למרות המגוון הרחב של אמצעי מניעה העומדים לרשות ארגונים שכן ISO 27002: 2022 עקביות, שיבושים בהמשכיות העסקית ובפעולות סטנדרטיות יכולות להתרחש ואף להתרחש.
בקרה 5.29 מתאר את ההתאמות התפעוליות שעל ארגונים לאמץ כאשר הם חווים הפרעה, כדי להגן על מידע והגנה על נכסי החברה.
5.22 הוא דו-שימושי מוֹנֵעַ ו אֶמְצָעִי מְתַקֵן לשלוט בזה שומר על סיכון על ידי יישום תוכנית המשפרת את אבטחת המידע בתקופות של שיבוש, ומפחיתה נזקים בנכסים ארגוניים.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ #אֶמְצָעִי מְתַקֵן | #סודיות #יושרה #זמינות | #לְהַגֵן #לְהָגִיב | #הֶמשֵׁכִיוּת | #הֲגָנָה #כּוֹשֵׁר הִתאוֹשְׁשׁוּת |
בקרה 5.29 מתייחסת לתפעול תהליך ונהלי אבטחת מידע המופעלים ברגע שמתרחשים אירועים קריטיים או הפרעה עסקית.
ככזה, הבעלות על בקרה 5.29 צריכה להיות אצל חבר מצוותי ההנהלה הבכירים המפקח על התפעול השוטף של הארגון ו/או על מקרי תכנון המשכיות, כגון מנהל תפעול ראשי (COO).
בקרה 5.29 קובעת כי אבטחת מידע צריכה להיות חלק מרכיב מהכלל של הארגון הליך ניהול המשכיות עסקית.
ארגונים צריכים לגבש תוכניות המבקשות לשמור שלמות אבטחת מידע, ולאחר מכן לשחזר אותו, אם המידע ייפגע בדרך כלשהי בעקבות הפרעה תפעולית או כשל מערכות.
יש להחזיר את רמות האבטחה לרמות שלפני ההפרעה, ובזמן שיפחית כל נזק נוסף.
בעשותם זאת, ארגונים צריכים:
בקרה 5.29 מכירה באופי המשתנה ביותר של תכנון המשכיות, ונותנת מרחב פעולה משמעותי לארגונים ליישום אבטחת מידע בקרות ספציפיות לסוגים השונים של שיבושים עסקיים שארגונים עשויים לחוות.
ISO מבקש מהארגון להתמקד בשני תחומים מרכזיים מתי גיבוש תוכנית המשכיות עסקית:
a) אובדן סודיות
b) שלמות המידע
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
27002:2022-5.29 מחליף את שלושת הפקדים הבאים מ-27002:2013:
מתוך הכרה באופי המורכב של תוכניות המשכיות עסקית - וכיצד הן שונות בהתאם לסוגים שונים של הפרעות - ISO פישטו את ההנחיות שלהן על ידי התרחקות מגישה מפורטת וביקשו מארגונים לשקול במקום זאת כמה נקודות בסיסיות בעת ניסוח נושא ספציפי תוכניות (ראה לעיל).
לדוגמה, חלק מההנחיות ב-17.1.2 קובע כי:
"אנשי תגובה לאירועים בעלי אחריות, סמכות ו יכולת לנהל אירוע ולשמור על אבטחת מידע מועמדים".
למרות חשיבותם בתכנון המשכיות יעיל, 5.29 אינו מזכיר ספציפית צוותי תגובה לאירועים וסומכת על הארגון שישקול אותם מתחת לכל הנקודות בהערות ההנחיה, ליתר דיוק:
פלטפורמה מבוססת ענן עבור ISO 27002 יישום, ISMS.online, עוזר לך לנהל את תהליכי ניהול סיכוני אבטחת המידע שלך בקלות וביעילות.
השמיים פלטפורמת ISMS.online מספק מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת המידע שלך (ISMS) ולהשיג עמידה בתקן ISO 27002.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
