ISO 27002: 2022, בקרה 6.4. תהליך משמעתי מדבר על הצורך של ארגונים להקים צורה כלשהי של הליך משמעתי שישמש כגורם מרתיע כדי שאנשי הצוות לא יבצעו הפרות אבטחת מידע.
תהליך זה צריך להיות מועבר רשמית ולעצב עונש מתאים לעובדים ולבעלי עניין רלוונטיים אחרים המבצעים מדיניות אבטחת מידע פרה.
הפרת מדיניות אבטחת מידע היא הפרה של הכללים או החוקים המסדירים את הטיפול הנכון במידע. מדיניות אבטחת מידע נקבעת על ידי ארגונים כדי להגן על נתונים סודיים, קנייניים ואישיים, כגון רישומי לקוחות ומספרי כרטיסי אשראי. מדיניות אבטחת מידע כוללת גם מדיניות אבטחת מחשבים המסייעת להבטיח את הבטיחות והשלמות של הנתונים המאוחסנים במחשבים.
לדוגמה, אם אין לך אישור מהממונה להשתמש בדוא"ל החברה לשליחת אימיילים אישיים, פעולה זו עלולה לגרום להפרה של מדיניות החברה. בנוסף, אם אתה עושה טעות בעת שימוש בציוד או תוכנה של החברה וגורם נזק לו או לנתונים המאוחסנים בו, גם הדבר עלול להיחשב כהפרת מדיניות אבטחת מידע.
אם עובד מפר את מדיניות אבטחת המידע של ארגון, הוא או היא עלולים להיות כפופים לדין משמעתי או לסיום עבודה. במקרים מסוימים, חברה עשויה לבחור שלא לפטר עובד שמפר את מדיניות השימוש במחשב שלה, אלא לנקוט באמצעים מתאימים אחרים כדי למנוע הפרות עתידיות של מדיניות החברה.
ניתן לקבץ פקדים באמצעות תכונות. כאשר אתה מסתכל על תכונות הבקרה, אתה יכול בקלות רבה יותר לקשר אותה לדרישות התעשייה והטרמינולוגיה המבוססת. התכונות הבאות נמצאות בשליטה 6.4.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ #אֶמְצָעִי מְתַקֵן | #סודיות #יושרה #זמינות | #לְהַגֵן #לְהָגִיב | #אבטחת משאבי אנוש | #ממשל ומערכת אקולוגית |
מטרת התהליך המשמעתי היא להבטיח שאנשי צוות ובעלי עניין רלוונטיים אחרים מבינים את ההשלכות של הפרת מדיניות אבטחת מידע.
מלבד הבטחה שעובדים ובעלי עניין רלוונטיים אחרים מבינים את ההשלכות של הפרות של מדיניות אבטחת מידע, בקרה 6.4 נועדה להרתיע ולסייע להתמודד עם אלה שמפרים מדיניות זו.
מרכיב מרכזי בתוכנית אבטחת מידע יעילה הוא היכולת ליישם פעולות משמעתיות מתאימות לעובדים המפרים את מדיניות ונהלי אבטחת המידע. בדרך זו, העובדים מודעים להשלכות של הפרת מדיניות ונהלים שנקבעו, ובכך להפחית את הפוטנציאל לפרצות מידע מכוונות או מקריות.
להלן דוגמאות לפעילויות שעשויות להיכלל בעת יישום בקרה זו:
הפעולות המשמעתיות המפורטות במסגרת/מסמך צריכות להיעשות מיד לאחר תקרית, כדי להרתיע אחרים שעשויים לרצות להפר את המדיניות הארגונית.
כדי לעמוד בדרישות הבקרה 6.4, יש לנקוט צעדים משמעתיים כאשר יש ראיות לאי ציות למדיניות, לנהלים או לתקנות של הארגון. זה כולל אי עמידה בחקיקה ובתקנות החלות על הארגון.
על פי בקרה 6.4, התהליך המשמעתי הפורמלי צריך לספק מענה מדורג הלוקח בחשבון את הגורמים הבאים:
הפעולה צריכה לקחת בחשבון את כל ההתחייבויות המשפטיות, החקיקתיות, הרגולטוריות, החוזיות והתאגידיות הרלוונטיות, כמו גם כל נסיבות רלוונטיות אחרות.
אם אתה מכיר את ISO 27002:2013, תדע שלמרות שזהות/מספר הבקרה השתנה, פקד 6.4 ב-ISO 27002:2022 אינו בדיוק פקד חדש. במקום זאת, זוהי גרסה שונה של בקרה 7.2.3 ב-ISO 27002:2013.
עם זאת, אין הבדלים משמעותיים בין שני הפקדים בשתי הגרסאות של ISO 27002. ההבדל הקטן שתבחין הוא שמספר הבקרה שונה מ-7.23 ל-6.4. כמו כן, בגרסת 2022 של התקן, נכללו טבלת התכונות והצהרת המטרה. שתי התכונות הללו אינן בגרסת 2013.
מלבד הניסוח השונה שלהם, בקרות אלה זהות בעצם מבחינת התוכן וההקשר שלהן. ידידותי למשתמש נעשה שימוש בטרמינולוגיה ב-ISO 27002:2022 כדי לוודא שמשתמשי התקן יוכלו להבין טוב יותר את תוכנו.
ברוב המקרים, ההליך המשמעתי מטופל על ידי ה מנהל מחלקה או משאבי אנוש נציג. זה לא נדיר שנציג משאבי אנוש מאציל את אחריות של צעדים משמעתיים כלפי מישהו אחר בארגון, כגון מומחה אבטחת מידע.
המטרה העיקרית של צעדים משמעתיים היא להגן על הארגון מפני כל הפרה נוספת של העובד. זה גם נועד למנוע דומה תקריות מחזרות על ידי הבטחת שכל העובדים מבינים את המשמעות של הפרות אבטחת מידע.
על מנת לוודא שננקטים צעדים משמעתיים נגד עובד שהפר מדיניות או נהלים של ארגון, חשוב שיהיו הנחיות ברורות לטיפול במצבים כאלה. הנחיות אלו צריכות לכלול הנחיות ספציפיות לגבי אופן ניהול החקירות והפעולות שיש לנקוט לאחר השלמת החקירות.
אם אתה תוהה מה המשמעות של שינויים אלה עבורך, הנה פירוט קצר של הנקודות החשובות ביותר:
מבנה התקן נותר ללא שינוי. עם זאת, חלק מהבקרות תוקנו כדי להבהיר את משמעותן או לשפר את העקביות עם חלקים אחרים של התקן.
עם זאת, אם אתה מתכוון קבלת הסמכת ISMS, ייתכן שתצטרך לבחון את נהלי האבטחה שלך כדי לוודא שהם עומדים בתקן המתוקן.
למידע נוסף על האופן שבו ה-ISO 27002 החדש עשוי להשפיע על פעולות אבטחת המידע שלך ו ISO 27001 הסמכה, אנא עיין במדריך ה-ISO 27002:2022 החינמי שלנו.
ISMS.Online הוא ה-ISO 27002 המוביל תוכנת מערכת ניהול התומכת בתאימות עם ISO 27002, ומסייע לחברות להתאים את מדיניות האבטחה והנהלים שלהן עם התקן.
הפלטפורמה מבוססת הענן מספקת סט שלם של כלים כדי לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.
כלים אלה כוללים:
ISMS.Online מאפשר למשתמשים גם:
ISMS.Online מספקת גם הדרכה כיצד ליישם את ה-ISMS שלך בצורה הטובה ביותר על ידי מתן טיפים כיצד ליצור מדיניות ונהלים הקשורים להיבטים כגון ניהול סיכונים, הדרכה למודעות לאבטחת כוח אדם ותכנון תגובה לאירועים.
הפלטפורמה שלנו תוכנן מאפס בעזרת מומחי אבטחת מידע מרחבי העולם, ופיתחנו אותו באופן שמקל על אנשים ללא כל ידע טכני על מערכות ניהול אבטחת מידע (ISMS) להשתמש בו.
רוצים לראות את זה בפעולה?
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |