חוקים, תקנות ודרישות חוזיות מהווים חלק גדול מאחריות אבטחת המידע של ארגון.
על ארגונים להיות בעלי הבנה ברורה של חובותיהם בכל עת, ולהיות מוכנים להתאים את נוהלי אבטחת המידע שלהם בהתאם לתפקידם כמטפל אחראי בנתונים.
חשוב לציין ש-Control 5.31 אינו מפרט תנאים משפטיים, רגולטוריים או חוזיים ספציפיים גם ארגונים צריכים לאכוף או לשמור על ציות, וגם לא קובע נוהל לעריכת חוזים. פקד 5.31 במקום מתמקד במה ארגונים צריכים לשקול מאבטחת מידע פרספקטיבה, המתייחסת לדרישות הייחודיות שלהם.
שליטה 5.31 היא א בקרה מונעת זֶה משנה סיכון על ידי מתן הדרכה כיצד לפעול עם חזקה מדיניות אבטחת מידע השומרת על תאימות בכל הסביבות החוקיות והרגולטוריות הרלוונטיות.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #חוק ותאימות | #ממשל ומערכת אקולוגית #הֲגָנָה |
ישנן 5 נקודות הנחיה כלליות שיש לקחת בחשבון. על הארגון לזכור את הדרישות החוקיות, החוקיות, הרגולטוריות והחוזיות שלהם כאשר:
ארגונים צריכים "להגדיר ולתעד" תהליכים ואחריות פנימיים שמאפשרים להם:
ב-ICT, 'קריפטוגרפיה' היא שיטה להגנה על מידע ותקשורת באמצעות שימוש בקודים.
ככזה, כל הרעיון של הצפנה והצפנה כרוך בדרך כלל בדרישות משפטיות ספציפיות ובכמות ניכרת של הנחיות רגולטוריות ספציפיות לנושא שיש להקפיד עליהן.
עם זאת בחשבון, יש לקחת בחשבון את ההדרכה הבאה:
ארגונים צריכים לשקול את חובותיהם לאבטחת המידע בעת עריכת או חתימה על חוזים מחייבים משפטית עם לקוחות, ספקים או ספקים (כולל פוליסות ביטוח וחוזים).
ראה בקרה 5.20 להנחיות נוספות בנוגע לחוזי ספקים.
27002:2022-5.31 מחליף שתי פקדים מ-27002:2013-18.1.2 (זכויות קניין רוחני).
בעוד ש-27002:2013-18.1.1 מציע הדרכה מינימלית מלבד הצורך של "מנהלים" לזהות את כל החקיקה שסוג העסק שלהם מצדיק, 27002:2022-5.31 דן בדבקות בין סביבות חקיקה, רגולטוריות והצפנה, כמו גם מציע כמה נקודות הדרכה כלליות וכניסה לפרטים רבים יותר לגבי איך להישאר בצד הנכון של כל חקיקה או תקנות רווחות.
בכל הנוגע להצפנה, 27002:2022-5.31 מצייתת לאותם עקרונות כמו 27002:2013-18.1.5 ומכילה את אותן נקודות הדרכה בסיסיות, אך הולכת צעד אחד קדימה בכך שהיא מבקשת מארגונים לשקול חומרה ותוכנה שיש להם פוטנציאל לשאת להוציא פונקציות קריפטוגרפיות.
ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.
צור קשר עוד היום כדי הזמן הדגמה.
ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
