בקרה 5.1, מדיניות לאבטחת מידע

מהי Control 5.1?

מדיניות אבטחת מידע מספקת לעובדים, להנהלה ולגורמים חיצוניים (למשל לקוחות וספקים) מסגרת לניהול מידע אלקטרוני, לרבות רשתות מחשבים.

מטרת מדיניות אבטחת מידע היא להפחית את הסיכון לאובדן נתונים או גניבה מאיומים פנימיים וחיצוניים. מדיניות אבטחת מידע מבטיחה גם שכל העובדים מודעים לאחריותם להגנה על הנתונים שבידי הארגונים שלהם.

מדיניות אבטחת מידע יכולה לשמש גם כדי להוכיח עמידה בחוקים ותקנות, ועוזרת לעמוד בתקנים כמו ISO 27001.

הסבר על איומי אבטחת סייבר ואבטחת מידע

איומי אבטחת סייבר הם כל התקפה זדונית אפשרית המבקשת לגשת לנתונים שלא כדין, לשבש פעולות דיגיטליות או לפגוע במידע. איומי סייבר יכולים לנבוע מגורמים שונים, לרבות מרגלים ארגוניים והאקטיביסטים, קבוצות טרור, מדינות לאום עוינות וארגוני פשע.

כמה מאיומי אבטחת הסייבר ואבטחת המידע הפופולריים יותר הם:

תוכנות זדוניות: וירוסים, תוכנות ריגול ותוכניות זדוניות אחרות.
הודעות דוא"ל בנושא התחזות: הודעות שנראות ממקורות מהימנים אך מכילות קישורים וקבצים מצורפים המתקינים תוכנות זדוניות.
Ransomware: תוכנה זדונית שמונעת ממשתמשים לגשת לנתונים שלהם עד שהם משלמים כופר.
הנדסה חברתית: תוקפים מתמרנים אנשים למסור מידע רגיש, בדרך כלל על ידי מראה מהימן.
התקפות ציד לווייתנים: הודעות דיוג שנועדו להיראות כאילו הן מגיעות מאנשים בעלי פרופיל גבוה בארגון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

מהי מטרת בקרה 5.1?

מטרת מדיניות אבטחת המידע היא להבטיח תמיכת הנהלה להגנה על המידע הרגיש של החברה שלך מפני גניבה וגישה בלתי מורשית.

בקרה 5.1 מכסה את הנחיית הבקרה, המטרה והיישום לקביעת מדיניות אבטחת מידע בארגון על פי המסגרת כפי שהוגדרה ב-ISO 27001.

בקרה 5.1 קובעת שארגונים צריכים להיות בעלי מדיניות ברמה גבוהה ונמוכה לגבי האופן שבו הם מנהלים את אבטחת המידע שלהם. ההנהלה הבכירה של הארגון צריכה לאשר את המדיניות, שאותה יש לבחון באופן שוטף וגם אם מתרחשים שינויים בסביבת אבטחת המידע.

הגישה הטובה ביותר היא להיפגש באופן קבוע לפחות פעם בחודש, עם פגישות נוספות שנקבעו לפי הצורך. אם נערכים שינויים במדיניות, ההנהלה חייבת לאשר אותם לפני יישומם. יש לשתף את המדיניות גם עם בעלי עניין פנימיים וחיצוניים.

תכונות שליטה 5.1

תכונות הן אמצעי לסווג בקרות. אלה מאפשרים לך ליישר במהירות את בחירת הבקרה שלך עם השפה והסטנדרטים הנפוצים בתעשייה. בשליטה 5.1 אלה הם.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#ממשל	#ממשל ומערכת אקולוגית
	#יושרה			#כּוֹשֵׁר הִתאוֹשְׁשׁוּת
	#זמינות

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה כרוך ואיך לעמוד בדרישות

מדיניות אבטחת המידע צריכה להוות בסיס ולתמוך בהליכי הפעלה מפורטים המתארים כיצד תנוהל אבטחת מידע בפועל.

המדיניות צריכה להיות מאושרת על ידי ההנהלה הבכירה, אשר אמורה לוודא שהיא מועברת לצוות ומעמידה לרשות בעלי עניין.

המדיניות נותנת כיוון לגבי גישת הארגון לניהול אבטחת מידע, ויכולה לשמש כמסגרת לפיתוח נהלי תפעול מפורטים יותר.

המדיניות מהווה מרכיב חיוני בהקמת ותחזוקה של מערכת ניהול אבטחת מידע (ISMS), כנדרש ממשפחת התקנים ISO/IEC 27000, אך גם אם הארגון אינו מתכוון ליישם הסמכה רשמית לתקן ISO 27001 או כל תקן אחר. , מדיניות מוגדרת היטב עדיין חשובה.

שינויים והבדלים מ-ISO 27002:2013

ב-ISO 27002: 2022, בקרה 5.1 מדיניות אבטחת מידע אינה בקרה חדשה, אלא היא תוצאה של מיזוג בקרות 5.1.1 מדיניות אבטחת מידע ו 5.1.2 סקירת מדיניות לאבטחת מידע מגרסה ISO 27002 2013.

ב-ISO 27002:2022, בקרה 5.1 עודכנה כך שתכלול תיאור של מטרתה והנחיות יישום מורחבות. זה גם הגיע עם טבלת תכונות המאפשרת למשתמשים ליישב בקרה עם טרמינולוגיות בתעשייה.

ב-ISO 27002:2022, בקרה 5.1 קובעת כי מדיניות אבטחת מידע ומדיניות ספציפית לנושא צריכה להיות מוגדרת, מאושרת על ידי ההנהלה, מפרסמת, מועברת לצוות הרלוונטי ובעלי עניין רלוונטיים ומקבלת הכרה מצדם.

מדיניות אבטחת המידע של ארגון צריכה לשקף את גודל הארגון, סוגו ורגישות נכסי המידע. זה גם צריך להיות עקבי עם תקני התעשייה ותקנות ממשלתיות החלות.

בעוד שמהות הבקרה עצמה דומה ל-5.1.1 של ISO 27002:2013, גרסה 2022 קובעת באופן ספציפי שיש לבחון את מדיניות אבטחת המידע הזו באופן קבוע וגם אם מתרחשים שינויים בסביבת אבטחת המידע. רוכב זה מכוסה בסעיף 5.1.2 של ISO 27002:2013.

ISO 27002: 2013 ו-ISO 27002: 2022 קובעים שהרמה הגבוהה ביותר של הארגון צריכה להגדיר מדיניות אבטחה שההנהלה הבכירה מאשרת ואשר קובעת כיצד הם יפקחו על ההגנה על המידע שלהם. עם זאת, הדרישות המכוסות בפוליסות עבור שתי הגרסאות שונות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

בקרה 5.1 2013 – 2022 הנחיות יישום בהשוואה

ב-ISO 27002:2013, מדיניות אבטחת מידע צריכה לתת מענה לדרישות שנוצרו על ידי:

אסטרטגיה עסקית.
תקנות, חקיקה וחוזים.
סביבת איומי אבטחת המידע הנוכחית והחזויה.

מדיניות אבטחת המידע צריכה לכלול הצהרות הנוגעות ל:

הגדרת אבטחת מידע, יעדים ועקרונות להנחות את כל הפעילויות הקשורות
אבטחת מידע.
הטלת אחריות כללית וספציפית לניהול אבטחת מידע ל
תפקידים מוגדרים.
תהליכי טיפול בחריגות וחריגות.

אבל הדרישות עבור ISO 27002:2022 הן קצת יותר מקיפות.

מדיניות אבטחת המידע צריכה לקחת בחשבון דרישות הנגזרות מ:

אסטרטגיה עסקית ודרישות.
תקנות, חקיקה וחוזים.
הסיכונים והאיומים הנוכחיים והחזויים באבטחת מידע.

מדיניות אבטחת המידע צריכה לכלול הצהרות הנוגעות ל:

הגדרה של אבטחת מידע.
יעדי אבטחת מידע או המסגרת לקביעת יעדי אבטחת מידע.
עקרונות להנחות את כל הפעילויות הקשורות לאבטחת מידע.
מחויבות לעמוד בדרישות החלות הקשורות לאבטחת מידע.
מחויבות לשיפור מתמיד של מערכת ניהול אבטחת המידע.
חלוקת אחריות לניהול אבטחת מידע לתפקידים מוגדרים.
נהלים לטיפול בפטורים וחריגים.

במקביל, מדיניות ספציפית לנושא עובדה מחדש ב-ISO 27002:2022 כדי לכלול; ניהול אירועי אבטחת מידע, ניהול נכסים, אבטחת רשתות, ניהול אירועי אבטחת מידע ופיתוח מאובטח. חלק מאלה ב-ISO 27002:2013 הוסרו או מוזגו כדי ליצור מסגרת הוליסטית יותר.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.Online עוזר

ב-ISMS.online, מערכת הענן הקלה לשימוש אך החזקה שלנו תספק לך סט שלם של כלים ומשאבים שיעזרו לך לנהל את מערכת ניהול אבטחת המידע ISO 27001/27002 משלך (ISMS), בין אם אתה חדש ל-ISO 27001/27002 או כבר הסמכה.

זרימת העבודה האינטואיטיבית שלנו שלב אחר שלב, הכלים, המסגרות, המדיניות והבקרות, התיעוד וההנחיות הניתנות לפעולה מובילות אותך בתהליך של יישום ISO 27002, מה שמקל עליך להגדיר את היקף ה-ISMS, לזהות סיכונים ולהטמיע בקרות באמצעות האלגוריתמים שלנו - מאפס או מתבניות שיטות עבודה מומלצות.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו