בקרה 5.29, אבטחת מידע בזמן שיבוש

מטרת הבקרה 5.29

למרות המגוון הרחב של אמצעי מניעה העומדים לרשות ארגונים שכן ISO 27002: 2022 עקביות, שיבושים בהמשכיות העסקית ובפעולות סטנדרטיות יכולות להתרחש ואף להתרחש.

בקרה 5.29 מתאר את ההתאמות התפעוליות שעל ארגונים לאמץ כאשר הם חווים הפרעה, כדי להגן על מידע והגנה על נכסי החברה.

טבלת תכונות

5.22 הוא דו-שימושי מוֹנֵעַ ו אֶמְצָעִי מְתַקֵן לשלוט בזה שומר על סיכון על ידי יישום תוכנית המשפרת את אבטחת המידע בתקופות של שיבוש, ומפחיתה נזקים בנכסים ארגוניים.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#הֶמשֵׁכִיוּת	#הֲגָנָה
#אֶמְצָעִי מְתַקֵן	#יושרה	#לְהָגִיב		#כּוֹשֵׁר הִתאוֹשְׁשׁוּת
	#זמינות

בעלות על שליטה 5.29

בקרה 5.29 מתייחסת לתפעול תהליך ונהלי אבטחת מידע המופעלים ברגע שמתרחשים אירועים קריטיים או הפרעה עסקית.

ככזה, הבעלות על בקרה 5.29 צריכה להיות אצל חבר מצוותי ההנהלה הבכירים המפקח על התפעול השוטף של הארגון ו/או על מקרי תכנון המשכיות, כגון מנהל תפעול ראשי (COO).

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 5.29

בקרה 5.29 קובעת כי אבטחת מידע צריכה להיות חלק מרכיב מהכלל של הארגון הליך ניהול המשכיות עסקית.

ארגונים צריכים לגבש תוכניות המבקשות לשמור שלמות אבטחת מידע, ולאחר מכן לשחזר אותו, אם המידע ייפגע בדרך כלשהי בעקבות הפרעה תפעולית או כשל מערכות.

יש להחזיר את רמות האבטחה לרמות שלפני ההפרעה, ובזמן שיפחית כל נזק נוסף.

בעשותם זאת, ארגונים צריכים:

פרוס ותחזק בקרות אבטחת מידע כלליות, כולל מערכות עסקיות ופלטפורמות ICT הכלולים בתוכניות ההמשכיות הרחבות יותר של הארגון.
הטמעת תהליכים המבקשים לשמור על בקרות אבטחת מידע לאורך כל שיבוש.
היכן שרלוונטי, פרוס בקרות מפצות עבור כל מאמצי אבטחת מידע שאינם יכולים להתקיים לאורך תקופה של שיבוש.

הדרכה משלימה

בקרה 5.29 מכירה באופי המשתנה ביותר של תכנון המשכיות, ונותנת מרחב פעולה משמעותי לארגונים ליישום אבטחת מידע בקרות ספציפיות לסוגים השונים של שיבושים עסקיים שארגונים עשויים לחוות.

ISO מבקש מהארגון להתמקד בשני תחומים מרכזיים מתי גיבוש תוכנית המשכיות עסקית:

a) אובדן סודיות

b) שלמות המידע

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-5.29 מחליף את שלושת הפקדים הבאים מ-27002:2013:

17.1 - תכנון אבטחת מידע המשכיות
17.1.2 – יישום המשכיות אבטחת מידע
17.1.3 – אימות, בדיקה והערכת המשכיות אבטחת המידע

מתוך הכרה באופי המורכב של תוכניות המשכיות עסקית - וכיצד הן שונות בהתאם לסוגים שונים של הפרעות - ISO פישטו את ההנחיות שלהן על ידי התרחקות מגישה מפורטת וביקשו מארגונים לשקול במקום זאת כמה נקודות בסיסיות בעת ניסוח נושא ספציפי תוכניות (ראה לעיל).

לדוגמה, חלק מההנחיות ב-17.1.2 קובע כי:

"אנשי תגובה לאירועים בעלי אחריות, סמכות ו יכולת לנהל אירוע ולשמור על אבטחת מידע מועמדים".

למרות חשיבותם בתכנון המשכיות יעיל, 5.29 אינו מזכיר ספציפית צוותי תגובה לאירועים וסומכת על הארגון שישקול אותם מתחת לכל הנקודות בהערות ההנחיה, ליתר דיוק:

פרוס ותחזק בקרות אבטחת מידע כלליות, כולל מערכות עסקיות ופלטפורמות ICT הכלולים בתוכניות ההמשכיות הרחבות יותר של הארגון.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

פלטפורמה מבוססת ענן עבור ISO 27002 יישום, ISMS.online, עוזר לך לנהל את תהליכי ניהול סיכוני אבטחת המידע שלך בקלות וביעילות.

השמיים פלטפורמת ISMS.online מספק מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת המידע שלך (ISMS) ולהשיג עמידה בתקן ISO 27002.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו