ISO 27002: 2022, בקרה 5.4, אחריות הניהול מכסה את הצורך של ההנהלה להבטיח שכל הצוות דבק בכל המדיניות והנהלים הספציפיים לנושא אבטחת המידע כפי שהוגדרו במדיניות אבטחת המידע שנקבעה בארגון.
An מדיניות אבטחת מידע היא מסמך רשמי המספק כיוון ניהולי, יעדים ועקרונות להגנה על מידע של ארגון. א מדיניות אבטחת מידע יעילה צריך להיות מותאם לצרכים הספציפיים של ארגון ולתמוך על ידי ההנהלה הבכירה כדי להבטיח הקצאה מתאימה של משאבים.
המדיניות מציגה את העקרונות הכוללים כיצד ההנהלה תרצה שהעובדים יטפלו בנתונים רגישים וכיצד החברה תגן על נכסי המידע שלה.
המדיניות נגזרת לרוב מחוקים, תקנות ושיטות עבודה מומלצות שהארגון חייב לציית אליהם. מדיניות אבטחת מידע נוצרת בדרך כלל על ידי ההנהלה הבכירה של הארגון, עם מידע מצוות אבטחת ה-IT שלו.
מדיניות צריכה לכלול גם מסגרת עבור הגדרת תפקידים ואחריות ולוח זמנים לסקירה תקופתית.
תכונות הן דרך לסווג סוגים שונים של פקדים. תכונות אלה מאפשרות לך ליישר את הפקדים שלך עם תקני התעשייה. בשליטה 5.4 הם:
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #ממשל | #ממשל ומערכת אקולוגית |
ISMS.online יחסוך לך זמן וכסף
קבל את הצעת המחיר שלךשליטה 5.4 תוכננה ל לוודא שההנהלה מבינה את אחריותם באבטחת מידע ושהם נוקטים בצעדים כדי להבטיח שכל העובדים מודעים של ולמלא את חובות אבטחת המידע שלהם.
מידע הוא נכס יקר ערך ויש להגן מפני אובדן, נזק או שימוש לרעה. הארגון יוודא שננקטו אמצעים מתאימים כדי להגן על נכס זה. כדי שזה יקרה, ההנהלה חייבת לוודא שכל הצוות מיישם את כל מדיניות אבטחת המידע, המדיניות והנהלים הספציפיים לנושאים של הארגון.
בקרה 5.4 מכסה את המטרה והנחיות היישום להגדרת אחריות ההנהלה בכל הנוגע לאבטחת מידע בארגון בהתאם ל- מסגרת של ISO 27001.
שליטה זו היא לוודא זאת ההנהלה מצטרפת לתוכנית אבטחת המידע וכי כל העובדים והקבלנים מודעים למדיניות אבטחת המידע של הארגון ועוקבים אחריהם. אף אחד לא צריך להיות פטור מעולם מציות חובה למדיניות האבטחה של הארגון, למדיניות ולנהלים הספציפיים לנושאים.
המפתח לעמידה בדרישות הבקרה הזו הוא להבטיח שההנהלה מסוגלת לחייב את כל הצוות הרלוונטי לדבוק במדיניות, בסטנדרטים ובנהלים של אבטחת המידע של הארגון.
הצעד הראשון הוא קנייה ותמיכה של ההנהלה. ההנהלה חייבת להוכיח את מחויבותה על ידי ביצוע כל המדיניות והנהלים שהיא קובעת. לדוגמה, אם אתה דורש מהעובדים לקחת מודעות אבטחה שנתית קורסי הכשרה, מנהלים צריכים להוות דוגמה ולהשלים תחילה את הקורסים הללו.
לאחר מכן מגיע העברת החשיבות של אבטחת מידע לכל אחד בחברה, ללא קשר לתפקידו. זה כולל את הדירקטוריון, ההנהלה וההנהלה, כמו גם עובדים. כל אחד חייב להבין את תפקידו בשמירה על אבטחת מידע רגיש כפי שמכוסה ב-ISMS של החברה תכנית.
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
בקרת ISO 27002:2022 5.4 אחריות ניהול הייתה ידועה בעבר כשליטה 7.2.1 אחריות ניהול בתקן ISO 27002:2013. זו לא שליטה חדשה אלא פרשנות חזקה יותר לגרסת 2013.
בעוד שבקרה 5.4 ובקרה 7.2.1 מכסות באופן כללי את אותו הדבר, יש מעט הבדלים שארגונים ומנהלי עסקים צריכים לשים לב אליהם. הבדלים אלו מכוסים בהנחיית היישום של הבקרה.
ב-ISO 27002: 2013, אחריות הניהול מכסה את הבטחת העובדים והקבלנים:
a) מתודרכים כראוי לגביהם תפקידים ואחריות של אבטחת מידע לפני מתן גישה למידע סודי או למערכות מידע;
b) מסופקים עם קווים מנחים להצהיר על ציפיות אבטחת מידע מתפקידם בתוך
אִרגוּן;
c) בעלי מוטיבציה למלא את מדיניות אבטחת המידע של הארגון;
d) להשיג רמת מודעות לאבטחת מידע הרלוונטית לתפקידים ולאחריות שלהם בתוך הארגון;
e) להתאים לתנאי העסקה, הכוללים את מדיניות אבטחת המידע של הארגון ושיטות עבודה מתאימות;
f) להמשיך להיות בעל הכישורים והכישורים המתאימים ולהתחנך על בסיס קבוע;
g) מסופקים בערוץ דיווח אנונימי לדיווח על הפרות של מדיניות או נהלים של אבטחת מידע ("שריקות").
ההנהלה צריכה להפגין תמיכה במדיניות אבטחת מידע, נהלים ובקרות, ולשמש מודל לחיקוי.
Control 5.4 היא גרסה ידידותית יותר למשתמש ו דורש אחריות ניהולית מבטיח שעובדים וקבלנים:
a) מתודרכים כראוי על תפקידיהם ואחריותם בתחום אבטחת המידע לפני מתן גישה למידע של הארגון ולנכסים הקשורים אחרים;
b) מקבלים קווים מנחים המציינים את ציפיות אבטחת המידע מתפקידם בארגון;
c) מחויבים למלא את מדיניות אבטחת המידע ואת המדיניות הספציפית לנושא של הארגון;
d) להשיג רמת מודעות לאבטחת מידע הרלוונטית לתפקידים ולאחריות שלהם בתוך הארגון;
e) עמידה בתנאי העסקה, חוזה או הסכם, לרבות מדיניות אבטחת המידע של הארגון ושיטות עבודה מתאימות;
f) המשך להיות בעל מיומנויות וכישורי אבטחת מידע מתאימות באמצעות השכלה מקצועית מתמשכת;
g) במידת האפשר, מסופקים בערוץ סודי לדיווח על הפרות של מדיניות אבטחת מידע, מדיניות ספציפית לנושא או נהלים לאבטחת מידע ("הלשנות"). זה יכול לאפשר דיווח אנונימי, או לכלול הוראות כדי להבטיח שהידע על זהות הכתב ידוע רק למי שצריך לטפל בדיווחים כאלה;
h) מספקים משאבים נאותים וזמן תכנון פרויקטים ליישום התהליכים והבקרות הקשורים לאבטחה של הארגון.
כפי שניתן לראות, תקן ISO 27002:2022 דורש במפורש שכדי לבצע את הנהלים והבקרות הקשורות לאבטחה, עובדים וקבלנים יקבלו משאבים נחוצים וכן זמן תכנון הפרויקט.
גם הנוסחים בחלק מהנחיות היישום של ISO 27002:2013 לעומת ISO 27002:2020 הושפעו. כאשר הנחיה ג' של גרסת 2013 קובעת שלעובדים וקבלנים יש "מוטיבציה" לאמץ את מדיניות ה-ISMS של החברה, 2022 משתמש במילה "מנדט"
התשובה לשאלה זו די פשוטה: ההנהלה! באחריות ההנהלה לוודא שהטמעת ISMS (מערכת ניהול אבטחת מידע) תקינה.
זה נתמך בדרך כלל על ידי מינוי מנהל אבטחת מידע בעל הכשרה מתאימה ומנוסה, אשר יהיה אחראי להנהלה הבכירה על פיתוח, יישום, ניהול ושיפור מתמיד של ה-ISMS.
אחד האתגרים הגדולים ביותר ביישום א ISMS מיושר ל-ISO 27001 שומר על בקרות אבטחת המידע שלך. המערכת שלנו מקלה על כך.
אנו מבינים את החשיבות של הגנה על הנתונים של הארגון שלך ומוניטין. זו הסיבה שהפלטפורמה מבוססת הענן שלנו נועדה לפשט את היישום של ISO 27001, לספק לך מסגרת חזקה של בקרות אבטחת מידע ולעזור לך להשיג הסמכה במינימום משאבים וזמן.
כללנו מגוון של ידידותיים למשתמש תכונות וערכות כלים לפלטפורמה שלנו כדי לחסוך לך זמן ולהבטיח שאתה יוצר ISMS חזק באמת. עם ISMS.online, אתה יכול בקלות לקבל אישור ISO 27001 ולאחר מכן לנהל אותו בקלות.
הזמן הדגמה היום.
ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |