שימוש מקובל במידע ובנכסים נלווים

ISO 27002:2022 – בקרה 5.10 – שימוש מקובל במידע ובנכסים נלווים אחרים

בקרה 5.10 קובעת כי יש לזהות, לתעד וליישם את הכללים לשימוש מקובל ונהלים לטיפול במידע ונכסים קשורים אחרים. המטרה של מדיניות כזו היא לקבוע קווים מנחים ברורים כיצד המשתמשים צריכים להתנהג בעת עבודה עם נכסי מידע, כדי להבטיח סודיות, שלמות וזמינות של נכסי אבטחת המידע של הארגון.

מהי בקרה 5.10, שימוש מקובל במידע ונכסים נלווים אחרים?

מדיניות השימוש המקובל בנכסי מידע (AUA) חלה על כל חברי הארגון והנכסים שבבעלות הארגון או המופעלים על ידי הארגון. ה-AUA חל על כל השימושים בנכסי מידע לכל מטרה, לרבות מסחרית.

להלן דוגמאות לנכסי מידע:

חומרה: מחשבים, מכשירים ניידים, טלפונים ומכשירי פקס.
תוכנה: מערכות הפעלה, יישומים (כולל אפליקציות מבוססות אינטרנט), כלי עזר, קושחה ושפות תכנות.
נתונים: נתונים מובנים במסדי נתונים יחסיים, קבצים שטוחים ונתוני NoSQL; נתונים לא מובנים כגון מסמכי טקסט, גיליונות אלקטרוניים, תמונות, קבצי וידאו ואודיו; רשומות בכל פורמט.
רשתות: רשתות קוויות ואלחוטיות; מערכות תקשורת; שירותי קול על IP.
שירותים: שירותי ענן, חשבונות דואר אלקטרוני ושירותים מתארחים אחרים.

שימוש מקובל במידע ובנכסים קשורים אחרים פירושו שימוש בנכסי מידע בדרכים שאינן מסכנות את הזמינות, המהימנות או השלמות של נתונים, שירותים או משאבים. זה גם אומר להשתמש בהם בדרכים שאינן מפרות חוקים או מדיניות הארגון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

תכונות שליטה 5.10

DELETE THIS תקן ISO 27002:2022 מגיע עם טבלאות תכונות שאינן נמצאות בגרסת 2013. תכונות הן דרך לסווג פקדים.

הם גם מאפשרים לך להתאים את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים. הפקדים הבאים זמינים בפקד 5:10.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול נכסים	#ממשל ומערכת אקולוגית
	#יושרה		#הגנת מידע	#הֲגָנָה
	#זמינות

מהי מטרת בקרה 5.10?

מטרת העל של זה השליטה היא להבטיח מידע ונכסים קשורים אחרים מוגנים, משמשים ומטופלים כראוי.

Control 5.10 תוכנן להבטיח שמדיניות, נהלים ובקרות טכניות קיימות כדי למנוע ממשתמשים לגשת, להשתמש או לחשוף באופן בלתי הולם לנכסי מידע.

בקרה זו נועדה לספק מסגרת לארגונים כדי להבטיח זאת מידע ונכסים אחרים מוגנים, משמשים ומטופלים כראוי. זה כולל הבטחה שהמדיניות והנהלים קיימים בכל הרמות בתוך הארגון, כמו גם הבטחה שמדיניות ונהלים אלה נאכפים באופן עקבי.

הטמעת בקרה 5.10 כחלק ממך ISMS פירושו שהצבת את הדרישות השונות הקשורות לאופן שבו החברה שלך מגנה על נכסי IT כולל:

הגנת מידע באחסון, עיבוד ומעבר.
הגנה ושימוש מתאים בציוד IT.
השימוש בשירותי אימות מתאימים כדי לשלוט בגישה למערכות מידע.
עיבוד מידע בתוך ארגון רק על ידי משתמשים בעלי הרשאה מתאימה.
הקצאת מידע הקשורים אחריות כלפי אנשים או תפקידים ספציפיים.
חינוך והכשרה של משתמשים לגבי אחריותם האבטחה.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה כרוך ואיך לעמוד בדרישות

על מנת לעמוד בדרישות עבור פקד 5.10 ב-ISO 27002:2022, חשוב שעובדים וגורמים חיצוניים המשתמשים או בעלי גישה למידע של הארגון ולנכסים הקשורים אחרים יהיו מודעים לדרישות אבטחת המידע של הארגון.

אנשים אלה צריכים להיות אחראים לכל מתקני עיבוד מידע שהם משתמשים בהם.

כל מי שמעורב בשימוש או בטיפול במידע ובנכסים קשורים אחרים צריך להיות מודע למדיניות הארגון לגבי שימוש מקובל במידע ובנכסים קשורים אחרים.

כל מי שמעורב בשימוש או בטיפול ב מידע ונכסים קשורים אחרים צריך להיות מודע למדיניות הארגון לגבי שימוש מותר במידע ובנכסים קשורים אחרים. כחלק ממדיניות שימוש מקובל ספציפית לנושא, הצוות צריך לדעת בדיוק מה הם צפויים לעשות עם מידע ונכסים אחרים.

בפרט, מדיניות ספציפית לנושא צריכה לציין כי:

a) התנהגויות צפויות ובלתי מקובלות של אנשים מנקודת מבט של אבטחת מידע;

b) שימוש מותר ואסור במידע ובנכסים קשורים אחרים;

c) מעקב אחר פעילויות הארגון.

יש לערוך נהלי שימוש מקובלים עבור מחזור חיי המידע המלא בהתאם לסיווגו ולסיכונים שנקבעו. יש לקחת בחשבון את הפריטים הבאים:

a) הגבלות גישה התומכות בדרישות ההגנה לכל רמת סיווג;

b) תחזוקת רישום של המשתמשים המורשים במידע ונכסים קשורים אחרים;

c) הגנה על עותקים זמניים או קבועים של מידע ברמה התואמת את
הגנה על המידע המקורי;

d) אחסון נכסים הקשורים למידע בהתאם למפרטי היצרנים;

e) סימון ברור של כל העותקים של אמצעי האחסון (אלקטרוני או פיזי) לתשומת לב
נמען מורשה;

f) הרשאה לסילוק מידע ונכסים קשורים אחרים ושיטות מחיקה נתמכות.

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.

הבקרה 5.10 ב-ISO 27002:2022 אינה בקרה חדשה, אלא היא שילוב של בקרות 8.1.3 – שימוש מקובל בנכסים ו-8.2.3 – טיפול בנכסים ב-ISO 27002:2013.

בעוד שהמהות וההנחיות של בקרה 5.10 זהות יחסית לפקדים 8.1.3 ו-8.2.3, בקרה 5.10 מיזגה הן את השימוש המקובל בנכסים והן את הטיפול בנכסים לבקרה אחת כדי לאפשר שיפור ידידותיות המשתמש.

עם זאת, פקד 5.10 הוסיף גם נקודה נוספת לבקרה 8.2.3. זה מכסה הרשאה לסילוק מידע ונכסים משויכים אחרים ושיטות המחיקה הנתמכות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

מי אחראי על התהליך הזה?

השימוש המקובל במידע ובנכסים נלווים אחרים הוא מדיניות הקובעת כללים כדי להבטיח שימוש נכון במידע של החברה ובנכסים הקשורים אחרים, לרבות מחשבים, רשתות ומערכות, דואר אלקטרוני, קבצים ומדיה אחסון. תקנון זה מחייב את כל העובדים והקבלנים.

מטרת מדיניות זו היא:

ודא שהמידע של החברה ונכסים הקשורים אחרים משמשים רק למטרות עסקיות לגיטימיות.
לוודא שהעובדים עומדים בכל החוקים והתקנות הנוגעים לאבטחת מידע.
הגן על המידע של החברה ועל נכסים קשורים אחרים מפני איומים שמקורם בחברה או מחוצה לה.

קצין אבטחת המידע (ISO) אחראי לפיתוח, יישום ותחזוקה של השימוש המקובל בנכסי מידע.

ה-ISO יהיה אחראי על ניהול השימוש במשאבי מידע בכל הארגון כדי להבטיח שהמידע ייעשה שימוש באופן המגן על אבטחת הנתונים ושלמותם, שומר על סודיות המידע הקנייני או הרגיש, מגן מפני שימוש לרעה וגישה לא מורשית למחשוב. משאבים, ומבטל חשיפה מיותרת או אחריות לארגון.

מה המשמעות של השינויים הללו עבורך?

תקן ISO 27002:2022 החדש אינו שדרוג מהותי. כתוצאה מכך, ייתכן שלא תצטרך לבצע שינויים משמעותיים בכל הקשור לעמידה בגרסה העדכנית ביותר של ISO 27002.

עם זאת, אנא עיין במדריך שלנו ל-ISO 27002:2022, שבו תוכל לגלות עוד על האופן שבו שינויים אלה לשליטה ב-5.10 ישפיעו על העסק שלך.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

כידוע, ISO 27002 הוא תקן נפוץ ומוכר לאבטחת מידע.

הוא מספק מודל להקמה, יישום, תפעול, ניטור, סקירה, תחזוקה ושיפור מערכת ניהול אבטחת מידע (ISMS).

מכיוון שתקן ISO 27002 הוא כל כך מקיף ומפורט, הטמעתו עשויה להיות תהליך שלוקח זמן. אבל עם ISMS.online, יש לך פתרון אחד שהופך את הדברים להרבה יותר פשוטים.

ברמה העולמית שלנו אבטחת מידע פלטפורמת תוכנת מערכת הניהול מקלה במיוחד על ההבנה מה צריך לעשות ואיך לעשות את זה.

אנו מוציאים את הכאב מניהול דרישות התאימות שלך.

עם ISMS.online, הטמעת ISO 27002 פשוטה יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך דרך זיהוי סיכונים ויישום בקרה.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו