שליטה 6.7, עבודה מרחוק היא פקד בתקן ISO 27002:2022 המתוקן. היא ממליצה כי לארגונים תהיה מדיניות בנושא עבודה מרחוק וכן מערכת ניהול אבטחת מידע הכוללת נהלים לאבטחת גישה מרחוק למערכות מידע ורשתות.
העבודה מרחוק הפכה נפוצה יותר ככל שהטכנולוגיה התפתחה וכיום ניתן לעובדים לעבוד מהבית מבלי לפגוע בפריון או ביעילות. עם זאת, זה יכול גם לעורר כמה חששות לגבי אבטחת מידע.
אם אתה בעל עסק, תרצה לדעת כיצד להגן על הקניין הרוחני שלך מפני פושעי סייבר ולהבטיח שהנתונים שלך בטוחים מפני האקרים.
להלן כמה השלכות אבטחת מידע של עבודה מרחוק:
עבודה מרחוק יכולה להיות יתרון שכן היא מאפשרת גישה קלה יותר למידע ולמערכות רגישות. עם זאת, לעבודה מרחוק יש מספר השלכות אבטחה.
עבודה מרחוק, אם לא מנוהלת כראוי, עלולה להיות רגישה לסיכוני אבטחה כגון פריצה, התקפות תוכנות זדוניות, גישה לא מורשית ועוד. זה נכון במיוחד כאשר העובדים אינם נמצאים פיזית בסביבה מאובטחת.
עבודה מרחוק יכולה גם להשפיע על האבטחה הפיזית של העסק. הסיבה לכך היא שהעובדים כבר לא נמצאים פיזית במשרד או בבניין, ולפיכך, סביר להניח שלא יראו או ישמעו פעילות חשודה.
עבודה מרחוק יכולה גם להוות סיכונים מסוימים בכל הנוגע לסודיות. לדוגמה, עובדים יכולים לגשת למידע סודי מרחוק ולגשת אליו ללא הסכמת החברה.
כמו כן, עובדים יכולים לגשת בקלות למידע רגיש של החברה באינטרנט הציבורי. למעשה, ישנם אפילו אתרים שבהם העובדים יכולים להעלות מידע רגיש שכולם יוכלו לראות.
עבודה מרחוק יכולה גם להשפיע על הפרטיות של ארגון. לדוגמה, אם עובדים עובדים מהבית, סביר יותר שהם ישאירו את חפציהם האישיים מונחים.
חפצים אלו עשויים להכיל מידע רגיש שעלול לסכן את פרטיות החברה.
עבודה מרחוק יכולה גם להוות סיכון לנתונים של העסק. לדוגמה, עובדים יכולים לגשת לנתוני החברה מרחוק, אותם ניתן לאחסן במגוון מיקומים.
זה יכול לכלול נתונים על מחשבים, שרתים ומכשירים ניידים. אם העובד עוזב את המשרד ולוקח את המכשיר, יכול להיות קשה יותר לשחזר את הנתונים.
כמו כן, העובד יכול לטעות או לעשות משהו זדוני עם המכשיר, מה שעלול לסכן את הנתונים.
תכונות משמשות לקטגוריות פקדים. אתה יכול להתאים מיד את אפשרות השליטה שלך לביטויים ומפרטים בתעשייה בשימוש נרחב באמצעות תכונות.
תכונות לבקרה 6.7 הן כפי שניתן לראות להלן.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול נכסים #הגנת מידע #ביטחון פיזי #אבטחת מערכת ורשת | #הֲגָנָה |
מטרת Control 6.7 היא להבטיח שלעובדים שעובדים מרחוק יהיו בקרות גישה נאותות במקום כדי להגן על הסודיות, השלמות והזמינות של מידע, תהליכים ומערכות רגישים או קנייניים מפני גישה או חשיפה בלתי מורשית של אנשים לא מורשים.
כדי להבטיח את אבטחת המידע כאשר צוות עובדים מרחוק, ארגונים צריכים להוציא מדיניות ספציפית לנושא על עבודה מרחוק המגדירה את התנאים וההגבלות הרלוונטיות לאבטחת מידע. המדיניות צריכה להיות מופצת לכל הצוות ולכלול הדרכה כיצד הם יכולים להשתמש בטכנולוגיות גישה מרחוק בצורה בטוחה ומאובטחת.
מדיניות ספציפית לנושא כמו זו תכסה ככל הנראה:
בנוסף לדרישות הבסיסיות הללו, חשוב גם לנהל נוהל מוגדר בבירור לדיווח על תקריות, כולל פרטי ההתקשרות המתאימים. זה יכול לעזור להפחית את הסיכון של הפרות או סוגים אחרים של אירועי אבטחה שיתרחשו מלכתחילה.
ייתכן שהמדיניות תצטרך לטפל בבעיות כמו הצפנה, חומות אש ועדכוני תוכנות אנטי-וירוס וכן הדרכת עובדים לגבי אופן השימוש בקישוריות מרחוק בבטחה.
על מנת לעמוד בדרישות לבקרה 6.7, ארגונים המאפשרים פעילויות עבודה מרחוק צריכים להוציא מדיניות ספציפית לנושא על עבודה מרחוק המגדירה את התנאים וההגבלות הרלוונטיים.
יש לבחון את המדיניות באופן קבוע, במיוחד כאשר חל שינוי כלשהו בטכנולוגיה או בחקיקה.
יש למסור את המדיניות לכל העובדים, הקבלנים והגורמים האחרים המעורבים בפעילויות עבודה מרחוק.
המדיניות צריכה להיות מתועדת ולהיות זמינה לכל צד שלישי רלוונטי, לרבות רגולטורים ורואי חשבון.
ארגונים חייבים גם להבטיח שיש להם אמצעים הולמים כדי להגן על מידע רגיש או סודי המועבר או מאוחסן באופן אלקטרוני במהלך פעילויות עבודה מרחוק.
בהתאם להוראות בקרה 6.7, יש לשקול את העניינים הבאים:
ההנחיות והאמצעים שיש לקחת בחשבון צריכים לכלול:
בקרה 6.7 ב-ISO 27002:2022 היא גרסה שונה של בקרה 6.2.2 ב-ISO 27002:2013 ואינה פקד חדש.
בעוד שלשני הפקדים הללו יש מאפיינים רבים, הם שונים במקצת במינון ובניסוחים. שם הפקד, למשל, אינו זהה. בקרה 6.2.2 ב-ISO 27002:2013 מכונה עבודה מרחוק. בקרה 6.7 מתייחסת אליו כאל עבודה מרחוק. במקביל, העבודה מרחוק הוחלפה בעבודה מרחוק בגרסה החדשה של התקן.
בבקרה 6.7, ISO 27002:2022, התקן מגדיר מהי עבודה מרחוק, ואת סוגי העבודה שיכולים להתאים כעבודה מרחוק. זה כולל עבודה מרחוק, שהוא שם הבקרה המקורי בגרסת 2013 של התקן.
הנחיות היישום דומות במקצת למרות שהשפה והמונחים שונים. גרסה 2022 השתמשה בהרבה שפה ידידותית למשתמש כדי להבטיח שמשתמשי התקן יוכלו להבין מה הם עושים.
עם זאת, כמה נקודות נוספו בבקרה 6.7 וחלק הוסרו מבקרה 6.2.2.
יתרה מזאת, גרסה 27002 של ISO 2022 מספקת הצהרות של מטרות וטבלאות תכונות לכל פקד, המסייעות למשתמשים להבין טוב יותר ולהטמיע את הפקדים.
לגרסת 2013 אין את שני החלקים הללו.
האחריות העיקרית ליצירת מדיניות אבטחת מידע לעובדים מרוחקים היא של קצין אבטחת המידע של הארגון. עם זאת, גם בעלי עניין אחרים צריכים להיות מעורבים בתהליך.
זה כולל מנהלי IT, האחראים על יישום ותחזוקת המדיניות, וכן מנהלי משאבי אנוש, שאחראים לוודא שהעובדים מבינים אותה ודבקים בה.
אם יש לך תוכנית לניהול ספקים, אז התשובה תהיה תלויה במי שאחראי על ניהול הקבלנים והספקים בכלל. ברוב המקרים, אדם זה יהיה אחראי גם ליצירת מדיניות אבטחת מידע עבור עובדים מרוחקים באותה מחלקה.
ה-ISO 27002 לא השתנה באופן משמעותי ולכן אינך צריך לעשות הרבה מלבד לבדוק שתהליכי אבטחת המידע שלך תואמים לשדרוג.
השינוי העיקרי היה לשנות חלק מהבקרות ולהבהיר חלק מהדרישות. ההשפעה העיקרית לגבי בקרה 6.7 היא שאם אתה מיקור חוץ את כל הפעולות שלך לצד שלישי או שאנשים עובדים מרחוק, תצטרך לוודא שיש להם רמה מתאימה של בקרות אבטחה במקום.
אם יש לך הסמכה קיימת של ISO 27001, אז התהליך הנוכחי שלך לניהול אבטחת מידע יעמוד בדרישות החדשות.
משמעות הדבר היא שאם אתה מחפש לחדש את הסמכת ISO 27001 הנוכחית שלך, אינך צריך לעשות דבר כלל. אתה רק צריך לוודא שהתהליכים שלך עדיין מתאימים לסטנדרט החדש.
אם עם זאת, אתה מתחיל מאפס, אז תצטרך להשקיע מחשבה כיצד החברה שלך יכולה להיות מוכנה להתקפות סייבר ואיומים אחרים על נכסי המידע שלה.
העיקר הוא שחשוב להתייחס לסיכוני סייבר ברצינות מספקת כדי שהם ינוהלו כחלק מהאסטרטגיה העסקית הכוללת שלך במקום להיות מטופלים כסוגיה נפרדת על ידי מחלקות IT או אבטחה בלבד.
פלטפורמת ISMS.Online מסייעת בכל ההיבטים של יישום ISO 27002, מניהול פעילויות הערכת סיכונים ועד לפיתוח מדיניות, נהלים והנחיות לעמידה בדרישות התקן.
זה מספק דרך לתעד את הממצאים שלך ולתקשר אותם עם חברי הצוות שלך באינטרנט. ISMS.Online גם מאפשר לך ליצור ולשמור רשימות ביקורת עבור כל המשימות הכרוכות ביישום ISO 27002, כך שתוכל לעקוב בקלות אחר התקדמות תוכנית האבטחה של הארגון שלך.
עם ערכת הכלים האוטומטית שלו, ISMS.Online מקל על ארגונים להוכיח עמידה בתקן ISO 27002.
פנה אלינו עוד היום ל קבע הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
