעדים לניהול אבטחת מידע, בעוד ש-ISO 27002 מספק הנחיות מפורטות לגבי יישום הבקרות הנדרשות כדי לעמוד ביעדים אלו.
  5. קבל הכשרה והסמכה: הירשם לקורסי הכשרה ISO/IEC 27002 כדי לקבל את הידע הדרוש לבחירה, יישום וניהול הבקרות המפורטות בתקן.
  6. ליישם את הבקרות: השתמש בהנחיות המפורטות ב-ISO 27002:2022 כדי לבחור ולהטמיע את הבקרות המתאימות להקשר הספציפי של הארגון שלך.
  7. הישאר מעודכן לגבי תיקונים ועדכונים: ISO 27002 עובר תיקונים כדי לתת מענה לשינויים בטכנולוגיה, דרישות משפטיות ושיטות עבודה מומלצות. הקפד להישאר מעודכן בגרסאות חדשות ולשלב כל שינוי רלוונטי במערכת ניהול אבטחת המידע של הארגון שלך.
  8. לפקח ולשפר: מעקב שוטף אחר האפקטיביות של מערכת ניהול אבטחת המידע שלך וביצוע שיפורים לפי הצורך.

גלה כיצד ISMS.online יכול לסייע לך להתחיל עם הטמעת ISO 27002:2022.


האם הסמכה ISO 27002 אפשרית

הסמכה ל-ISO 27002 אינה אפשרית, שכן היא אינה תקן ניהול ואינה מגדירה כיצד להפעיל מערכת.

עם זאת, ISO 27002:2022 ממלא תפקיד מכריע בסיוע לארגונים כמו שלך לעמוד בדרישות ההסמכה של ISO 27001:2022.

ב-ISMS.online, אנו מספקים הנחיות ליישום, ניהול ושיפור מתמיד של מערכת ניהול אבטחת המידע שלך.


האם יש דרישות ISO 27002

לתקן ISO 27002:2022 אין דרישות מפורשות לארגונים.

הוא מציע רק הצעות שארגונים צריכים ליישם בהתאם לאופי סיכוני אבטחת המידע הספציפיים שלהם.

עם ISMS.online תוכל לגלות לאילו סיכוני אבטחה הארגון שלך צריך להיות מודע.


מהן המקבילות הלאומיות של ISO 27002

ישנם תקנים שונים במדינות שונות המקבילים ל-ISO 27002. למרות עיכובי פרסום ותרגום מקומיים אשר מובילים לכך שמקבילים אלו מגיעים חודשים לאחר התיקון והשחרור של תקן ISO/IEC הראשי, גופים לאומיים מבטיחים שהתוכן יתורגם במדויק ל- משקף את ISO 27002 במלואו.

להלן כמה מהתקנים המקבילים הלאומיים עבור ISO 27002 במדינות שונות:

  • ארגנטינה – IRAM-ISO-IEC 27002:2008
  • אוסטרליה וניו זילנד – AS/NZS ISO/IEC 27002:2006
  • ברזיל – ISO/IEC NBR 17799/2007 – 27002
  • אינדונזיה – SNI ISO/IEC 27002:2014
  • צ'ילה - NCH2777 ISO/IEC 17799/2000
  • סין – GB/T 22081-2008
  • צ'כיה – ČSN ISO/IEC 27002:2006
  • קרואטיה – HRN ISO/IEC 27002:2013
  • דנמרק – DS/ISO27002:2014 (DK)
  • אסטוניה – EVS-ISO/IEC 17799:2003, גרסת 2005 בתרגום
  • גרמניה - DIN ISO/IEC 27002:2008
  • יפן – JIS Q 27002
  • ליטא - LST ISO/IEC 27002:2009 (אומץ ISO/IEC 27002:2005, ISO/IEC 17799:2005)
  • מקסיקו – NMX-I-27002-NYCE-2015
  • הולנד - NEN-ISO/IEC 27002:2013
  • פרו – NTP-ISO/IEC 17799:2007
  • פולין - PN-ISO/IEC 17799:2007, מבוסס על ISO/IEC 17799:2005
  • רוסיה – ГОСТ Р ИСО/МЭК 27002-2012, מבוסס על ISO/IEC 27002:2005
  • סלובקיה – STN ISO/IEC 27002:2006
  • דרום אפריקה – SANS 27002:2014/ISO/IEC 27002:2013[3]
  • ספרד - UNE 71501
  • שבדיה – SS-ISO/IEC 27002:2014
  • טורקיה - TS ISO/IEC 27002
  • תאילנד – UNIT/ISO
  • אוקראינה – СОУ Н НБУ 65.1 СУІБ 2.0:2010
  • בריטניה - BS ISO/IEC 27002:2005
  • אורוגוואי – UNIT/ISO 17799:2005


פתרון תאימות מלא

רוצה לחקור?
התחל את תקופת הניסיון בחינם.

הירשם לגרסת הניסיון החינמית שלך עוד היום וקבל יד על כל תכונות התאימות שיש ל-ISMS.online להציע

למידע נוסף

חקור את הפלטפורמה של ISMS.online עם סיור מודרך עצמי - התחל עכשיו