5.23 הוא בקרה חדשה המתארת את התהליכים הנדרשים לרכישה, שימוש, ניהול ויציאה משירותי ענן, ביחס לייחודי הארגון דרישות אבטחת מידע.
Control 5.23 מאפשר לארגונים לציין תחילה ולאחר מכן לנהל ו לנהל אבטחת מידע מושגים הקשורים לשירותי ענן, בתפקידם כ"לקוח שירותי ענן".
5.23 הוא בקרה מונעת זֶה שומר על סיכון על ידי ציון מדיניות ונהלים ש לשלוט באבטחת מידע, בתחום שירותי הענן המסחריים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת קשרי ספקים | #ממשל ומערכת אקולוגית #הגנה |
כזו היא התפשטות שירותי הענן בעשור האחרון, Control 5.23 מכיל שורה של נהלים המקיפים מרכיבים רבים ומובהקים של פעילות הארגון.
בהתחשב בכך שלא כל שירותי הענן הם ספציפיים ל-ICT - אם כי ניתן היה לטעון באופן סביר שרובם - יש לחלק את הבעלות על Control 5.22 בין הארגון של הארגון ראש אגף טכנולוגיה or COO, בהתאם לנסיבות המבצעיות הקיימות.
עמידה ב-Control 5.23 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לשירותי ענן ואבטחת מידע.
בהתחשב במגוון שירותי הענן המוצעים, גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות שירותי ענן המותאמות לפונקציות עסקיות בודדות, במקום לדבוק בשמיכה מדיניות החלה על אבטחת מידע ושירותי ענן לכל אורך הדרך.
יש לציין ש-ISO רואה בדבקות ב-Control 5.23 מאמץ שיתופי בין הארגון לשותפו לשירות הענן. פקד 5.23 צריך להיות מיושר גם עם פקדים 5.21 ו-5.22, העוסקים במידע ניהול בשרשרת האספקה וניהול שירותי הספקים בהתאמה.
עם זאת ארגון בוחר לפעול, אין לקחת את בקרה 5.23 בנפרד ועליה להשלים את המאמצים הקיימים כדי לנהל קשרי ספקים.
עם אבטחת המידע בחזית, על הארגון להגדיר:
בקרה 5.23 מכירה בכך שבניגוד לקשרי ספקים אחרים, הסכמי שירותי ענן הם מסמכים נוקשים שאינם ניתנים לתיקון ברוב המכריע של המקרים.
עם זאת בחשבון, ארגונים צריכים לבחון את הסכמי שירותי הענן ולוודא שמתקיימים ארבע דרישות תפעול עיקריות:
כמו בחוזי ספקים אחרים, לפני הקבלה, הסכמי שירותי ענן צריכים לעבור א הערכת סיכונים יסודית שמדגיש בעיות פוטנציאליות במקור.
לכל הפחות, על הארגון להתקשר בהסכם שירותי ענן רק כאשר הוא משוכנע ש-10 ההוראות הבאות מולאו:
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
בנוסף להנחיה לעיל, בקרה 5.23 מציעה לארגונים ליצור קשרי עבודה הדוקים עם ספקי שירותי ענן, בהתאם לשירות החשוב שהם מספקים לא רק במונחי אבטחת מידע, אלא בכל הפעילות המסחרית של הארגון.
ארגונים, במידת האפשר, צריכים לחפש את התנאים הבאים מספקי שירותי ענן כדי לשפר את החוסן התפעולי, וליהנות מרמות משופרות של אבטחת מידע:
שליטה 5.23 היא א שליטה חדשה זה לא מופיע ב-ISO 27002:2013 בשום מעמד.
ISMS.online מייעל את ISO 27002 תהליך הטמעה על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.
כאשר אתה משתמש ב-ISMS.online, תוכל:
צרו קשר ו הזמן הדגמה.
הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |