בקרה 5.30 - מוכנות תקשוב להמשכיות עסקית

מטרת הבקרה 5.30

Control 5.30 מכירה בתפקיד החשוב של פלטפורמות ושירותי ICT ב שמירה על המשכיות עסקית, בעקבות הפרעה או אירוע קריטי.

בקרה 5.30 מתאר כיצד שירותי ICT מתקשרים עם מדדי מפתח שונים ובקרות תומכות, כולל ארגונים יעד זמן התאוששות (RTO) והסך הכל ניתוח השפעה עסקית (BIA).

המטרה הסופית היא להבטיח כי שלמות המידע והזמינות נשמרות לפני, במהלך ואחרי תקופה של הפרעה בעסק.

טבלת בקרה של תכונות 5.30

5.30 הוא אֶמְצָעִי מְתַקֵן בקרה השומרת על סיכון על ידי יצירת תוכניות המשכיות ICT התורמות לרמת החוסן התפעולי הכוללת של הארגון.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#אֶמְצָעִי מְתַקֵן	#זמינות	#לְהָגִיב	#הֶמשֵׁכִיוּת	#כּוֹשֵׁר הִתאוֹשְׁשׁוּת

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות לבקרה 5.30

יש לנסח תהליכים ונהלים שנוצרו באמצעות Control 5.30 בעקבות BIA יסודי, השוקל כיצד צרכי הארגון להגיב כאשר חווים הפרעה תפעולית.

BIA צריך לעשות שימוש בסוגי השפעה שונים ומשתנים ספציפיים לארגון כדי לאמוד כיצד תושפע ההמשכיות העסקית, אם חלק מהמוצרים והשירותים או כולם יהפכו ללא זמינים או בלתי ניתנים להפעלה, עקב כל רמה של הפרעה.

ארגונים צריכים להשתמש בשני משתני מפתח כדי לגבש RTO מוסכם, שקובע יעדים ברורים לחידוש הפעילות הרגילה:

א) גודל של ההפרעה

ב) ה סוג של הפרעה שחוו

במסגרת ה-BIA שלהם, ארגונים צריכים להיות מסוגלים לציין במדויק אילו שירותי תקשוב ופונקציות נדרשים כדי להשיג התאוששות, כולל אינדיבידואלי ביצועים ו יכולת דרישות.

ארגונים צריכים לעבור הערכת סיכונים שמעריך את מערכות ה-ICT שלהם ומהווה בסיס לאסטרטגיית המשכיות (או אסטרטגיות) ICT המחזקת את ההתאוששות לפני, במהלך ואחרי תקופה של שיבוש.

לאחר הסכמה על אסטרטגיה, יש להקים תהליכים ותוכניות ספציפיות כדי להבטיח ששירותי ה-ICT יהיו עמידים ומתאימים מספיק כדי לתרום לשחזור תהליכים ומערכות קריטיות, לפני, במהלך ואחרי השיבוש.

במסגרת תוכניות המשכיות ICT, מתווה בקרה 5.30 שלוש נקודות הנחיה עיקריות:

אירועי תקשוב דורשים פעמים רבות קבלת החלטות מהירות הנוגעות לאבטחת מידע על ידי בכירי הצוות, על מנת לזרז את ההחלמה.

ארגונים צריכים לשמור על שרשרת פיקוד איתנה כולל אנשים מוכשרים עם יכולת לקבל החלטות סמכותיות בנושאים טכניים הקשורים להמשכיות עסקית ועמידה ב-RTO.

מבנים ארגוניים צריכים להיות מעודכנים ולתקשר בצורה רחבה, כדי להקל על תקשורת נאותה ולהאיץ את זמני ההתאוששות.

יש להקדיש תשומת לב רבה לתוכניות המשכיות ICT, לרבות בדיקות והערכות שוטפות, ואישור על ידי ההנהלה הבכירה.

ארגונים צריכים לבצע ריצות מבחן כדי לאמוד את יעילותן, ולמדוד מדדי מפתח כגון זמני תגובה ופתרון.

תוכניות המשכיות ICT צריכות להכיל את המידע הבא:

a) דרישות ביצועים וקיבולת של כל מערכות או תהליכים המשמשים במאמצי השחזור

b) RTO ברור עבור כל שירות ICT הנדון, וכיצד הארגון שואף לשחזר אותם

c) יעד נקודת התאוששות (RPO) מיועד לכל משאב ICT, ונהלים נוצרים המבטיחים שניתן לשחזר מידע.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

שינויים מ-ISO 27002:2013

ISO 27002: 2022, פקד 5.30 הוא פקד חדש ללא עדיפות בתקן ISO 27002:2013.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.

הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך של בניית ה-ISMS שלך, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו