בקרה 5.8 מכסה את הצורך של ארגונים להבטיח זאת אבטחת מידע משולבת בניהול פרויקטים.
אבטחת מידע, לפעמים מקוצר ל Infosec, הוא הנוהג של הגנה על מידע מפני גישה בלתי מורשית, שימוש, חשיפה, שיבוש, שינוי, עיון, בדיקה, הקלטה או השמדה. זהו מונח כללי שניתן להשתמש בו ללא קשר לצורת הנתונים (למשל, אלקטרונית, פיזית).
המוקד העיקרי של אבטחת מידע הוא הגנה מאוזנת של הסודיות, היושרה והזמינות של נתונים (המכונה גם שלישיית ה-CIA) תוך שמירה על התמקדות ביישום מדיניות יעיל, כל זאת מבלי לפגוע בפריון הארגון.
התחום מכסה את כל התהליכים והמנגנונים שבאמצעותם מוגנים ציוד, מידע ושירותים דיגיטליים מפני גישה, שינוי או הרס לא מכוונים או לא מורשית. מקצועני אבטחת מידע מועסקים בתעשיות רבות ושונות - מפיננסים ועד ממשלתיים ועד שירותי בריאות ועד אקדמאים ומחברות קטנות של אדם אחד ועד ארגונים רב לאומיים גדולים.
ניהול פרויקטים הוא חלק גדול מהעסק. מדובר בתכנון, ארגון וניהול משאבים להשלמת מטרה ספציפית.
ניהול פרויקטים מתמקד בפרויקט, שהוא יצירה מזוהה הדורשת תשומות מאנשים או קבוצות שונות כדי לייצר תפוקות ספציפיות.
בעצם, זה כרוך בקביעת מטרת הפרויקט וחלוקתו למספר משימות משנה. לאחר מכן, מנהל פרויקט עובד עם הצוות כדי להשלים כל משימה בזמן כדי שהמטרה הכוללת תושלם.
ניהול פרויקטים עשוי להישמע כמו משהו שרק תאגיד גדול צריך. אבל זה בעל ערך לכל סוג של עסק. אחרי הכל, אפילו לעסקים קטנים יש פרויקטים שהם צריכים להשלים.
ככל שיותר ויותר עסקים מטפלים בפעילות שלהם באינטרנט, אין זה מפתיע שאבטחת מידע בניהול פרויקטים הפכה לנושא חם. מנהלי פרויקטים מתמודדים עם מספר הולך וגדל של אנשים העובדים מחוץ למשרד, כמו גם עובדים המשתמשים במכשיריהם האישיים לצורכי עבודה.
על ידי יצירת מדיניות אבטחה עבור העסק שלך, תוכל למזער את הסיכון של פריצה או אובדן נתונים ולהבטיח שאתה מסוגל להפיק דוחות מדויקים על מצב הפרויקט והכספים בכל זמן נתון.
הדרך הטובה ביותר לכלול אבטחת מידע בתהליך תכנון וביצוע הפרויקט J post
כדי להגן על הפרויקטים העסקיים שלך, אתה צריך לוודא שהכל מנהלי פרויקטים מודעים לאבטחת מידע ולעקוב אחריו כשהם משלימים את עבודתם.
בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים. בפקד 5.8, התכונות הן:
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #זהה #הגן | #ממשל | #ממשל ומערכת אקולוגית #הגנה |
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
המטרה של זה בקרה לפי ISO 27002:2022 היא להבטיח אבטחת מידע סיכונים הקשורים לפרויקטים ולתוצרים מטופלים ביעילות בניהול הפרויקט לאורך מחזור החיים של הפרויקט.
אבטחת מידע היא שיקול מרכזי בניהול פרויקטים ופרויקטים.
בקרה 5.8 מכסה את הנחיית הבקרה, המטרה והיישום לשילוב אבטחת מידע בניהול פרויקטים על פי המסגרת כפי שהוגדרה ב-ISO 27001.
בקרה 5.8 מבינה שניהול פרויקטים דורש תיאום של משאבים, כולל נכסי מידע, כדי להשיג מטרה עסקית מוגדרת. הסיבה לכך היא שפרויקטים כוללים לרוב תהליכים ומערכות עסקיים חדשים, שיש להם השלכות אבטחת מידע.
פרויקטים עשויים גם להשתרע על מחלקות וארגונים מרובים, כלומר יש לתאם שליטה ביעדי 5.8, שנועדה להבטיח שקיימים פרוטוקולי אבטחת מידע נאותים, בין בעלי עניין פנימיים וחיצוניים.
ניתן לראות בקרה זו קו מנחה המזהה בעיות אבטחת מידע בפרויקטים, ומבטיח שהבעיות הללו יטופלו לאורך כל מחזור החיים של הפרויקט.
חשוב לשלב אבטחת מידע בניהול פרויקטים מכיוון שזה מספק הזדמנות לארגונים להבטיח שסיכוני אבטחת מידע מזוהים, מוערכים ומטופלים כחלק מניהול הפרויקט.
לדוגמה, אם ארגון מעוניין להטמיע מערכת פיתוח מוצר חדשה, הוא יכול לזהות את סיכוני אבטחת המידע הקשורים למערכת פיתוח מוצר חדשה - כגון חשיפה לא מורשית של מידע קנייני של החברה - ולנקוט בצעדים כדי להפחית סיכונים אלו.
לכן, כדי לעמוד בדרישות עבור ISO 27002:2022 חדש, על מנהל אבטחת המידע לעבוד עם מנהל הפרויקט כדי לוודא שסיכון אבטחת מידע מזוהה, מוערך ומטופל כחלק מתהליכי ניהול הפרויקט. אבטחת מידע צריכה להיות משולבת בניהול הפרויקט כך שהיא תהיה "חלק מהפרויקט" ולא משהו שנעשה "לפרויקט".
על פי בקרה 5.8, ניהול הפרויקט בשימוש צריך לדרוש כי:
מנהל הפרויקט (PM) צריך לקבוע את דרישות אבטחת המידע לכל סוגי הפרויקטים, ללא קשר למורכבות, גודל, משך, משמעת או תחום יישום, לא רק פרויקטי פיתוח ICT. ראשי הממשלה צריכים להיות מודעים ל מדיניות אבטחת מידע ונהלים קשורים, והחשיבות של אבטחת מידע.
פרטים נוספים על הנחיות היישום ניתן למצוא ב-ISO 27002:2022 המתוקן.
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
אבטחת מידע בניהול פרויקטים תוקנה ב-ISO 27002:2022 כדי לשקף יותר הבהרות בהנחיית היישום בהשוואה לזה של ISO 27002:2013. לדוגמה, ב-ISO 27002:2013, יש 3 נקודות שכל מנהל פרויקט צריך לדעת שכן זה משפיע על אבטחת המידע. אבל בגרסת 2022, זה הורחב ל-4 נקודות.
כמו כן, פקד 5.8 ב-ISO 27002:2022 אינו פקד חדש, אלא הוא שילוב של פקדים 6.1.5 ו- 14.1.1 ב-ISO 27002:2013.
פקד 14.1.1 ב-ISO 27002: 2013 מדבר על דרישות הקשורות לאבטחת מידע עבור מערכות מידע חדשות או שיפורים למערכות מידע קיימות. הנחיות היישום לבקרה 14.1.1 דומות לסעיף של בקרה 5.8 שמדבר על הבטחת הארכיטקטורה והעיצוב של מערכות מידע מוגנים מפני איומים ידועים המבוססים על הסביבה התפעולית.
בקרה 5.8, למרות שאינה בקרה חדשה, מביאה כמה שינויים חשובים לתקן. בנוסף, שילוב שני הפקדים ב-ISO 27002:2022 הופך את התקן לידידותי יותר למשתמש.
מנהל הפרויקט (PM) אחראי לוודא שאבטחת מידע מיושמת במחזור החיים של כל פרויקט. עם זאת, ראש הממשלה עשוי למצוא שימושי להתייעץ עם א קצין אבטחת מידע (ISO) כדי להחליט אילו דרישות אבטחת מידע נדרשות עבור סוגים שונים של פרויקטים.
אין שינויים ב תקן ISO/IEC 27001, לכן אין צורך לעדכן ISMS קיים. חוץ מזה, יש תקופת חסד של שנתיים לפני שארגונים צריכים לאמץ את התקן החדש.
עם זאת, בגלל נספח A של ISO/IEC 27001 יותאמו לבקרי ה-ISO/IEC 27002 החדשים עד סוף 2022, מומלץ להשלים פעילויות המבוססות על המידע הזמין כעת על בקרי ה-ISO/IEC 27002 החדשים.
לדוגמה, ארגונים יכולים:
פלטפורמה מבוססת ענן להטמעת ISO 27002, ISMS.online, עוזרת לך לנהל את תהליכי ניהול סיכוני אבטחת המידע שלך בקלות וביעילות.
עם הפלטפורמה מבוססת הענן שלנו, תהיה לך גישה לספריית מדיניות, נהלים, הוראות עבודה וטפסים כתובים מראש המוכנים עבורך.
השמיים פלטפורמת ISMS.online מספק מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת המידע שלך (ISMS) ולהשיג עמידה בתקן ISO 27002.
חבילת הכלים המקיפה מעניקה לך מקום מרכזי אחד בו תוכל ליצור סט מדיניות ונהלים בהתאמה אישית הסיכונים והצרכים הספציפיים של הארגון. זה גם מאפשר שיתוף פעולה בין עמיתים כמו גם שותפים חיצוניים כגון ספקים או מבקרי צד שלישי.
על ידי שימוש באפליקציית אינטרנט שתוכננה במיוחד כדי לעזור לחברות ליישם מערכת ניהול אבטחת מידע (ISMS) המבוססת על ISO 27001, לא רק תחסוך זמן, אלא גם תגביר את האבטחה של הארגון שלך.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |