בקרה 5.11 קובעת כי כוח אדם ואחרים בעלי עניין לפי העניין צריכים להחזיר את כל נכסי הארגון שברשותם עם שינוי או סיום העסקתם, החוזה או ההסכם שלהם.
המשמעות היא שעל הארגון להחזיק במדיניות כתובה המגדירה כללים ברורים להחזרת נכסים עם סיום. לארגונים יש גם כוח אדם שיאשר את קבלת הנכסים שהוחזרו, וכן להבטיח שהנכסים מצוידים כראוי והתייחס.
An נכס מידע הוא כל סוג של מידע או מידע שיש לו ערך לארגון. נכסי מידע יכולים לכלול מסמכים פיזיים, קבצים דיגיטליים ומסדי נתונים, תוכנות ואפילו פריטים לא מוחשיים כמו סודות מסחריים וקניין רוחני.
לנכסי מידע יכול להיות ערך במגוון דרכים. הם עשויים להכיל מידע מזהה אישי (PII) על לקוחות, עובדים או בעלי עניין אחרים שיכולים לשמש שחקנים גרועים לרווח כספי או גניבת זהות. הם יכולים להכיל מידע רגיש על הכספים, המחקר או הפעילות של הארגון שלך שיספק יתרון תחרותי למתחרים שלך אם הם היו מסוגלים לשים עליו את ידם.
זו הסיבה שחשוב שעובדים וקבלנים שעסקיהם מופסקים עם ארגון ייאלצו להחזיר את כל הנכסים הללו שברשותם.
DELETE THIS תקן ISO 27002:2022 כולל טבלאות תכונות שלא נכללו בתקן הקודם של 2013. בקרות מסווגות על סמך התכונות שלהן. אתה יכול גם להשתמש בתכונות אלה כדי להתאים את בחירת הבקרה שלך למונחים ומפרטים נפוצים בתעשייה.
תכונות לבקרה 5.11 הן:
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול נכסים | #הֲגָנָה |
בקרה 5.11 נועד להגן על נכסי הארגון כחלק מתהליך של שינוי או סיום העסקה, חוזה או הסכם. הכוונה של בקרה זו היא למנוע מאנשים לא מורשים לשמור על נכסים (כגון, ציוד, מידע, תוכנה וכו') השייכים לארגון.
כאשר עובדים וקבלנים עוזבים את הארגון שלך, עליך לוודא שהם לא לוקחים איתם מידע רגיש. אתה עושה זאת על ידי זיהוי כל איומים פוטנציאליים ומעקב אחר פעילויות המשתמש לפני עזיבתו.
בקרה זו נועדה להבטיח שלאדם אין גישה למערכות ה-IT ולרשתות כאשר הם פוסקים. ארגונים צריכים להקים תהליך סיום רשמי המבטיח שאנשים לא יוכלו לקבל גישה למערכות IT כלשהן לאחר עזיבתם את הארגון. ניתן לעשות זאת על ידי ביטול כל ההרשאות, השבתת חשבונות והסרת גישה מבניין.
יש להקפיד על נהלים כדי להבטיח שעובדים, קבלנים וגורמים רלוונטיים אחרים יחזירו את כל הנכסים הארגוניים שאינם נדרשים עוד למטרות עסקיות או שאמורים להחלפה. ארגונים עשויים גם לרצות לבצע בדיקה סופית של אזור העבודה של הפרט כדי לוודא שכל המידע הרגיש הוחזר.
לדוגמה:
על מנת לעמוד בדרישות הבקרה 5.11, יש לנסח את תהליך השינוי או הסיום כך שיכלול החזרת כל הנכסים הפיזיים והאלקטרונים שהונפקו בעבר בבעלות הארגון או שהופקדו עליו.
התהליך צריך גם להבטיח שכל זכויות הגישה, החשבונות, האישורים הדיגיטליים והסיסמאות יוסרו. פורמליזציה זו חשובה במיוחד במקרים בהם שינוי או סיום מתרחשים באופן בלתי צפוי, כגון מוות או התפטרות, על מנת למנוע גישה בלתי מורשית לנכסי הארגון שעלולים להוביל לפרצת נתונים.
התהליך צריך להבטיח שכל הנכסים מטופלים, ושכולם הוחזרו/סולקו בצורה מאובטחת.
על פי בקרה 5.11 של ISO 27002:2022, הארגון צריך בבירור לזהות ולתעד את כל המידע ונכסים משויכים אחרים שיש להחזיר שיכולים לכלול:
a) התקני נקודת קצה למשתמש;
b) התקני אחסון ניידים;
c) ציוד מומחה;
d) חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים;
e) עותקים פיזיים של מידע.
ניתן להשיג זאת באמצעות רשימת בדיקה רשמית המכילה את כל הפריטים הדרושים להחזר/השלכה ולהשלמה על ידי המשתמש עם סיום העבודה, יחד עם כל החתימה הנדרשת המאשרת שהנכסים הוחזרו/סולקו בהצלחה.
הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.
השליטה 5.11 ב-ISO 27002: 2022 אינה בקרה חדשה, אלא היא שינוי של בקרה 8.1.4 – החזרת נכסים ב-ISO 27002:2013.
שני הפקדים זהים בעצם עם שפה וביטויים כמעט דומים הכלולים בהנחיות היישום. למרות זאת, פקד 5.11 ב-ISO 27002:2022 מגיע עם טבלת תכונות המאפשרת למשתמשים להתאים את הבקרה למה שהם מיישמים. כמו כן, בקרת 5.11 בנכסים הרשומים בתקן ISO 27002:2022 שיכולים להיות תחת מה שצריך להחזיר בתום העסקה או סיום החוזה.
אלה כוללים:
a) התקני נקודת קצה למשתמש;
b) התקני אחסון ניידים;
c) ציוד מומחה;
d) חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים;
e) עותקים פיזיים של מידע.
רשימה זו אינה זמינה בגרסת 2013.
תקן ISO 27002:2022 המעודכן מבוסס על גרסת 2013. הוועדה המפקחת על התקן לא ביצעה עדכונים או שינויים משמעותיים בגרסאות הקודמות. כתוצאה מכך, כל ארגון שעומד כיום בתקן ISO 27002:2013 כבר תואם לתקן החדש. אם החברה שלך מתכננת לשמור על תאימות ל-ISO 27002, לא תצטרך לבצע שינויים משמעותיים רבים במערכות ובתהליכים שלך.
עם זאת, תוכל ללמוד עוד על האופן שבו שינויים אלה לשליטה ב-5.11 ישפיעו על הארגון שלך במדריך שלנו ל-ISO 27002:2022.
פלטפורמת ISMS.online היא כלי נהדר שיעזור לך ליישם ולנהל ISO 27001/27002 מערכת ניהול אבטחת מידע, ללא קשר לניסיון שלך עם התקן.
המערכת שלנו תדריך אותך בשלבים ל הגדר בהצלחה את ה-ISMS שלך ולנהל את זה קדימה. תהיה לך גישה למגוון רחב של משאבים, כולל:
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |