ISO 27002, סקירה עצמאית של אבטחת מידע

ISO 27002:2022 – בקרה 5.35 – סקירה עצמאית של אבטחת מידע

ISO 27002:2022 בקרה 5.35 מסביר את הדרישה לביקורות עצמאיות של אבטחת מידע במרווחי זמן קבועים או לאחר שינויים גדולים כדי להבטיח שהמדיניות תישאר נאותה, מתאימה ואפקטיבית, תוך החלפת בקרה 18.1.2 הקודם מ-ISO 27002:2013.

ISO 27002 בקרה 5.35: מדוע סקירות אבטחה עצמאיות חשובות

אבטחת מידע היא היבט ליבה של ממשל הנתונים של ארגון שיטות.

עד כדי כך, שיש צורך לבטל את השאננות על ידי ביצוע סקירות עצמאיות קבועות של האופן שבו ארגון מנהל את האנשים, התהליכים והטכנולוגיות המעורבים בשמירה על אבטחת מידע יעילה פעולה.

מטרת הבקרה 5.35

בקרה 5.35 דורשת מארגונים לבצע סקירות עצמאיות של נוהלי אבטחת המידע שלהם - הן במרווחי זמן מתוכננים והן כאשר מתרחשים שינויים תפעוליים גדולים - כדי להבטיח שמדיניות ניהול אבטחת המידע היא:

נאות - יש להם את היכולת להשיג דבקות
מתאים - הם מנסים להשיג את המטרות הנכונות
יעיל - הם עובדים כמתוכנן

טבלת תכונות

שליטה 5.35 היא א מניעה ו אֶמְצָעִי מְתַקֵן לשלוט בזה שומר על סיכון על ידי יצירת תהליכים המאפשרים סקירה שוטפת של נוהלי ניהול אבטחת המידע בארגון.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#אבטחת מידע	#ממשל ומערכת אקולוגית
#אֶמְצָעִי מְתַקֵן	#יושרה	#לְהַגֵן
	#זמינות

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

בעלות על שליטה 5.35

בקרה 5.35 עוסקת בעיקר בעניינים תפעוליים. ככזה, הבעלות צריכה להיות אצל ה-COO, או CISO (אם קיים).

הנחיות כלליות בנושא בקרה 5.35

מטרת העל היא עבור ההנהלה ליצור וליישם תהליכים המספקים ביקורות עצמאיות של אבטחת המידע שלהם שיטות.

ביקורות צריכות להתמקד בכל שינוי שיש נדרש לשיפור הגישה של ארגון לאבטחת מידע, ובכלל זה:

השמיים מדיניות אבטחת מידע.
מדיניות ספציפית לנושא.
בקרות קשורות.

כל סקירה צריכה להתבצע על ידי אדם בתוך הארגון או מחוצה לו שאין לו אינטרס במה שהוא חוקר, כגון:

מבקרים פנימיים.
מנהלי מחלקות עצמאיים.
ארגוני צד שלישי.

מי שעורך את הביקורת צריך לקבל את הרלוונטי יכולת מבצעית לעשות שיקול דעת נכון על ממצאיהם, ו(במקרה של עובדים פנימיים) תפקידם בעבודה לא אמור לעכב אותם מביצוע הערכה תקפה ולגיטימית.

יש לתעד ביסודיות את תוצאות הסקירה, לאחסן ולדווח למנהל (או לקבוצות של מנהלים) שביקשו זאת, ובמקרים מסוימים לרמת C-suite או לבעלות.

על הבודקים לשאוף לקבוע אם נוהלי אבטחת מידע תואמים או לא "יעדים ודרישות מתועדות" של הארגון המוצהרות במדיניות אבטחת המידע, או כל מדיניות ספציפית לנושא.

לצד בדיקות תקופתיות, ייתכן שיהיה צורך ליזום בדיקות אד-הוק. ניתן להצדיק את הביקורות הללו על פני 5 תחומים מרכזיים:

כל חוק, הנחיות או תקנות מתוקנים המשפיעים על פעולת אבטחת המידע של הארגון.
רב סרן מתרחשים אירועים שיש להם השפעה על אבטחת המידע (אובדן נתונים, חדירה וכו').
נוצר עסק חדש, או שנחקקים שינויים גדולים בעסק הנוכחי.
השמיים ארגון מאמץ מוצר או שירות חדש שיש לו אבטחת מידע השלכות, או מבצע שינויים בסיסיים במוצר או בשירות הנוכחיים.
שינויים גדולים נערכים בבנק הבקרות, המדיניות והנהלים של אבטחת מידע.

הדרכה משלימה

ISO / IEC 27007 ו-ISO/IEC TS 27008 מכילים הנחיות נוספות בנוגע לתרגול של ביקורות עצמאיות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-5.35 מחליף את 27002:2013-18.1.2 (סקירה עצמאית של אבטחת מידע).

27002:2022-5.35 מכיל את אותה הנחיה כללית כמו 27002:2013-18.1.2, אך הולך צעד קדימה בקביעת דוגמאות ספציפיות מתי ארגון צריך לבצע ביקורות אד-הוק, לצד הסקירות התקופתיות שלו.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISMS.online מייעל את ISO 27002 תהליך הטמעה על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.

כאשר אתה השתמש ב-ISMS.online, אתה תוכל:

ליצור ISMS שתואם ISO 27001 DELETE THIS
לבצע משימות ולהגיש הוכחות לכך שהם עמדו בדרישות התקן.
להקצות משימות ולעקוב אחר ההתקדמות לקראת ציות לחוק.
קבל גישה לצוות מיוחד של יועצים שיסייע לך לאורך כל הדרך שלך לקראת ציות.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו