אבטחת מידע היא היבט ליבה של ממשל הנתונים של ארגון שיטות.
עד כדי כך, שיש צורך לבטל את השאננות על ידי ביצוע סקירות עצמאיות קבועות של האופן שבו ארגון מנהל את האנשים, התהליכים והטכנולוגיות המעורבים בשמירה על אבטחת מידע יעילה פעולה.
בקרה 5.35 דורשת מארגונים לבצע סקירות עצמאיות של נוהלי אבטחת המידע שלהם - הן במרווחי זמן מתוכננים והן כאשר מתרחשים שינויים תפעוליים גדולים - כדי להבטיח שמדיניות ניהול אבטחת המידע היא:
שליטה 5.35 היא א מניעה ו אֶמְצָעִי מְתַקֵן לשלוט בזה שומר על סיכון על ידי יצירת תהליכים המאפשרים סקירה שוטפת של נוהלי ניהול אבטחת המידע בארגון.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ #אֶמְצָעִי מְתַקֵן | #סודיות #יושרה #זמינות | #לזהות #לְהַגֵן | #אבטחת מידע | #ממשל ומערכת אקולוגית |
בקרה 5.35 עוסקת בעיקר בעניינים תפעוליים. ככזה, הבעלות צריכה להיות אצל ה-COO, או CISO (אם קיים).
מטרת העל היא עבור ההנהלה ליצור וליישם תהליכים המספקים ביקורות עצמאיות של אבטחת המידע שלהם שיטות.
ביקורות צריכות להתמקד בכל שינוי שיש נדרש לשיפור הגישה של ארגון לאבטחת מידע, ובכלל זה:
כל סקירה צריכה להתבצע על ידי אדם בתוך הארגון או מחוצה לו שאין לו אינטרס במה שהוא חוקר, כגון:
מי שעורך את הביקורת צריך לקבל את הרלוונטי יכולת מבצעית לעשות שיקול דעת נכון על ממצאיהם, ו(במקרה של עובדים פנימיים) תפקידם בעבודה לא אמור לעכב אותם מביצוע הערכה תקפה ולגיטימית.
יש לתעד ביסודיות את תוצאות הסקירה, לאחסן ולדווח למנהל (או לקבוצות של מנהלים) שביקשו זאת, ובמקרים מסוימים לרמת C-suite או לבעלות.
על הבודקים לשאוף לקבוע אם נוהלי אבטחת מידע תואמים או לא "יעדים ודרישות מתועדות" של הארגון המוצהרות במדיניות אבטחת המידע, או כל מדיניות ספציפית לנושא.
לצד בדיקות תקופתיות, ייתכן שיהיה צורך ליזום בדיקות אד-הוק. ניתן להצדיק את הביקורות הללו על פני 5 תחומים מרכזיים:
ISO / IEC 27007 ו-ISO/IEC TS 27008 מכילים הנחיות נוספות בנוגע לתרגול של ביקורות עצמאיות.
27002:2022-5.35 מחליף את 27002:2013-18.1.2 (סקירה עצמאית של אבטחת מידע).
27002:2022-5.35 מכיל את אותה הנחיה כללית כמו 27002:2013-18.1.2, אך הולך צעד קדימה בקביעת דוגמאות ספציפיות מתי ארגון צריך לבצע ביקורות אד-הוק, לצד הסקירות התקופתיות שלו.
ISMS.online מייעל את ISO 27002 תהליך הטמעה על ידי מתן מסגרת מתוחכמת מבוססת ענן לתיעוד נהלי מערכת ניהול אבטחת מידע ורשימות ביקורת כדי להבטיח עמידה בתקנים מוכרים.
כאשר אתה השתמש ב-ISMS.online, אתה תוכל:
ליצור ISMS שתואם ISO 27001 DELETE THIS
לבצע משימות ולהגיש הוכחות לכך שהם עמדו בדרישות התקן.
להקצות משימות ולעקוב אחר ההתקדמות לקראת ציות לחוק.
קבל גישה לצוות מיוחד של יועצים שיסייע לך לאורך כל הדרך שלך לקראת ציות.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.