בקרה 5.9 בתקן ISO 27002:2022 המתוקן מתאר כיצד יש לפתח ולתחזק מלאי של מידע ונכסים קשורים אחרים, כולל בעלים.
על מנת לבצע את פעילותו, הארגון צריך לדעת אילו נכסי מידע עומדים לרשותו.
An מלאי של נכסי מידע (IA) היא רשימה של כל מה שארגון מאחסן, מעבד או משדר. זה כולל גם את בקרות המיקום והאבטחה עבור כל פריט. המטרה היא לזהות כל פיסת נתונים בודדת. אתה יכול לחשוב על זה כעל המקבילה החשבונאית הפיננסית להגנה על נתונים.
ניתן להשתמש ב-IA כדי לזהות פערים שלך תוכנית אבטחה וליידע הערכות סיכוני סייבר שבו עשויות להיות לך נקודות תורפה שעלולות להוביל להפרה. זה יכול לשמש גם כראיה במהלך ביקורת ציות שעשית בדיקת נאותות בזיהוי הנתונים הרגישים שלך, מה שעוזר לך להימנע מקנסות ועונשים.
השמיים מלאי של נכסי מידע צריך לכלול גם פרטים של מי הבעלים של כל נכס ומי מנהל אותו. הוא צריך לכלול גם מידע על הערך של כל פריט במלאי ועד כמה הוא קריטי להצלחת הפעילות העסקית של הארגון.
חשוב שהמלאי יישמר מעודכן כך שישקף שינויים בתוך הארגון.
לניהול נכסי מידע יש היסטוריה ארוכה בתכנון המשכיות עסקית (BCP), התאוששות מאסון (DR) ותכנון תגובה לאירועים.
השלב הראשון בכל אחד מאותם תהליכים כולל זיהוי מערכות קריטיות, רשתות, מסדי נתונים, יישומים, זרימות נתונים ורכיבים אחרים הזקוקים להגנה. אם אתה לא יודע מה צריך הגנה או היכן הוא שוכן, אז אתה לא יכול לתכנן איך להגן עליו!
בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים.
טבלה זו משלימה את העבודה שלקוחות רבים מבצעים כיום במסגרת שלהם הערכת סיכונים ו-SOA על ידי זיהוי הסודיות, יושרה וזמינות - וגורמים נוספים. בפקד 5.9, התכונות הן:
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #ניהול נכסים | #ממשל ומערכת אקולוגית #הגנה |
מטרת בקרה זו היא לזהות את המידע של הארגון ונכסים קשורים אחרים על מנת לשמור על אבטחת המידע שלהם ולהקצות בעלות מתאימה.
בקרה 5.9 מכסה את הנחיות הבקרה, המטרה והיישום ליצירת מלאי של מידע ונכסים קשורים אחרים בהתאם למסגרת ה-ISMS כפי שהוגדרה ב-ISO 27001.
הבקרה מחייבת לערוך מלאי של כל המידע ושאר הנכסים הקשורים, סיווגם לקטגוריות נפרדות, זיהוי בעליהם ותיעוד הבקרות שיש או אמורות להיות במקום.
זהו צעד מכריע לקראת הבטחת כל נכסי המידע מוגנים כראוי.
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.
ל עומדים בדרישות התקן ISO 27002:2022 החדש, עליך לזהות את המידע ושאר הנכסים הקשורים בארגון שלך. לאחר מכן כדאי לקבוע את חשיבותם של פריטים אלו מבחינת אבטחת מידע. במידת הצורך, יש לשמור על התיעוד במלאי ייעודי או קיים.
הגישה לפיתוח מלאי תשתנה בהתאם לגודל הארגון ומורכבותו, הבקרות והמדיניות הקיימות שלו, וסוגי המידע ושאר הנכסים הקשורים בהם הוא משתמש.
על פי בקרה 5.9, מלאי המידע ושאר הנכסים הקשורים צריך להיות מדויק, מעודכן, עקבי ומתאים למלאי אחר. האפשרויות להבטחת דיוק של מלאי מידע ונכסים משויכים אחרים כוללות:
a) עריכת סקירות שוטפות של מידע מזוהה ונכסים קשורים אחרים מול מלאי הנכסים;
b) אכיפה אוטומטית של עדכון מלאי בתהליך של התקנה, שינוי או הסרה של נכס.
יש לכלול את מיקום הנכס במלאי לפי הצורך.
ייתכן שארגונים מסוימים יצטרכו להחזיק מספר מלאי למטרות שונות. לדוגמה, לארגונים מסוימים יש מלאי ייעודי עבור רישיונות תוכנה או עבור ציוד פיזי כגון מחשבים ניידים וטאבלטים.
לאחרים עשוי להיות מלאי יחיד הכולל את כל הציוד הפיזי, כולל התקני רשת כגון נתבים ומתגים. חשוב שכל מלאי כזה ייבדק באופן שוטף כדי להבטיח שהוא יישמר מעודכן כך שניתן יהיה להשתמש בו כדי לסייע עם ניהול סיכונים פעילויות.
מידע נוסף על עמידה בדרישות לבקרה 5.9 ניתן למצוא במסמך ISO 27002:2022 החדש.
ב-ISO 27002: 2022, 57 פקדים מ-ISO 27002: 2013 מוזגו ל-24 פקדים. כך שלא תמצאו את פקד 5.9 כמלאי מידע ונכסים משויכים אחרים בגרסת 2013. דווקא בגרסת 2022, מדובר בשילוב של שליטה 8.1.1 מלאי נכסים ושליטה 8.1.2 בעלות על נכסים.
כוונת הבקרה 8.1.1 מלאי של נכסים היא להבטיח שכל נכסי המידע מזוהים, מתועדים ונבדקים באופן שוטף, ותהליכים ונהלים מתאימים כדי לוודא שמלאי זה בטוח.
בקרה 8.1.2 בעלות על נכסים אחראית לוודא שכל נכסי המידע שבשליטתם מזוהים ובבעלותם כהלכה. לדעת מי הבעלים של מה יכול לעזור לך לקבוע אילו נכסים אתה צריך להגן, ולמי אתה צריך לתת דין וחשבון.
בעוד ששני הפקדים ב-ISO 27002:2013 דומים לבקרה 5.9 ב-ISO 27002:2022, האחרון הורחב כדי לאפשר פרשנות ידידותית יותר למשתמש. לדוגמה, הנחיות היישום לבעלות על נכסים בשליטה 8.1.2 קובעת כי על בעל הנכס:
a) להבטיח שהנכסים מצויים במלאי;
b) להבטיח שנכסים מסווגים ומוגנים כראוי;
c) להגדיר ולסקור מעת לעת הגבלות גישה וסיווגים לנכסים חשובים, תוך התחשבות במדיניות בקרת גישה החלה;
d) להבטיח טיפול נאות כאשר הנכס נמחק או מושמד.
4 נקודות אלו הורחבו ל-9 נקודות בסעיף הבעלות של שליטה 5.9.
השמיים בעל הנכס צריך להיות אחראי לניהול תקין של נכס לאורך כל מחזור חיי הנכס, תוך הבטחה ש:
a) מידע ונכסים קשורים אחרים מצויים במלאי;
b) מידע ונכסים קשורים אחרים מסווגים ומוגנים כראוי;
c) הסיווג נבדק מעת לעת;
d) רכיבים התומכים בנכסי טכנולוגיה מפורטים ומקושרים, כגון מסד נתונים, אחסון, רכיבי תוכנה ותתי רכיבים;
e) נקבעו דרישות לשימוש המקובל במידע ובנכסים קשורים אחרים (ראה 5.10);
f) הגבלות הגישה מתאימות לסיווג וכי הן יעילות ונבדקות מעת לעת;
g) מידע ונכסים קשורים אחרים, כאשר נמחקים או נפטרים, מטופלים בצורה מאובטחת ומוסרים מהמלאי;
h) הם מעורבים בזיהוי וניהול סיכונים הקשורים לנכס(ים) שלהם;
i) הם תומכים בצוות שיש להם את תפקידים ואחריות של ניהול המידע שלהם.
מיזוג שני הפקדים הללו ליצירת אחד מאפשר הבנה טובה יותר של המשתמש.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
לשינויים האחרונים של ISO 27002 אין השפעה על ההסמכה הנוכחית שלך מול תקני ISO 27001. שדרוגי ISO 27001 הם היחידים שיש להם השפעה על הסמכות קיימות, וגופי ההסמכה ישתפו פעולה עם הגופים המאשרים כדי לפתח מחזור מעבר שיספק לארגונים בעלי תעודות ISO 27001 זמן הולם להעביר מגרסה אחת לאחרת.
עם זאת, יש לבצע את השלבים הבאים כדי לעמוד בגרסה המתוקנת:
שיטות מומלצות ואיכויות חדשות לבחירת בקרה יהיו זמינות במהלך זמן המעבר לתקן החדש, מה שיאפשר תהליך בחירה יעיל ויעיל יותר.
בשל כך, עליך להמשיך להשתמש בגישה מבוססת סיכונים כדי להבטיח שרק את הבקרות הרלוונטיות והיעילות ביותר נבחרות עבור העסק שלך.
אתה יכול השתמש ב-ISMS.online כדי לנהל הטמעת ISO 27002 שלך, שכן היא תוכננה במיוחד כדי לסייע לחברה ביישום מערכת ניהול אבטחת המידע (ISMS) שלה כדי לעמוד בדרישות של ISO 27002.
הפלטפורמה משתמשת בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הדרושות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.
שימוש ISMS.online אתה יכול:
השמיים פלטפורמת ISMS.online מבוסס על Plan-Do-Check-Act (PDCA), תהליך איטרטיבי בן ארבעה שלבים לשיפור מתמיד, והוא נותן מענה לכל הדרישות של ISO 27002:2022. זה עניין פשוט של יצירת חשבון ניסיון בחינם וביצוע השלבים שאנו מספקים.
צור קשר עוד היום כדי הזמן הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
