אבטחת מידע לשימוש בשירותי ענן

מטרת הבקרה 5.23

5.23 הוא בקרה חדשה המתארת את התהליכים הנדרשים לרכישה, שימוש, ניהול ויציאה משירותי ענן, ביחס לייחודי הארגון דרישות אבטחת מידע.

Control 5.23 מאפשר לארגונים לציין תחילה ולאחר מכן לנהל ו לנהל אבטחת מידע מושגים הקשורים לשירותי ענן, בתפקידם כ"לקוח שירותי ענן".

5.23 הוא בקרה מונעת זֶה שומר על סיכון על ידי ציון מדיניות ונהלים ש לשלוט באבטחת מידע, בתחום שירותי הענן המסחריים.

תכונות שליטה 5.23

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת קשרי ספקים	#ממשל ומערכת אקולוגית
	#יושרה			#הֲגָנָה
	#זמינות

בעלות על שליטה 5.23

כזו היא התפשטות שירותי הענן בעשור האחרון, Control 5.23 מכיל שורה של נהלים המקיפים מרכיבים רבים ומובהקים של פעילות הארגון.

בהתחשב בכך שלא כל שירותי הענן הם ספציפיים ל-ICT - אם כי ניתן היה לטעון באופן סביר שרובם - יש לחלק את הבעלות על Control 5.22 בין הארגון של הארגון ראש אגף טכנולוגיה or COO, בהתאם לנסיבות המבצעיות הקיימות.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות בקרה 5.23 – חובות ארגוניות

עמידה ב-Control 5.23 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לשירותי ענן ואבטחת מידע.

בהתחשב במגוון שירותי הענן המוצעים, גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות שירותי ענן המותאמות לפונקציות עסקיות בודדות, במקום לדבוק בשמיכה מדיניות החלה על אבטחת מידע ושירותי ענן לכל אורך הדרך.

יש לציין ש-ISO רואה בדבקות ב-Control 5.23 מאמץ שיתופי בין הארגון לשותפו לשירות הענן. פקד 5.23 צריך להיות מיושר גם עם פקדים 5.21 ו-5.22, העוסקים במידע ניהול בשרשרת האספקה וניהול שירותי הספקים בהתאמה.

עם זאת ארגון בוחר לפעול, אין לקחת את בקרה 5.23 בנפרד ועליה להשלים את המאמצים הקיימים כדי לנהל קשרי ספקים.

עם אבטחת המידע בחזית, על הארגון להגדיר:

כל דרישות אבטחה רלוונטיות או חששות הקשורים בשימוש בפלטפורמת ענן.
הקריטריונים הכרוכים בבחירת ספק שירותי ענן וכיצד יש להשתמש בשירותיו.
תיאור מפורט של תפקידים ותחומי אחריות רלוונטיים שקובעים כיצד יש להשתמש בשירותי ענן ברחבי הארגון.
אילו אזורי אבטחת מידע בדיוק נשלטים על ידי ספק שירותי הענן, וכאלה שנכללים בסמכות הארגון עצמו.
הדרכים הטובות ביותר לאסוף תחילה ולאחר מכן להשתמש בכל רכיבי שירות הקשורים לאבטחת מידע המסופקים על ידי פלטפורמת שירותי הענן.
כיצד להשיג הבטחות קטגוריות לגבי כל בקרות הקשורות לאבטחת מידע שהופעלו על ידי ספק שירותי הענן.
הצעדים שצריך לנקוט על מנת לנהל שינויים, תקשורת ובקרות על פני מספר פלטפורמות ענן שונות, ולא תמיד מאותו ספק.
נהלי ניהול אירועים העוסקים אך ורק באספקת שירותי ענן.
כיצד הארגון מצפה לנהל את השימוש השוטף שלו ו/או האימוץ הסיטונאי של פלטפורמות ענן, בהתאם להן אבטחת מידע רחבה יותר חובות.
אסטרטגיה להפסקה או תיקון של שירותי ענן, בין אם על בסיס ספק-לספק, או באמצעות תהליך של הגירה מהענן ל-on-premise.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הדרכה בנושא בקרה 5.23 – הסכמי שירותי ענן

בקרה 5.23 מכירה בכך שבניגוד לקשרי ספקים אחרים, הסכמי שירותי ענן הם מסמכים נוקשים שאינם ניתנים לתיקון ברוב המכריע של המקרים.

עם זאת בחשבון, ארגונים צריכים לבחון את הסכמי שירותי הענן ולוודא שמתקיימים ארבע דרישות תפעול עיקריות:

סודיות
אבטחה/שלמות נתונים
זמינות השירות
טיפול במידע

כמו בחוזי ספקים אחרים, לפני הקבלה, הסכמי שירותי ענן צריכים לעבור א הערכת סיכונים יסודית שמדגיש בעיות פוטנציאליות במקור.

לכל הפחות, על הארגון להתקשר בהסכם שירותי ענן רק כאשר הוא משוכנע ש-10 ההוראות הבאות מולאו:

שירותי ענן מסופקים ומיושמים בהתבסס על הדרישות הייחודיות של הארגון הנוגעות לתחום הפעילות שלהם, לרבות סטנדרטים ושיטות עבודה מקובלות בתעשייה עבור ארכיטקטורה מבוססת ענן ותשתית מתארחת.
גישה לכל פלטפורמת ענן עומדת בדרישות אבטחת המידע הגבוליות של הארגון.
ניתנת התייחסות נאותה לשירותי אנטי-תוכנות זדוניות ואנטי-וירוס, כולל ניטור יזום והגנה מפני איומים.
ספק הענן מקפיד על קבוצה מוגדרת מראש של תנאי אחסון ועיבוד נתונים, המתייחסים לאזור גלובלי נפרד ולסביבות רגולטוריות אחד או יותר.
תמיכה יזומה ניתנת לארגון, במידה ופלטפורמת הענן תסבול מכשל קטסטרופלי או תקרית הקשורה לאבטחת מידע.
אם יתעורר צורך לבצע קבלן משנה או מיקור חוץ אחר של רכיב כלשהו בפלטפורמת הענן, דרישות אבטחת המידע של הספק נותרות בבחינה מתמדת.
במידה והארגון יזדקק לסיוע כלשהו באיסוף מידע דיגיטלי לכל מטרה רלוונטית (אכיפת חוק, התאמה רגולטורית, מטרות מסחריות), ספק שירותי הענן יתמוך בארגון ככל שניתן.
בתום הקשר, ספק שירותי הענן צריך לספק תמיכה סבירה וזמינות מתאימה במהלך תקופת המעבר או ההשבתה.
ספק שירותי הענן צריך לפעול עם תוכנית BUDR חזקה המתמקדת בביצוע גיבויים נאותים של נתוני הארגון.
העברת כל הנתונים המשלימים הרלוונטיים מספק שירותי הענן לארגון, לרבות מידע תצורה וקוד שיש לארגון טענה עליהם.

מידע משלים על בקרה 5.23

בנוסף להנחיה לעיל, בקרה 5.23 מציעה לארגונים ליצור קשרי עבודה הדוקים עם ספקי שירותי ענן, בהתאם לשירות החשוב שהם מספקים לא רק במונחי אבטחת מידע, אלא בכל הפעילות המסחרית של הארגון.

ארגונים, במידת האפשר, צריכים לחפש את התנאים הבאים מספקי שירותי ענן כדי לשפר את החוסן התפעולי, וליהנות מרמות משופרות של אבטחת מידע:

יש לדווח על כל תיקוני התשתית מראש, כדי ליידע את סט תקני אבטחת המידע של הארגון עצמו.
הארגון צריך להתעדכן בכל שינוי בהליכי אחסון נתונים הכוללים העברת נתונים לתחום שיפוט אחר או לאזור גלובלי אחר.
כל כוונה מצד ספק שירותי הענן להשתמש בספקי "ענן עמיתים", או מיקור חוץ של תחומי פעילותם לקבלני משנה שעשויות להיות להם השלכות אבטחת מידע על הארגון.

בקרות תומכות

5.21
5.22

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים מ-ISO 27002:2013

שליטה 5.23 היא א שליטה חדשה זה לא מופיע ב-ISO 27002:2013 בשום מעמד.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISMS.online מייעל את ISO 27002 תהליך הטמעה על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.

כאשר אתה משתמש ב-ISMS.online, תוכל:

צור ISMS שתואם ISO 27001 DELETE THIS
בצע משימות והגשת הוכחות לכך שהן עמדו בדרישות התקן.
הקצאת משימות ומעקב אחר ההתקדמות לקראת ציות לחוק.
קבל גישה לצוות מיוחד של יועצים שיסייע לך לאורך כל הדרך שלך לקראת ציות.

צרו קשר ו הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו