השמיים ISO 27002: 2022 בקרה 5.5 מפרטת כי על ארגון להקים ולתחזק תהליך ליצירת קשר עם הרשויות המתאימות בהתאם לדרישות החוקיות, הרגולטוריות והחוזיות בהן פועל הארגון.
בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים. אלה הם אלה שנמצאו בשליטה 5.5.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מונע #מתקן | #סודיות #יושרה #זמינות | #זהה #הגן #הגיב #שחזור | #ממשל | #הגנה #חוסן |
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
מטרת הבקרה 5.5 היא להבטיח זרימת מידע נאותה בהתייחס לאבטחת מידע בין הארגון לבין רשויות החוק, הרגולציה והפיקוח הרלוונטיות. יש להתקיים פורום מתאים לדיאלוג ושיתוף פעולה בין החברה לבין רשויות החוק, הרגולציה והפיקוח הרלוונטיות.
בקרה 5.5 מכסה את הדרישה, המטרה והוראות היישום כיצד לזהות ו לדווח על אירועי אבטחת מידע במועד, וכן למי ואיך לפנות במקרה של אירוע.
המטרה של בקרה 5.5 היא לזהות לאילו בעלי עניין (למשל, אכיפת חוק, גופים רגולטוריים, רשויות פיקוח) יהיה צורך ליצור קשר במקרה של אירוע אבטחה. חשוב שכבר זיהית את בעלי העניין הללו לפני שמתרחש תקרית.
קשר עם רשויות פירושו שעל הארגון ליצור וליישם תקשורת בלתי רשמית עם רשויות בנושאי אבטחת מידע, לרבות:
המטרה העיקרית של בקרה 5.5 היא לבסס את מערכת היחסים של הארגון עם רשויות אכיפת החוק בכל הקשור ל ניהול סיכוני אבטחת מידע.
כדי לעמוד בדרישות לבקרה 5.5, צפוי שאם א מתגלה אירוע אבטחת מידע, על הארגון לציין מתי ועל ידי אילו רשויות (כגון אכיפת חוק, גופים רגולטוריים ורשויות פיקוח) יש להודיע, וכן כיצד יש לדווח בזמן על אירועי אבטחת מידע שזוהו.
יש להשתמש בחילופי מידע עם רשויות גם כדי לקבל ידע טוב יותר על הציפיות הקיימות והצפויות של סוכנויות אלה (למשל תקנות אבטחת מידע החלות).
דרישה זו נועדה להבטיח כי לארגון יש אסטרטגיה קוהרנטית ליחסיו עם רשויות אכיפת החוק וכי הוא זיהה את נקודת המגע המתאימה ביותר בסוכנויות אלו.
מגעים עם גופים רגולטוריים מועילים גם כדי לצפות ולהתכונן לשינויים הקרובים בחוקים או בתקנות הרלוונטיים המשפיעים על הארגון.
בקרה 5.5: קשר עם רשויות אינו תוספת חדשה ב-ISO 27002:2022. מדובר בפקד קיים בתקן ISO 27002:2013 המקורי עם מספר בקרה 6.1.3. המשמעות היא שה מספר הבקרה שונה בגרסה החדשה של ISO 27002.
מלבד שינוי מספר הבקרה, הביטוי שונתה גם. כאשר בקרה 5.5 קובעת כי "על הארגון ליצור ולקיים קשר עם הרשויות הרלוונטיות". בקרה 6.1.3 קובעת כי "יש לשמור על קשרים מתאימים עם הרשויות הרלוונטיות". שינוי זה בביטויים נועד להפוך את השליטה הזו לידידותית יותר למשתמש.
בגרסת 2022 נכללה מטרת בקרה. זה לא זמין בגרסת 2013.
יחד עם זאת, בעוד המהות של שני הפקדים נשארת זהה, יש וריאציות עדינות שמבדילות אחת מהשנייה.
Control 5.5 ב-ISO 27002:2022 מוסיף עוד כי יש להשתמש במגעים עם רשויות גם כדי להקל על ההבנה לגבי הציפיות הנוכחיות והצפויות של רשויות אלה (למשל תקנות אבטחת מידע החלות). זה חסר בגרסת 2013.
השמיים אדם האחראי לתפקיד זה הוא בדרך כלל מנהל אבטחת המידע.
אנשים אחרים יכולים לבצע פונקציה זו, אך עליהם לדווח למנהל אבטחת המידע כדי שיוכלו לשמור על פיקוח על פעילויות אלו. זה שומר על מסר עקבי ומבטיח מערכת יחסים עקבית עם הרשויות.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
כאשר מתפרסם תקן הסמכה חדש, לרוב יהיה זמן מעבר. עבור רוב מחזורי ההסמכה יש זמן מעבר של שנתיים עד שלוש.
עם זאת, המהדורה האחרונה של ISO 27002 היא בהחלט חיונית אם אתה מתכוון לכך לפרוס ISMS (ואולי אפילו לשקול הסמכת ISMS) ואתה צריך לוודא שאמצעי האבטחה שלך מעודכנים.
בין הפעילויות שיבוצעו ניתן למנות, בין היתר, את הפעולות הבאות:
אנא עיין במדריך שלנו ל-ISO 27002:2022, שבו תוכל לגלות עוד על האופן שבו שינויים אלה לשליטה ב-5.5 ישפיעו על הארגון שלך.
מעקב אחר בקרות אבטחת המידע שלך הוא אחד ההיבטים הקשים ביותר ביישום א ISMS התואם ל-ISO 27001. אבל הפלטפורמה מבוססת הענן שלנו עושה את זה קל.
הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת חזקה של אבטחת מידע בקרות כך שתוכל לרשימת בדיקה של תהליך ה-ISMS שלך תוך כדי כדי להבטיח שהוא עומד בדרישות עבור ISO 27k. בשימוש נכון, האיזמים. מקוון יכול לסייע לך בהשגת הסמכה במינימום זמן ומשאבים.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
