מלאי מידע ונכסים נלווים אחרים

מהו בקרה 5.9 מלאי מידע ונכסים נלווים אחרים?

בקרה 5.9 בתקן ISO 27002:2022 המתוקן מתאר כיצד יש לפתח ולתחזק מלאי של מידע ונכסים קשורים אחרים, כולל בעלים.

הסבר על מלאי של נכסי מידע

על מנת לבצע את פעילותו, הארגון צריך לדעת אילו נכסי מידע עומדים לרשותו.

An מלאי של נכסי מידע (IA) היא רשימה של כל מה שארגון מאחסן, מעבד או משדר. זה כולל גם את בקרות המיקום והאבטחה עבור כל פריט. המטרה היא לזהות כל פיסת נתונים בודדת. אתה יכול לחשוב על זה כעל המקבילה החשבונאית הפיננסית להגנה על נתונים.

ניתן להשתמש ב-IA כדי לזהות פערים שלך תוכנית אבטחה וליידע הערכות סיכוני סייבר שבו עשויות להיות לך נקודות תורפה שעלולות להוביל להפרה. זה יכול לשמש גם כראיה במהלך ביקורת ציות שעשית בדיקת נאותות בזיהוי הנתונים הרגישים שלך, מה שעוזר לך להימנע מקנסות ועונשים.

השמיים מלאי של נכסי מידע צריך לכלול גם פרטים של מי הבעלים של כל נכס ומי מנהל אותו. הוא צריך לכלול גם מידע על הערך של כל פריט במלאי ועד כמה הוא קריטי להצלחת הפעילות העסקית של הארגון.

חשוב שהמלאי יישמר מעודכן כך שישקף שינויים בתוך הארגון.

למה אני צריך מלאי של נכסי מידע?

לניהול נכסי מידע יש היסטוריה ארוכה בתכנון המשכיות עסקית (BCP), התאוששות מאסון (DR) ותכנון תגובה לאירועים.

השלב הראשון בכל אחד מאותם תהליכים כולל זיהוי מערכות קריטיות, רשתות, מסדי נתונים, יישומים, זרימות נתונים ורכיבים אחרים הזקוקים להגנה. אם אתה לא יודע מה צריך הגנה או היכן הוא שוכן, אז אתה לא יכול לתכנן איך להגן עליו!

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

טבלת בקרה של תכונות 5.9

בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים.

טבלה זו משלימה את העבודה שלקוחות רבים מבצעים כיום במסגרת שלהם הערכת סיכונים ו-SOA על ידי זיהוי הסודיות, יושרה וזמינות - וגורמים נוספים. בפקד 5.9, התכונות הן:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#ניהול נכסים	#ממשל ומערכת אקולוגית
	#יושרה			#הֲגָנָה
	#זמינות

מהי מטרת בקרה 5.9?

מטרת בקרה זו היא לזהות את המידע של הארגון ונכסים קשורים אחרים על מנת לשמור על אבטחת המידע שלהם ולהקצות בעלות מתאימה.

בקרה 5.9 מכסה את הנחיות הבקרה, המטרה והיישום ליצירת מלאי של מידע ונכסים קשורים אחרים בהתאם למסגרת ה-ISMS כפי שהוגדרה ב-ISO 27001.

הבקרה מחייבת לערוך מלאי של כל המידע ושאר הנכסים הקשורים, סיווגם לקטגוריות נפרדות, זיהוי בעליהם ותיעוד הבקרות שיש או אמורות להיות במקום.

זהו צעד מכריע לקראת הבטחת כל נכסי המידע מוגנים כראוי.

מה כרוך ואיך לעמוד בדרישות

ל עומדים בדרישות התקן ISO 27002:2022 החדש, עליך לזהות את המידע ושאר הנכסים הקשורים בארגון שלך. לאחר מכן כדאי לקבוע את חשיבותם של פריטים אלו מבחינת אבטחת מידע. במידת הצורך, יש לשמור על התיעוד במלאי ייעודי או קיים.

הגישה לפיתוח מלאי תשתנה בהתאם לגודל הארגון ומורכבותו, הבקרות והמדיניות הקיימות שלו, וסוגי המידע ושאר הנכסים הקשורים בהם הוא משתמש.

על פי בקרה 5.9, מלאי המידע ושאר הנכסים הקשורים צריך להיות מדויק, מעודכן, עקבי ומתאים למלאי אחר. האפשרויות להבטחת דיוק של מלאי מידע ונכסים משויכים אחרים כוללות:

a) עריכת סקירות שוטפות של מידע מזוהה ונכסים קשורים אחרים מול מלאי הנכסים;

b) אכיפה אוטומטית של עדכון מלאי בתהליך של התקנה, שינוי או הסרה של נכס.

יש לכלול את מיקום הנכס במלאי לפי הצורך.

ייתכן שארגונים מסוימים יצטרכו להחזיק מספר מלאי למטרות שונות. לדוגמה, לארגונים מסוימים יש מלאי ייעודי עבור רישיונות תוכנה או עבור ציוד פיזי כגון מחשבים ניידים וטאבלטים.

לאחרים עשוי להיות מלאי יחיד הכולל את כל הציוד הפיזי, כולל התקני רשת כגון נתבים ומתגים. חשוב שכל מלאי כזה ייבדק באופן שוטף כדי להבטיח שהוא יישמר מעודכן כך שניתן יהיה להשתמש בו כדי לסייע עם ניהול סיכונים פעילויות.

מידע נוסף על עמידה בדרישות לבקרה 5.9 ניתן למצוא במסמך ISO 27002:2022 החדש.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

הבדלים בין ISO 27002:2013 ל-ISO 27002:2022

ב-ISO 27002: 2022, 57 פקדים מ-ISO 27002: 2013 מוזגו ל-24 פקדים. כך שלא תמצאו את פקד 5.9 כמלאי מידע ונכסים משויכים אחרים בגרסת 2013. דווקא בגרסת 2022, מדובר בשילוב של שליטה 8.1.1 מלאי נכסים ושליטה 8.1.2 בעלות על נכסים.

כוונת הבקרה 8.1.1 מלאי של נכסים היא להבטיח שכל נכסי המידע מזוהים, מתועדים ונבדקים באופן שוטף, ותהליכים ונהלים מתאימים כדי לוודא שמלאי זה בטוח.

בקרה 8.1.2 בעלות על נכסים אחראית לוודא שכל נכסי המידע שבשליטתם מזוהים ובבעלותם כהלכה. לדעת מי הבעלים של מה יכול לעזור לך לקבוע אילו נכסים אתה צריך להגן, ולמי אתה צריך לתת דין וחשבון.

בעוד ששני הפקדים ב-ISO 27002:2013 דומים לבקרה 5.9 ב-ISO 27002:2022, האחרון הורחב כדי לאפשר פרשנות ידידותית יותר למשתמש. לדוגמה, הנחיות היישום לבעלות על נכסים בשליטה 8.1.2 קובעת כי על בעל הנכס:

a) להבטיח שהנכסים מצויים במלאי;

b) להבטיח שנכסים מסווגים ומוגנים כראוי;

c) להגדיר ולסקור מעת לעת הגבלות גישה וסיווגים לנכסים חשובים, תוך התחשבות במדיניות בקרת גישה החלה;

d) להבטיח טיפול נאות כאשר הנכס נמחק או מושמד.

4 נקודות אלו הורחבו ל-9 נקודות בסעיף הבעלות של שליטה 5.9.

השמיים בעל הנכס צריך להיות אחראי לניהול תקין של נכס לאורך כל מחזור חיי הנכס, תוך הבטחה ש:

a) מידע ונכסים קשורים אחרים מצויים במלאי;

b) מידע ונכסים קשורים אחרים מסווגים ומוגנים כראוי;

c) הסיווג נבדק מעת לעת;

d) רכיבים התומכים בנכסי טכנולוגיה מפורטים ומקושרים, כגון מסד נתונים, אחסון, רכיבי תוכנה ותתי רכיבים;

e) נקבעו דרישות לשימוש המקובל במידע ובנכסים קשורים אחרים (ראה 5.10);

f) הגבלות הגישה מתאימות לסיווג וכי הן יעילות ונבדקות מעת לעת;

g) מידע ונכסים קשורים אחרים, כאשר נמחקים או נפטרים, מטופלים בצורה מאובטחת ומוסרים מהמלאי;

h) הם מעורבים בזיהוי וניהול סיכונים הקשורים לנכס(ים) שלהם;

i) הם תומכים בצוות שיש להם את תפקידים ואחריות של ניהול המידע שלהם.

מיזוג שני הפקדים הללו ליצירת אחד מאפשר הבנה טובה יותר של המשתמש.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה המשמעות של השינויים הללו עבורך?

לשינויים האחרונים של ISO 27002 אין השפעה על ההסמכה הנוכחית שלך מול תקני ISO 27001. שדרוגי ISO 27001 הם היחידים שיש להם השפעה על הסמכות קיימות, וגופי ההסמכה ישתפו פעולה עם הגופים המאשרים כדי לפתח מחזור מעבר שיספק לארגונים בעלי תעודות ISO 27001 זמן הולם להעביר מגרסה אחת לאחרת.

עם זאת, יש לבצע את השלבים הבאים כדי לעמוד בגרסה המתוקנת:

ודא שהחברה שלך עומדת בדרישה החדשה על ידי בדיקת שלך מרשם הסיכונים וניהול הסיכונים שלך מתרגלים.
יש לתקן את ה-SoA כדי לשקף שינויים ב- נספח א.
יש לעדכן את המדיניות והתהליכים שלך כדי לעמוד בתקנות החדשות.

שיטות מומלצות ואיכויות חדשות לבחירת בקרה יהיו זמינות במהלך זמן המעבר לתקן החדש, מה שיאפשר תהליך בחירה יעיל ויעיל יותר.

בשל כך, עליך להמשיך להשתמש בגישה מבוססת סיכונים כדי להבטיח שרק את הבקרות הרלוונטיות והיעילות ביותר נבחרות עבור העסק שלך.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

אתה יכול השתמש ב-ISMS.online כדי לנהל הטמעת ISO 27002 שלך, שכן היא תוכננה במיוחד כדי לסייע לחברה ביישום מערכת ניהול אבטחת המידע (ISMS) שלה כדי לעמוד בדרישות של ISO 27002.

הפלטפורמה משתמשת בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הדרושות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.

שימוש ISMS.online אתה יכול:

יישום מהיר של מערכת ניהול אבטחת מידע (ISMS).
נהל בקלות את התיעוד של ה-ISMS שלך.
ייעול עמידה בכל התקנים הרלוונטיים.
נהל את כל ההיבטים של אבטחת מידע, מניהול סיכונים ועד הדרכת מודעות לאבטחה.
תקשר ביעילות בכל הארגון שלך באמצעות פונקציונליות התקשורת המובנית שלנו.

השמיים פלטפורמת ISMS.online מבוסס על Plan-Do-Check-Act (PDCA), תהליך איטרטיבי בן ארבעה שלבים לשיפור מתמיד, והוא נותן מענה לכל הדרישות של ISO 27002:2022. זה עניין פשוט של יצירת חשבון ניסיון בחינם וביצוע השלבים שאנו מספקים.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו