בקרה 5.6 - קשר עם קבוצות עניין מיוחדות

ISO 27002:2022 – בקרה 5.6 – קשר עם קבוצות עניין מיוחדות

בקרה 5.6 ב-ISO 27002:2022 המתוקן לאחרונה או בקרה 6.1.4 ב-ISO 27002:2013 ממליצה לארגונים ליצור ולקיים קשר עם קבוצות אינטרסים מיוחדות או פורומים אחרים של אבטחה מומחים ואיגודים מקצועיים.

מהו מגע בקרה 5.6 עם קבוצות עניין מיוחדות?

קבוצות עניין מיוחדות הסבר

באופן כללי, קבוצת אינטרסים מיוחדת עשויה להיות מוגדרת כאיגוד של אנשים או ארגונים בעלי עניין או עבודה בתחום התמחות מסוים, שבו חברים משתפים פעולה / פועלים לפתרון בעיות, לייצר פתרונות, ולרכוש ידע. במצבנו, תחום התמחות זה יהיה אבטחת מידע.

יצרנים, פורומים מומחים וקבוצות מקצועיות הם דוגמאות לגורמים כאלה. הממשלה היא גם דוגמה לקבוצת אינטרסים מיוחדת.

טבלת תכונות

בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים. התכונות עבור בקרה 5.6 הן:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ממשל	#הֲגָנָה
#אֶמְצָעִי מְתַקֵן	#יושרה	#לְהָגִיב
	#זמינות	#לְהַחלִים

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

מהי מטרת בקרה 5.6?

לרוב הארגונים כיום יש קשר כלשהו עם קבוצות אינטרסים מיוחדות. הם עשויים להיות קבוצת לקוחות, קבוצת ספקים או קבוצה שיש לה השפעה מסוימת בארגון. מטרת בקרה 5.6 היא להבטיח זרימת מידע נאותה מתרחשת ביחס לאבטחת מידע בקרב קבוצות אינטרסים מיוחדות אלו.

בקרה 5.6 מכסה את הדרישה, המטרה והנחיות היישום כיצד ליצור קשר עם קבוצות אינטרסים מיוחדות כדי להבטיח שהארגון שלך יעסוק באופן פעיל ביצירת קשר ובהתייעצות שוטפת עם רלוונטיים בעלי עניין ובעלי עניין, לרבות צרכנים ונציגיהם, ספקים, שותפים והממשלה על מנת לשפר את יכולות אבטחת המידע שלהם.

ייתכן שארגונים אלו יוכלו לזהות סכנות ביטחוניות שאולי התעלמתם מהן. כשותפות, שני הצדדים עשויים להפיק תועלת מהידע של זה במונחים של רעיונות חדשים ושיטות עבודה מומלצות, שהוא תרחיש של win-win.

בנוסף, ייתכן שקבוצות אלו יוכלו לספק הצעות או המלצות שימושיות לגבי נוהלי אבטחה, נהלים או טכנולוגיות שיכולות להפוך את המערכת שלך לאבטחה יותר בזמן שעדיין השגת היעדים העסקיים שלך.

מה כרוך ואיך לעמוד בדרישות

כאשר מדובר בעמידה בדרישות עבור שליטה 5.6 ב-ISO 27002:2022, חשוב שארגונים ימלאו אחר הנחיות היישום כפי שהוגדרו בתקן.

על פי בקרה 5.6, חברות בקבוצות אינטרסים מיוחדות או פורומים צריכה להיות אמצעי ל:

לשפר את הידע על שיטות עבודה מומלצות ולהישאר מעודכן במידע אבטחה רלוונטי.
להבטיח שההבנה של סביבת אבטחת המידע עדכנית.
לקבל אזהרות מוקדמות על התראות, ייעוץ ותיקונים הנוגעים להתקפות ופגיעויות.
לקבל גישה לייעוץ מומחה לאבטחת מידע.
לשתף ולהחליף מידע על טכנולוגיות חדשות, מוצרים, שירותים, איומים או פגיעויות.
לספק נקודות קישור מתאימות בעת התמודדות עם אירועי אבטחת מידע.

השמיים סט תקנים ISO/IEC 27000 מחייב הקמה ותחזוקה של מערכת ניהול אבטחת מידע (ISMS). בקרה 5.6 היא חלק מכריע בתהליך זה. קשר עם קבוצות עניין מיוחדות חשוב מכיוון שהוא יכול לספק לך דרך לקבל משוב מעמיתים לגבי האפקטיביות של תהליכי אבטחת המידע שלך.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

לפי מה שכבר צוין, שליטה בגודל 5.6 אינץ' ISO 27002: 2022, "צור קשר עם קבוצות עניין מיוחדות", אינו בקרה חדשה. זוהי בעצם גרסה שונה של בקרה 6.1.4, אותה ניתן למצוא ב-ISO 27002:2013.

בעוד שהיסודות של שני הפקדים זהים בעצם, ישנם כמה שינויים קלים בגרסת 2022 של הפקד. במקרה של ISO 27002:2022, מטרת הבקרה מצוינת בתקן. במהדורת 2013 חסרה מטרת הבקרה הזו.

יתר על כן, בעוד שהנחיות היישום עבור שתי הגרסאות זהות, הביטוי המשמש בכל גרסה שונה.

כל השיפורים הללו נועדו להבטיח שהתקן יישאר עדכני ורלוונטי לאור חששות האבטחה הגוברים והתפתחויות טכנולוגיות. גם ארגונים ייהנו מכך שכן זה יקל על העמידה בתקן.

מי אחראי על התהליך הזה?

בארגון טיפוסי, ראש אבטחת המידע (הידוע גם כ-Chief Information Security Officer – CISO) אחראי על כל ההיבטים של פרטיות ואבטחת המידע, כולל ציות.

תפקיד זה יכול להיות מטופל גם על ידי מנהל אבטחת מידע (מנהל ISMS). עם זאת, ללא קשר למי שמטפל בתפקיד זה, זה לא יכול להתקדם ללא רכישה של ההנהלה הבכירה.

מה זה אומר עבור ארגונים?

אם בקשת הארגון כבר הטמיע את ISO 27002:2013, תצטרך לעדכן את הנהלים שלך כדי להבטיח עמידה בתקן המעודכן, שהושק בפברואר 2022.

בעוד שיהיו כמה שינויים בגרסת 2022, רוב הארגונים אמורים להיות מסוגלים לבצע את השינויים הדרושים במעט צרות. יתרה מזאת, לארגונים מוסמכים יהיה שלב מעבר בן שנתיים שבמהלכו יוכלו לחדש את ההסמכה שלהם כדי להבטיח שהוא עומד בגרסה החדשה של התקן.

לאחר שאמרתי שהמדריך שלנו ISO 27002:2022 יכול לעזור לך להבין טוב יותר כיצד ה-ISO 27002 החדש ישפיע על פעולות אבטחת הנתונים שלך ISO 27001 הסמכה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.Online עוזר

באתר ISMS.online, בנינו מערכת מקיפה וקלה לשימוש שיכולה לעזור לך ליישם בקרות ISO 27002 ולנהל את כל ה-ISMS שלך.

ISMS.online מקל על יישום ISO 27002 על ידי מתן א סט כלים שיעזרו לך לנהל את אבטחת המידע בארגון שלך. זה יעזור לך לזהות סיכונים ולפתח בקרות כדי להפחית סיכונים אלה, ולאחר מכן הראה לך כיצד ליישם אותם בתוך הארגון.

ISMS.online גם יעזור לך להוכיח עמידה בתקן על ידי מתן לוח מחוונים לניהול, דוחות ויומני ביקורת.

הפלטפורמה מבוססת הענן שלנו מציעה:

מערכת ניהול תיעוד קלה לשימוש והתאמה אישית
גישה לספרייה של תבניות תיעוד מלוטשות וכתובות מראש
תהליך פשוט עבור ביצוע ביקורות פנימיות
שיטה יעילה לתקשורת עם ההנהלה ובעלי העניין
מודול זרימת עבודה לייעול תהליך ההטמעה

ל-ISMS.online יש את כל התכונות הללו, ועוד.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו