ISO 27002:2022, בקרה 5.12 – סיווג מידע

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

הפעלה, תכנות, צוות., אתר, מעצב, עובד, דיגיטלי, טאבלט, תחנת עגינה, מקלדת

סיווג מידע הוא תהליך המאפשר לארגונים לעשות זאת נכסי מידע קבוצתיים לקטגוריות רלוונטיות בהתאם לרמת ההגנה יש לספק כל קטגוריה של מידע.

בקרה 5.12 עוסקת ביישום תכנית סיווג מידע המבוססת על דרישות סודיות, יושרה וזמינות לנכסי מידע.

מטרת הבקרה 5.12

5.12 הוא בקרה מונעת ש מזהה סיכונים על ידי מתן אפשרות לארגונים לקבוע את רמת ההגנה לכל נכס מידע בהתבסס על רמת החשיבות והרגישות של המידע.

5.12 מזהיר במפורש ארגונים מפני סיווג יתר או תת-סיווג של מידע בהנחיות המשלימות. הוא קובע שארגונים צריכים לקחת בחשבון את דרישות הסודיות, הזמינות והיושר כאשר הם מקצים נכסים לקטגוריות רלוונטיות.

זה מבטיח שתכנית הסיווג יוצרת איזון מתאים בין הצרכים העסקיים עבור מידע ודרישות האבטחה עבור כל קטגוריה של מידע.

טבלת תכונות

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות 		#לזהות#הגנת מידע#הֲגָנָה
#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 5.12

אמנם צריך להיות סיווג כלל ארגוני של תוכניות מידע עם רמות סיווג וקריטריונים כיצד לעשות זאת לסווג נכסי מידע, בעלי נכסי מידע אחראים בסופו של דבר ליישום תכנית סיווג.

5.12 מכיר במפורש כי הבעלים של הרלוונטי נכס מידע צריך לתת דין וחשבון.

לדוגמה, אם למחלקת הנהלת החשבונות יש גישה לתיקיות עם דוחות שכר ודפי בנק, עליהן לסווג מידע על סמך תכנית הסיווג הכלל-ארגונית.

בעת סיווג מידע, בעל הנכס צריך לקחת בחשבון להתחשב בצרכי העסק, רמת ההשפעה שתהיה לפשרה של המידע על הארגון ורמת החשיבות והרגישות של המידע.

הנחיות כלליות בנושא בקרה 5.12

כדי ליישם מערך סיווג חזק של מידע, ארגונים צריכים לאמץ גישה ספציפית לנושא, להבין את צרכי המידע של כל יחידה עסקית ולקבוע את רמת הרגישות והקריטיות של המידע.

5.12 מחייב ארגונים לקחת בחשבון את שבעת הקריטריונים הבאים בעת יישום תכנית סיווג:

  • קבע מדיניות ספציפית לנושא ותענה על הצרכים העסקיים הספציפיים

5.12 מתייחס במפורש ל-5.1, בקרת גישה ודורש מארגונים לדבוק במדיניות ספציפית לנושא כמתואר ב-5.1. בנוסף, תכנית הסיווג והרמות צריכים לקחת בחשבון צרכים עסקיים ספציפיים.

  • קחו בחשבון את הצרכים העסקיים לשיתוף ושימוש במידע ואת הצורך בזמינות

אם אתה מקצה נכס מידע לקטגוריית סיווג שהיא גבוהה יותר שלא לצורך, הדבר עלול להביא את הסיכון של הפרעה לפונקציות העסקיות הקריטיות שלך על ידי הגבלת הגישה למידע והשימוש בו.

לכן, עליך לשאוף למצוא איזון בין הצרכים העסקיים הספציפיים שלך לזמינות ושימוש במידע לבין הדרישות לסודיות ושלמות המידע הזה.

  • שקול התחייבויות משפטיות

חוקים מסוימים עשויים להטיל עליך חובות מחמירות יותר להבטיח סודיות, שלמות וזמינות המידע. בעת הקצאת נכסי מידע לקטגוריות, חובות משפטיות צריכות לקבל עדיפות על פני הסיווג שלך.

  • קחו גישה מבוססת סיכונים ושקול את ההשפעה הפוטנציאלית של פשרה

לכל סוג מידע יש רמת קריטיות שונה לפעילותו של כל עסק ובעלת רמת רגישות שונה בהתאם להקשר.

ביישום סיווג מידע, ארגונים צריכים לשאול:

איזו השפעה תהיה לפשרה של היושרה, הזמינות והסודיות של מידע זה על הארגון?

לדוגמה, מסדי נתונים של כתובות דוא"ל מקצועיות של לידים מוסמכים ורישומי בריאות של עובדים שונים מאוד מבחינת רמת הרגישות וההשפעה הפוטנציאלית.

  • בדוק ומעדכן באופן קבוע את הסיווג

5.12 מציין כי הערך, הקריטיות והרגישות של המידע אינם סטטיים ויכולים להשתנות לאורך מחזור החיים של המידע. לכן, עליך לבדוק כל סיווג באופן קבוע ולבצע עדכונים הדרושים.

כדוגמה לשינוי כזה, ה-5.12 מתייחס לחשיפת מידע לציבור, מה שמפחית מאוד מערכו ורגישות המידע.

  • התייעץ עם ארגונים אחרים שאיתם אתה חולק מידע וטפל בכל הבדלים

אין דרך אחת לסווג מידע ולכל ארגון יכולים להיות שמות, רמות וקריטריונים שונים בכל הנוגע לסיווג תוכניות מידע.

הבדלים אלו עלולים להוביל לסיכונים כאשר שני הארגונים מחליפים ביניהם נכסי מידע. לכן, עליך ליצור הסכם עם עמיתך כדי להבטיח שתהיה עקביות בסיווג המידע ובפרשנות רמות הסיווג.

  • עקביות ברמה הארגונית

לכל מחלקה בתוך הארגון צריכה להיות הבנה משותפת של רמות סיווג ונהלים כך שהסיווגים יהיו עקביים בכל הארגון.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הנחיות כיצד ליישם תכנית סיווג מידע

בעוד ש-5.12 מכיר בכך שאין תכנית סיווג מתאימה לכולם ולארגונים יש מרחב פעולה בהחלטה ותיאור רמות סיווג בודדות, הוא נותן את הדוגמה הבאה כתכנית סיווג מידע:

א) גילוי אינו גורם נזק;

ב) גילוי גורם נזק מוניטין קל או השפעה תפעולית קלה;

ג) לגילוי יש השפעה משמעותית לטווח קצר על הפעילות או היעדים העסקיים;

ד) לחשיפה יש השפעה רצינית על יעדים עסקיים ארוכי טווח או מסכנת את הישרדות הארגון.

שינויים והבדלים מ-ISO 27002:2013

סיווג המידע טופל בסעיף 8.2.1 בגרסה הקודמת.

בעוד ששתי הגרסאות דומות מאוד, ישנם שני הבדלים עיקריים:

בגרסה הישנה, ​​לא הייתה התייחסות מפורשת לדרישה לעקביות של רמות הסיווג בעת העברת מידע בין ארגונים.

עם זאת, בגרסת 2022, עליך ליצור הסכם עם מקבילך כדי להבטיח שתהיה עקביות בסיווג המידע ובפרשנות רמות הסיווג.

שנית, הגרסה החדשה מחייבת במפורש ארגונים להציב מדיניות ספציפית לנושא. בגרסה הישנה יותר, לעומת זאת, הייתה רק התייחסות קצרה לבקרת הגישה.

כיצד ISMS.online עוזר

הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בנייתך האיזמים, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף