מהי בקרה 5.4 אחריות ניהול
מהי מדיניות אבטחת מידע?
An מדיניות אבטחת מידע היא מסמך רשמי המספק כיוון ניהולי, יעדים ועקרונות להגנה על מידע של ארגון. א מדיניות אבטחת מידע יעילה צריך להיות מותאם לצרכים הספציפיים של ארגון ולתמוך על ידי ההנהלה הבכירה כדי להבטיח הקצאה מתאימה של משאבים.
המדיניות מציגה את העקרונות הכוללים כיצד ההנהלה תרצה שהעובדים יטפלו בנתונים רגישים וכיצד החברה תגן על נכסי המידע שלה.
המדיניות נגזרת לרוב מחוקים, תקנות ושיטות עבודה מומלצות שהארגון חייב לציית אליהם. מדיניות אבטחת מידע נוצרת בדרך כלל על ידי ההנהלה הבכירה של הארגון, עם מידע מצוות אבטחת ה-IT שלו.
מדיניות צריכה לכלול גם מסגרת עבור הגדרת תפקידים ואחריות ולוח זמנים לסקירה תקופתית.
טבלת תכונות
תכונות הן דרך לסווג סוגים שונים של פקדים. תכונות אלה מאפשרות לך ליישר את הפקדים שלך עם תקני התעשייה. בשליטה 5.4 הם:
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות | #לזהות | #ממשל | #ממשל ומערכת אקולוגית |
| #יושרה | ||||
| #זמינות |
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
מהי מטרת בקרה 5.4?
שליטה 5.4 תוכננה ל לוודא שההנהלה מבינה את אחריותם באבטחת מידע ושהם נוקטים בצעדים כדי להבטיח שכל העובדים מודעים של ולמלא את חובות אבטחת המידע שלהם.
בקרה 5.4 הסבר
מידע הוא נכס יקר ערך ויש להגן מפני אובדן, נזק או שימוש לרעה. הארגון יוודא שננקטו אמצעים מתאימים כדי להגן על נכס זה. כדי שזה יקרה, ההנהלה חייבת לוודא שכל הצוות מיישם את כל מדיניות אבטחת המידע, המדיניות והנהלים הספציפיים לנושאים של הארגון.
בקרה 5.4 מכסה את המטרה והנחיות היישום להגדרת אחריות ההנהלה בכל הנוגע לאבטחת מידע בארגון בהתאם ל- מסגרת של ISO 27001.
בקרה זו נועדה לוודא שההנהלה תומכת בתוכנית אבטחת המידע ושכל העובדים והקבלנים מודעים למדיניות אבטחת המידע של הארגון ומקיימים אותה. אסור לפטור איש מחובה של עמידה במדיניות האבטחה, במדיניות ובנהלים הספציפיים לנושאים של הארגון.
מה כרוך ואיך לעמוד בדרישות
המפתח לעמידה בדרישות הבקרה הזו הוא להבטיח שההנהלה מסוגלת לחייב את כל הצוות הרלוונטי לדבוק במדיניות, בסטנדרטים ובנהלים של אבטחת המידע של הארגון.
הצעד הראשון הוא קנייה ותמיכה של ההנהלה. ההנהלה חייבת להוכיח את מחויבותה על ידי ביצוע כל המדיניות והנהלים שהיא קובעת. לדוגמה, אם אתה דורש מהעובדים לקחת מודעות אבטחה שנתית קורסי הכשרה, מנהלים צריכים להוות דוגמה ולהשלים תחילה את הקורסים הללו.
לאחר מכן מגיע העברת החשיבות של אבטחת מידע לכל אחד בחברה, ללא קשר לתפקידו. זה כולל את הדירקטוריון, ההנהלה וההנהלה, כמו גם עובדים. כל אחד חייב להבין את תפקידו בשמירה על אבטחת מידע רגיש כפי שמכוסה ב-ISMS של החברה תכנית.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
הבדלים בין ISO 27002:2013 ל-ISO 27002:2022
בקרת ISO 27002:2022 5.4 אחריות ניהול הייתה ידועה בעבר כשליטה 7.2.1 אחריות ניהול בתקן ISO 27002:2013. זו לא שליטה חדשה אלא פרשנות חזקה יותר לגרסת 2013.
בעוד שבקרה 5.4 ובקרה 7.2.1 מכסות באופן כללי את אותו הדבר, יש מעט הבדלים שארגונים ומנהלי עסקים צריכים לשים לב אליהם. הבדלים אלו מכוסים בהנחיית היישום של הבקרה.
Control 5.4 ISO 27002:2013-2022 הנחיות יישום בהשוואה
ב-ISO 27002: 2013, אחריות הניהול מכסה את הבטחת העובדים והקבלנים:
a) מתודרכים כראוי לגביהם תפקידים ואחריות של אבטחת מידע לפני מתן גישה למידע סודי או למערכות מידע;
b) מסופקים עם קווים מנחים להצהיר על ציפיות אבטחת מידע מתפקידם בתוך
אִרגוּן;
c) בעלי מוטיבציה למלא את מדיניות אבטחת המידע של הארגון;
d) להשיג רמת מודעות לאבטחת מידע הרלוונטית לתפקידים ולאחריות שלהם בתוך הארגון;
e) להתאים לתנאי העסקה, הכוללים את מדיניות אבטחת המידע של הארגון ושיטות עבודה מתאימות;
f) להמשיך להיות בעל הכישורים והכישורים המתאימים ולהתחנך על בסיס קבוע;
g) מסופקים בערוץ דיווח אנונימי לדיווח על הפרות של מדיניות או נהלים של אבטחת מידע ("שריקות").
ההנהלה צריכה להפגין תמיכה במדיניות אבטחת מידע, נהלים ובקרות, ולשמש מודל לחיקוי.
Control 5.4 היא גרסה ידידותית יותר למשתמש ו דורש אחריות ניהולית מבטיח שעובדים וקבלנים:
a) מתודרכים כראוי על תפקידיהם ואחריותם בתחום אבטחת המידע לפני מתן גישה למידע של הארגון ולנכסים הקשורים אחרים;
b) מקבלים קווים מנחים המציינים את ציפיות אבטחת המידע מתפקידם בארגון;
c) מחויבים למלא את מדיניות אבטחת המידע ואת המדיניות הספציפית לנושא של הארגון;
d) להשיג רמת מודעות לאבטחת מידע הרלוונטית לתפקידים ולאחריות שלהם בתוך הארגון;
e) עמידה בתנאי העסקה, חוזה או הסכם, לרבות מדיניות אבטחת המידע של הארגון ושיטות עבודה מתאימות;
f) המשך להיות בעל מיומנויות וכישורי אבטחת מידע מתאימות באמצעות השכלה מקצועית מתמשכת;
g) במידת האפשר, מסופקים בערוץ סודי לדיווח על הפרות של מדיניות אבטחת מידע, מדיניות ספציפית לנושא או נהלים לאבטחת מידע ("הלשנות"). זה יכול לאפשר דיווח אנונימי, או לכלול הוראות כדי להבטיח שהידע על זהות הכתב ידוע רק למי שצריך לטפל בדיווחים כאלה;
h) מספקים משאבים נאותים וזמן תכנון פרויקטים ליישום התהליכים והבקרות הקשורים לאבטחה של הארגון.
כפי שניתן לראות, תקן ISO 27002:2022 דורש במפורש שכדי לבצע את הנהלים והבקרות הקשורות לאבטחה, עובדים וקבלנים יקבלו משאבים נחוצים וכן זמן תכנון הפרויקט.
גם הנוסחים בחלק מהנחיות היישום של ISO 27002:2013 לעומת ISO 27002:2020 הושפעו. כאשר הנחיה ג' של גרסת 2013 קובעת שלעובדים וקבלנים יש "מוטיבציה" לאמץ את מדיניות ה-ISMS של החברה, 2022 משתמש במילה "מנדט"
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
מי אחראי על התהליך הזה?
התשובה לשאלה זו די פשוטה: ההנהלה! באחריות ההנהלה לוודא שהטמעת ISMS (מערכת ניהול אבטחת מידע) תקינה.
זה נתמך בדרך כלל על ידי מינוי מנהל אבטחת מידע בעל הכשרה מתאימה ומנוסה, אשר יהיה אחראי להנהלה הבכירה על פיתוח, יישום, ניהול ושיפור מתמיד של ה-ISMS.
בקרות חדשות ISO 27002
| מזהה בקרה ISO/IEC 27002:2022 | מזהה בקרה ISO/IEC 27002:2013 | שם בקרה |
|---|---|---|
| 5.7 | NEW | אינטליגנציה מאיימת |
| 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| 7.4 | NEW | ניטור אבטחה פיזית |
| 8.9 | NEW | ניהול תצורה |
| 8.10 | NEW | מחיקת מידע |
| 8.11 | NEW | מיסוך נתונים |
| 8.12 | NEW | מניעת דליפת נתונים |
| 8.16 | NEW | פעילויות ניטור |
| 8.23 | NEW | סינון אינטרנט |
| 8.28 | NEW | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | מזהה בקרה ISO/IEC 27002:2013 | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | מזהה בקרה ISO/IEC 27002:2013 | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | NEW | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
כיצד ISMS.online עוזר
אחד האתגרים הגדולים ביותר ביישום א ISMS מיושר ל-ISO 27001 שומר על בקרות אבטחת המידע שלך. המערכת שלנו מקלה על כך.
אנו מבינים את החשיבות של הגנה על הנתונים של הארגון שלך ומוניטין. זו הסיבה שהפלטפורמה מבוססת הענן שלנו נועדה לפשט את היישום של ISO 27001, לספק לך מסגרת חזקה של בקרות אבטחת מידע ולעזור לך להשיג הסמכה במינימום משאבים וזמן.
כללנו מגוון של ידידותיים למשתמש תכונות וערכות כלים לפלטפורמה שלנו כדי לחסוך לך זמן ולהבטיח שאתה יוצר ISMS חזק באמת. עם ISMS.online, אתה יכול בקלות לקבל אישור ISO 27001 ולאחר מכן לנהל אותו בקלות.
הזמן הדגמה היום.
