בקרה 5.33 - הגנה על רשומות

ISO 27002:2022 – בקרה 5.33 – הגנה על רשומות

ISO 27002:2022 בקרה 5.33 מחייב ארגונים להגן על רשומות מפני אובדן, השמדה, זיוף, גישה לא מורשית או שחרור על ידי הטמעת מדיניות בנושא שמירה, אחסון מאובטח וסילוק תוך הבטחת שלמות ועמידה בדרישות החוק והעסקיות.

ISO 27002:2022 בקרה 5.33 - שיטות עבודה מומלצות להגנה על רשומות

רשומות הן מושג מעורפל שארגונים מסוימים מתקשים לסווג ולנהל, למטרות ציות.

רשומות, במסגרת ה-ICT, הן כינוי נוסף לנתונים ולמידע שארגון שומר ו/או משתמש בו כדי לבצע את הפעילות העסקית היומיומית שלו, לרבות (אך לא רק):

אירועים בודדים
עסקות
תהליכי עבודה
פעילויות
פונקציות

ISO מגדיר רשומות בהיקף הסטנדרטים שלהם כ"כל סט של מידע, ללא קשר למבנה או צורתו", לרבות "מסמך, אוסף נתונים או סוגים אחרים של מידע שנוצרים, נלכדים ומנוהלים במהלך העסקים ", כולל מטא נתונים של רשומה.

מטרת הבקרה 5.33

על כל ארגון מוטלת החובה להבטיח שהנתונים שהוא מחזיק - לרבות אך לא רק אנשים כלשהם, כספיים מידע או אזורי פעולה - נשמר בטוח ומאובטח, והנהלים הפנימיים נשארים תואמים לכל הדרישות הרווחות.

בקרה 5.33 עוסקת בהגנה על רישומים עסקיים מפני 5 אירועים מרכזיים:

פסד
הֶרֶס
זִיוּף
גישה לא מורשית
שחרור או פרסום לא מורשה

טבלת תכונות

שליטה 5.33 היא א בקרה מונעת זֶה שומר על סיכון על ידי יצירת קווים מנחים ונהלים - לרבות לוחות זמנים לשמירה - הממלאים את הדרישות החוקיות, הסטטוטוריות, הרגולטוריות והחוזיות של ארגון בנוגע ל . ו זמינות של כל רישומים שהוא מחזיק.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#חוק ותאימות	#הֲגָנָה
	#יושרה	#לְהַגֵן	#ניהול נכסים
	#זמינות		#הגנת מידע

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 5.33

בקרה 5.33 מאשרת כי א צרכי הארגון זורמים בכל הנוגע לכמות וסוג הרשומות הנדרשות לעשיית עסקים מהיום למחר.

ככזה, Control 5.33 מקטלגת את ניהול הרשומות ל-4 תכונות עיקריות:

אותנטיות
אמינות
שלמות
שימושיות

במסגרת תכונות אלה, Control 5.33 מבקשת מארגונים:

נסחו ופרסמו הנחיות העוסקות בארבע פונקציות עיקריות, לצד מדיניות ספציפית לנושא המתייחסת לאופי הבסיסי של הרשומות המדוברות:
a) אחסון תקליטים
b) טיפול ברשומות שרשרת משמורת
c) סילוק שיא
d) מניעת מניפולציה
שמור על לוח זמנים פונקציונלי של שמירת רשומות המתאר בבירור את משך הזמן שבו יש לשמור רשומות מסוגים שונים, בהתייחס לתפקוד העסקי האישי שלהם.
צור נהלי אחסון וטיפול הלוקחים בחשבון:
a) כל החוקים הרווחים העוסקים בשמירת רישומים מסחריים
b) ציפיות "קהילתיות וחברתיות" לגבי האופן שבו ארגון צריך לטפל ברשומות שלו
יישום נהלים המשמידים רשומות בצורה בטוחה והולמת ברגע שאין בהם צורך (לאחר עזיבת תקופת השמירה).
סיווג רשומות להגנה (כולל תקופות שמירה מתאימות ואמצעי אחסון בשימוש) על סמך הסיכון הביטחוני שלהם, וסוגים שונים, כולל (אך לא רק):
a) רישומים חשבונאיים
b) עסקאות עסקיות
c) רישומי כוח אדם
d) רישומים משפטיים
ודא שכל נהלי האחסון מספקים מסגרת זמן מקובלת לאחזור, אם הארגון יתבקש לייצר אותם על ידי צד שלישי, או לשימוש פנימי.
כאשר נעשה שימוש במדיה אלקטרונית לאחסון רשומות, יש לשקול ולצמצם את האפשרות של גישה לרשומות או שליפה שלהן מונעות על ידי תיקונים טכנולוגיים, לרבות שמירת מידע קריפטוגרפי (ראה בקרה 8.24).
היצמד להנחיות היצרן בעת אחסון או טיפול ברשומות במדיה אלקטרונית או באמצעותה, כולל התחשבות נאותה בהידרדרות הטבעית של המדיה האמורה.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-5.33 מחליף את 27002:2013-18.1.3 (הגנה על רישומים), בתוספות שונות בדמות נקודות הדרכה פרטניות ותהליכים כלליים שיש להקפיד עליהם.

בבקרת 2022, ISO מכירים בחשיבות של הגדרת מהי הרשומה העסקית. 27002:2022-5.33 מכיל דוגמאות רבות למה ש-ISO מחשיב כרשומה (ראה לעיל), אשר נעדרות מ-27002:2013-18.1.3.

בקרה 5.33 גם ממקדת את תשומת הלב של ארגון בשתי נקודות הנחיה עיקריות שאינן נכללות במקבילו משנת 2013 (הנחיות 1 ו-2 לעיל), אשר בתורן מהוות את הבסיס למדיניות הרשומה של הארגון - בפרט, לוח זמנים לשמירה המכתיב כיצד יש לשמור רשומות ארוכות עבור כל דרישות ספציפיות למדיה.

Metadata גם הופיע לראשונה בניהול רשומות. 27002:2013-18.1.3 אינו מכיל אזכור לכך, ואילו 27002:2022-5.33 רואה בו "מרכיב חיוני".

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

שימוש ב-ISMS.online אתה יכול:

ליישם במהירות א מערכת ניהול אבטחת מידע (ISMS).
בקלות לנהל את התיעוד של ה-ISMS שלך.
ייעול עמידה בכל התקנים הרלוונטיים.
נהל את כל ההיבטים של אבטחת מידע, מניהול סיכונים ועד אימון למודעות אבטחה.
תקשר ביעילות בכל הארגון שלך באמצעות פונקציונליות התקשורת המובנית שלנו.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו