חלק מרכזי בהפעלה עם מערכת חזקה, מערכת מאובטחת של נוהלי אבטחת מידע הוא הצורך לשמור על ציות לכל מדיניות ונהלים שפורסמו.
בקרה 5.36 מחייבת ארגונים להשיג מלמעלה למטה מבט על אבטחת מידע ציות, המתייחס למדיניות השונות שלה (הן יחידה והן ספציפית לנושא), כללים ותקנים.
שליטה 5.36 היא א מניעה ו אֶמְצָעִי מְתַקֵן לשלוט בזה משנה סיכון על ידי שמירה על דבקות עם קיים מדיניות ונהלים במסגרת אבטחת מידע.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות #לְהַגֵן | #חוק ותאימות #אבטחת מידע | #ממשל ומערכת אקולוגית |
בקרה 5.36 עוסקת בעיקר בעניינים תפעוליים. ככזה, הבעלות צריכה להיות אצל ה-COO, או CISO (אם קיים).
מנהלים ובעלי מידע (כולל בעלי שירותים ומוצרים) צריכים להיות מסוגלים לסקור את התאימות בכל בנק המדיניות, הכללים והסטנדרטים של אבטחת מידע של הארגון.
מנהלים צריכים ליישם שיטות דיווח ספציפיות לעסק (המשלבות כלים טכניים הנדרשים) על תאימות לאבטחת מידע, במטרה הכוללת לערוך סקירות תקופתיות - המתועדות, מאוחסנות ומדווחות באופן יסודי - המדגישות תחומים לשיפור.
אם מתגלות בעיות ומתגלים מקרים של אי ציות, מנהלים צריכים להיות מסוגלים לבצע את הפעולות הבאות:
יש לנקוט פעולות מתקנות "בזמן", ובאופן אידיאלי עד הסקירה הבאה. אם הפעולות לא יושלמו עד הביקורת הבאה, מנהלים צריכים להיות מסוגלים להוכיח התקדמות לכל הפחות.
27002:2022-5.36 מחליף שני פקדים מ-27002:2013, כלומר:
27002:2022-5.36 מתמצת את כל ההנחיות הטכניות המורכבות המוצעות ב-27002:2013-18.2.3, על ידי הצהרה פשוטה שמנהלים צריכים להיות מסוגלים לבדוק את התאימות בכל מקום שיידרש לעשות זאת.
27002:2022-5.36 מכיל בדיוק את אותה מערכת של נקודות הנחיה כמו 27002:2013-18.2.2, המתייחסות ל- פעולות הנדרשות כאשר סקירה מסמנת מקרים של אי ציות.
ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
