הבקרה 5.1 של ISO 27002:2022 מכסה את הצורך של ארגונים להחזיק במסמך מדיניות אבטחת מידע כדי להגן מפני בעיות אבטחת מידע.
מדיניות אבטחת מידע מספקת לעובדים, להנהלה ולגורמים חיצוניים (למשל לקוחות וספקים) מסגרת לניהול מידע אלקטרוני, לרבות רשתות מחשבים.
מטרת מדיניות אבטחת מידע היא להפחית את הסיכון לאובדן נתונים או גניבה מאיומים פנימיים וחיצוניים. מדיניות אבטחת מידע מבטיחה גם שכל העובדים מודעים לאחריותם להגנה על הנתונים שבידי הארגונים שלהם.
מדיניות אבטחת מידע יכולה לשמש גם כדי להוכיח עמידה בחוקים ותקנות, ועוזרת לעמוד בתקנים כמו ISO 27001.
איומי אבטחת סייבר הם כל התקפה זדונית אפשרית המבקשת לגשת לנתונים שלא כדין, לשבש פעולות דיגיטליות או לפגוע במידע. איומי סייבר יכולים לנבוע מגורמים שונים, לרבות מרגלים ארגוניים והאקטיביסטים, קבוצות טרור, מדינות לאום עוינות וארגוני פשע.
כמה מאיומי אבטחת הסייבר ואבטחת המידע הפופולריים יותר הם:
מטרת מדיניות אבטחת המידע היא להבטיח תמיכת הנהלה להגנה על המידע הרגיש של החברה שלך מפני גניבה וגישה בלתי מורשית.
בקרה 5.1 מכסה את הנחיית הבקרה, המטרה והיישום לקביעת מדיניות אבטחת מידע בארגון על פי המסגרת כפי שהוגדרה ב-ISO 27001.
בקרה 5.1 קובעת שארגונים צריכים להיות בעלי מדיניות ברמה גבוהה ונמוכה לגבי האופן שבו הם מנהלים את אבטחת המידע שלהם. ההנהלה הבכירה של הארגון צריכה לאשר את המדיניות, שאותה יש לבחון באופן שוטף וגם אם מתרחשים שינויים בסביבת אבטחת המידע.
הגישה הטובה ביותר היא להיפגש באופן קבוע לפחות פעם בחודש, עם פגישות נוספות שנקבעו לפי הצורך. אם נערכים שינויים במדיניות, ההנהלה חייבת לאשר אותם לפני יישומם. יש לשתף את המדיניות גם עם בעלי עניין פנימיים וחיצוניים.
תכונות הן אמצעי לסווג בקרות. אלה מאפשרים לך ליישר במהירות את בחירת הבקרה שלך עם השפה והסטנדרטים הנפוצים בתעשייה. בשליטה 5.1 אלה הם.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #ממשל | #ממשל ומערכת אקולוגית #כּוֹשֵׁר הִתאוֹשְׁשׁוּת |
מדיניות אבטחת המידע צריכה להוות בסיס ולתמוך בהליכי הפעלה מפורטים המתארים כיצד תנוהל אבטחת מידע בפועל.
המדיניות צריכה להיות מאושרת על ידי ההנהלה הבכירה, אשר אמורה לוודא שהיא מועברת לצוות ומעמידה לרשות בעלי עניין.
המדיניות נותנת כיוון לגבי גישת הארגון לניהול אבטחת מידע, ויכולה לשמש כמסגרת לפיתוח נהלי תפעול מפורטים יותר.
המדיניות מהווה מרכיב חיוני בהקמת ותחזוקה של מערכת ניהול אבטחת מידע (ISMS), כנדרש ממשפחת התקנים ISO/IEC 27000, אך גם אם הארגון אינו מתכוון ליישם הסמכה רשמית לתקן ISO 27001 או כל תקן אחר. , מדיניות מוגדרת היטב עדיין חשובה.
ב-ISO 27002: 2022, בקרה 5.1 מדיניות אבטחת מידע אינה בקרה חדשה, אלא היא תוצאה של מיזוג בקרות 5.1.1 מדיניות אבטחת מידע ו 5.1.2 סקירת מדיניות לאבטחת מידע מגרסה ISO 27002 2013.
ב-ISO 27002:2022, בקרה 5.1 עודכנה כך שתכלול תיאור של מטרתה והנחיות יישום מורחבות. זה גם הגיע עם טבלת תכונות המאפשרת למשתמשים ליישב בקרה עם טרמינולוגיות בתעשייה.
ב-ISO 27002:2022, בקרה 5.1 קובעת כי מדיניות אבטחת מידע ומדיניות ספציפית לנושא צריכה להיות מוגדרת, מאושרת על ידי ההנהלה, מפרסמת, מועברת לצוות הרלוונטי ובעלי עניין רלוונטיים ומקבלת הכרה מצדם.
מדיניות אבטחת המידע של ארגון צריכה לשקף את גודל הארגון, סוגו ורגישות נכסי המידע. זה גם צריך להיות עקבי עם תקני התעשייה ותקנות ממשלתיות החלות.
בעוד שמהות הבקרה עצמה דומה ל-5.1.1 של ISO 27002:2013, גרסה 2022 קובעת באופן ספציפי שיש לבחון את מדיניות אבטחת המידע הזו באופן קבוע וגם אם מתרחשים שינויים בסביבת אבטחת המידע. רוכב זה מכוסה בסעיף 5.1.2 של ISO 27002:2013.
ISO 27002: 2013 ו-ISO 27002: 2022 קובעים שהרמה הגבוהה ביותר של הארגון צריכה להגדיר מדיניות אבטחה שההנהלה הבכירה מאשרת ואשר קובעת כיצד הם יפקחו על ההגנה על המידע שלהם. עם זאת, הדרישות המכוסות בפוליסות עבור שתי הגרסאות שונות.
ב-ISO 27002:2013, מדיניות אבטחת מידע צריכה לתת מענה לדרישות שנוצרו על ידי:
מדיניות אבטחת המידע צריכה לכלול הצהרות הנוגעות ל:
אבל הדרישות עבור ISO 27002:2022 הן קצת יותר מקיפות.
מדיניות אבטחת המידע צריכה לקחת בחשבון דרישות הנגזרות מ:
מדיניות אבטחת המידע צריכה לכלול הצהרות הנוגעות ל:
במקביל, מדיניות ספציפית לנושא עובדה מחדש ב-ISO 27002:2022 כדי לכלול; ניהול אירועי אבטחת מידע, ניהול נכסים, אבטחת רשתות, ניהול אירועי אבטחת מידע ופיתוח מאובטח. חלק מאלה ב-ISO 27002:2013 הוסרו או מוזגו כדי ליצור מסגרת הוליסטית יותר.
ב-ISMS.online, מערכת הענן הקלה לשימוש אך החזקה שלנו תספק לך סט שלם של כלים ומשאבים שיעזרו לך לנהל את מערכת ניהול אבטחת המידע ISO 27001/27002 משלך (ISMS), בין אם אתה חדש ל-ISO 27001/27002 או כבר הסמכה.
זרימת העבודה האינטואיטיבית שלנו שלב אחר שלב, הכלים, המסגרות, המדיניות והבקרות, התיעוד וההנחיות הניתנות לפעולה מובילות אותך בתהליך של יישום ISO 27002, מה שמקל עליך להגדיר את היקף ה-ISMS, לזהות סיכונים ולהטמיע בקרות באמצעות האלגוריתמים שלנו - מאפס או מתבניות שיטות עבודה מומלצות.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
