ISO 27002:2022, בקרה 5.11, החזרת נכסים

ISO 27002:2022 – בקרה 5.11 – החזרת נכסים

בקרה 5.11 קובעת כי כוח אדם ואחרים בעלי עניין לפי העניין צריכים להחזיר את כל נכסי הארגון שברשותם עם שינוי או סיום העסקתם, החוזה או ההסכם שלהם. המשמעות היא שעל הארגון להחזיק במדיניות כתובה המגדירה כללים ברורים להחזרת נכסים עם סיום. לארגונים יש גם כוח אדם שיאשר את קבלת הנכסים המוחזרים, וכן להבטיח שהנכסים מצוידים כראוי והתייחס.

מהי בקרה 5.11, החזרת נכסים?

An נכס מידע הוא כל סוג של מידע או מידע שיש לו ערך לארגון. נכסי מידע יכולים לכלול מסמכים פיזיים, קבצים דיגיטליים ומסדי נתונים, תוכנות ואפילו פריטים לא מוחשיים כמו סודות מסחריים וקניין רוחני.

לנכסי מידע יכול להיות ערך במגוון דרכים. הם עשויים להכיל מידע מזהה אישי (PII) על לקוחות, עובדים או בעלי עניין אחרים שיכולים לשמש שחקנים גרועים לרווח כספי או גניבת זהות. הם יכולים להכיל מידע רגיש על הכספים, המחקר או הפעילות של הארגון שלך שיספק יתרון תחרותי למתחרים שלך אם הם היו מסוגלים לשים עליו את ידם.

זו הסיבה שחשוב שעובדים וקבלנים שעסקיהם מופסקים עם ארגון ייאלצו להחזיר את כל הנכסים הללו שברשותם.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

תכונות שליטה 5.11

DELETE THIS תקן ISO 27002:2022 כולל טבלאות תכונות שלא נכללו בתקן הקודם של 2013. בקרות מסווגות על סמך התכונות שלהן. אתה יכול גם להשתמש בתכונות אלה כדי להתאים את בחירת הבקרה שלך למונחים ומפרטים נפוצים בתעשייה.

תכונות לבקרה 5.11 הן:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול נכסים	#הֲגָנָה
	#יושרה
	#זמינות

מהי מטרת בקרה 5.11?

בקרה 5.11 נועד להגן על נכסי הארגון כחלק מתהליך של שינוי או סיום העסקה, חוזה או הסכם. הכוונה של בקרה זו היא למנוע מאנשים לא מורשים לשמור על נכסים (כגון, ציוד, מידע, תוכנה וכו') השייכים לארגון.

כאשר עובדים וקבלנים עוזבים את הארגון שלך, עליך לוודא שהם לא לוקחים איתם מידע רגיש. אתה עושה זאת על ידי זיהוי כל איומים פוטנציאליים ומעקב אחר פעילויות המשתמש לפני עזיבתו.

בקרה זו נועדה להבטיח שלאדם אין גישה למערכות ה-IT ולרשתות כאשר הם פוסקים. ארגונים צריכים להקים תהליך סיום רשמי המבטיח שאנשים לא יוכלו לקבל גישה למערכות IT כלשהן לאחר עזיבתם את הארגון. ניתן לעשות זאת על ידי ביטול כל ההרשאות, השבתת חשבונות והסרת גישה מבניין.

יש להקפיד על נהלים כדי להבטיח שעובדים, קבלנים וגורמים רלוונטיים אחרים יחזירו את כל הנכסים הארגוניים שאינם נדרשים עוד למטרות עסקיות או שאמורים להחלפה. ארגונים עשויים גם לרצות לבצע בדיקה סופית של אזור העבודה של הפרט כדי לוודא שכל המידע הרגיש הוחזר.

לדוגמה:

עם ההפרדה, נאסף ציוד בבעלות הארגון (למשל, מדיה נשלפת, מחשבים ניידים).
קבלנים מחזירים ציוד ומידע בתום החוזה שלהם.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה כרוך ואיך לעמוד בדרישות

על מנת לעמוד בדרישות הבקרה 5.11, יש לנסח את תהליך השינוי או הסיום כך שיכלול החזרת כל הנכסים הפיזיים והאלקטרונים שהונפקו בעבר בבעלות הארגון או שהופקדו עליו.

התהליך צריך גם להבטיח שכל זכויות הגישה, החשבונות, האישורים הדיגיטליים והסיסמאות יוסרו. פורמליזציה זו חשובה במיוחד במקרים בהם שינוי או סיום מתרחשים באופן בלתי צפוי, כגון מוות או התפטרות, על מנת למנוע גישה בלתי מורשית לנכסי הארגון שעלולים להוביל לפרצת נתונים.

התהליך צריך להבטיח שכל הנכסים מטופלים, ושכולם הוחזרו/סולקו בצורה מאובטחת.

על פי בקרה 5.11 של ISO 27002:2022, הארגון צריך בבירור לזהות ולתעד את כל המידע ונכסים משויכים אחרים שיש להחזיר שיכולים לכלול:

a) התקני נקודת קצה למשתמש;

b) התקני אחסון ניידים;

c) ציוד מומחה;

d) חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים;

e) עותקים פיזיים של מידע.

ניתן להשיג זאת באמצעות רשימת בדיקה רשמית המכילה את כל הפריטים הדרושים להחזר/השלכה ולהשלמה על ידי המשתמש עם סיום העבודה, יחד עם כל החתימה הנדרשת המאשרת שהנכסים הוחזרו/סולקו בהצלחה.

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.

השליטה 5.11 ב-ISO 27002: 2022 אינה בקרה חדשה, אלא היא שינוי של בקרה 8.1.4 – החזרת נכסים ב-ISO 27002:2013.

שני הפקדים זהים בעצם עם שפה וביטויים כמעט דומים הכלולים בהנחיות היישום. למרות זאת, פקד 5.11 ב-ISO 27002:2022 מגיע עם טבלת תכונות המאפשרת למשתמשים להתאים את הבקרה למה שהם מיישמים. כמו כן, בקרת 5.11 בנכסים הרשומים בתקן ISO 27002:2022 שיכולים להיות תחת מה שצריך להחזיר בתום העסקה או סיום החוזה.

אלה כוללים:

a) התקני נקודת קצה למשתמש;

b) התקני אחסון ניידים;

c) ציוד מומחה;

d) חומרת אימות (למשל מפתחות מכניים, אסימונים פיזיים וכרטיסים חכמים) עבור מערכות מידע, אתרים וארכיונים פיזיים;

e) עותקים פיזיים של מידע.

רשימה זו אינה זמינה בגרסת 2013.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

מה המשמעות של השינויים הללו עבורך?

תקן ISO 27002:2022 המעודכן מבוסס על גרסת 2013. הוועדה המפקחת על התקן לא ביצעה עדכונים או שינויים משמעותיים בגרסאות הקודמות. כתוצאה מכך, כל ארגון שעומד כיום בתקן ISO 27002:2013 כבר תואם לתקן החדש. אם החברה שלך מתכננת לשמור על תאימות ל-ISO 27002, לא תצטרך לבצע שינויים משמעותיים רבים במערכות ובתהליכים שלך.

עם זאת, תוכל ללמוד עוד על האופן שבו שינויים אלה לשליטה ב-5.11 ישפיעו על הארגון שלך במדריך שלנו ל-ISO 27002:2022.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

פלטפורמת ISMS.online היא כלי נהדר שיעזור לך ליישם ולנהל ISO 27001/27002 מערכת ניהול אבטחת מידע, ללא קשר לניסיון שלך עם התקן.

המערכת שלנו תדריך אותך בשלבים ל הגדר בהצלחה את ה-ISMS שלך ולנהל את זה קדימה. תהיה לך גישה למגוון רחב של משאבים, כולל:

מדריך ISMS.online אינטראקטיבי המספק מדריך שלב אחר שלב ליישום ISO 27001/27002 בכל ארגון.
A כלי הערכת סיכונים שמנחה אותך בתהליך של זיהוי והערכת הסיכונים שלך.
באינטרנט חבילת מדיניות שקל להתאים אישית בהתאם לצרכים שלך.
מערכת בקרת מסמכים המסייעת לך לנהל כל מסמך ורשומה שנוצרו כחלק מה-ISMS שלך.
דיווח אוטומטי לקבלת החלטות טובות יותר.
רשימת בדיקה שבה תוכל להשתמש כדי לוודא שהתהליכים שלך תואמים למסגרת ISO 27002. בסופו של דבר, לפלטפורמה מבוססת הענן שלנו יש את כל מה שאתה צריך כדי לתעד הוכחה לעמידה ב-ISO framework.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו