ISO 27002:2022, בקרה 7.1 – היקפי אבטחה פיזיים

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

כחול, נקי, זכוכית, קיר, של, מודרני, גורד שחקים

מהי Control 7.1?

בקרה 7.1 ב-ISO 27002:2022 החדש מכסה את הצורך של ארגונים להגדיר ולהגדיר היקפי אבטחה ולהשתמש בפרמטרים אלה כדי להגן על אזורים המכילים מידע ונכסים קשורים אחרים.

נכסי מידע ואבטחת מידע מוסברים

ניתן להגדיר מידע ככל נתון, מידע או ידע שיש להם ערך לארגון או לעסק שלך. זה כולל כל מידע שנאסף על אנשים, לקוחות, שותפים, עובדים ובעלי עניין אחרים.

ניתן לחלק נכסי אבטחת מידע באופן נרחב ל:

נתונים

נתונים מבולבלים לעתים קרובות עם מידע אך יש הבדל בין נתונים למידע. הנתונים הינם גולמיים, לא מעובדים ולעתים קרובות אינם ניתנים לשימוש במצבם הנוכחי, בעוד שמידע הוא נתונים שעובדו לחלקי מידע שמישים כגון כתובת דואר אלקטרוני או מספר טלפון.

תשתית

תשתית מתייחסת לכל הרכיבים המרכיבים את הרשת כולל שרתים והתקנים אחרים כגון מדפסות ונתבים וכו'.

תשתית יכולה לכלול גם תוכנות כמו מערכות הפעלה ויישומים שאמורות להיות מוגנת מפני התקפות סייבר בדיוק כמו החומרה שכן יש לשמור על שתיהן מעודכנות עם תיקונים ותיקונים לנקודות תורפה שהתגלו על ידי האקרים כדי שלא יוכלו להיות מעודכנים. מנוצל על ידי האקרים זדוניים שרוצים לקבל גישה לנתונים רגישים.

היקפי אבטחה פיזיים מוסברים

אבטחה פיזית מתייחסת לכל האמצעים הפיזיים המגנים על מתקנים ונכסים של ארגון. אבטחה פיזית היא החלק הבסיסי והחשוב ביותר באבטחת מידע. זה לא רק על נעילת הדלת אלא גם לדעת למי יש גישה למה, מתי, איפה ואיך.

היקפי אבטחה פיזיים משמשים לזיהוי הגבולות הפיזיים של בניין או אזור ולשלוט בגישה אליו. היקפי אבטחה פיזיים עשויים לכלול גדרות, חומות, שערים ומחסומים אחרים המונעים גישה בלתי מורשית של אנשים או כלי רכב. בנוסף למחסומים פיזיים, ניתן להשתמש בציוד מעקב אלקטרוני כגון מצלמות טלוויזיה במעגל סגור לניטור פעילות מחוץ למתקן.

היקפי אבטחה פיזיים מספקים קו ראשון של הגנה מפני פולשים שעלולים לנסות להיכנס למערכת המחשב שלך דרך כבל הרשת או החיבור האלחוטי בארגון. הם משמשים לעתים קרובות בשילוב עם סוגים אחרים של בקרות אבטחת מידע כגון ניהול זהויות, בקרת גישה ומערכות זיהוי פריצות.

קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

טבלת תכונות

תכונות הן דרך לסווג פקדים. תכונות מאפשרות לך להתאים במהירות את בחירת הבקרה שלך למפרט ולטרמינולוגיה טיפוסית של התעשייה. הפקדים הבאים זמינים בפקד 7.1.

סוג הבקרהמאפייני אבטחת מידע מושגי אבטחת סייבר יכולות מבצעיות תחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן#ביטחון פיזי#הֲגָנָה

בקרה 7.1 מבטיחה שארגון יכול להוכיח שיש לו היקפי אבטחה פיזיים נאותים כדי למנוע גישה פיזית בלתי מורשית למידע ולנכסים קשורים אחרים.

זה כולל מניעת:

  • כניסה לא מורשית למבנים, חדרים או אזורים המכילים נכסי מידע;

  • הסרה בלתי מורשית של נכסים מהמקום;

  • שימוש לא מורשה בנכסים במקום (למשל, מחשבים והתקנים הקשורים למחשבים); ו

  • גישה לא מורשית לציוד תקשורת אלקטרוני כגון טלפונים, מכשירי פקס ומסופי מחשב (למשל, התעסקות בלתי מורשית).

ניתן ליישם היקפי אבטחה פיזיים באמצעות שתי הקטגוריות הבאות:

בקרת גישה פיזית: מספקת בקרה על הכניסה למתקנים ומבנים, כמו גם על התנועה בתוכם. בקרות אלו כוללות נעילת דלתות, שימוש באזעקות על דלתות, שימוש בגדרות או מחסומים סביב מתקנים וכו'.

אבטחת חומרה: מספקת בקרה על ציוד פיזי (למשל, מחשבים) המשמשים ארגון לעיבוד נתונים כגון מדפסות וסורקים שעלולים להכיל מידע רגיש.

הטמעת בקרה זו עשויה לכסות גם שימוש בלתי מורשה בשטח מתקנים, ציוד ואספקה ​​על מנת להגן על מידע ונכסים קשורים אחרים, כגון מסמכים, רשומות וציוד סודיים.

מה כרוך ואיך לעמוד בדרישות

יש לשקול וליישם את ההנחיות הבאות במידת הצורך עבור היקפי אבטחה פיזיים:

  • הגדרת היקפי אבטחה והמיקום והחוזק של כל אחד מההיקפים בהתאם לדרישות אבטחת המידע הקשורות לנכסים בתוך ההיקף.

  • קיום היקפים תקינים פיזית לבניין או אתר המכילים מתקני עיבוד מידע (כלומר לא צריכים להיות פערים בהיקפים או באזורים שבהם יכולה להתרחש בקלות פריצה).

  • הגגות החיצוניים, הקירות, התקרות והריצוף של האתר צריכים להיות בעלי מבנה מוצק וכל הדלתות החיצוניות צריכות להיות מוגנות כראוי מפני גישה בלתי מורשית באמצעות מנגנוני בקרה (כגון סורגים, אזעקות, מנעולים).

  • יש לנעול דלתות וחלונות ללא השגחה ויש לשקול הגנה חיצונית לחלונות, במיוחד בגובה פני הקרקע; יש לקחת בחשבון גם נקודות אוורור.

ניתן לקבל מידע נוסף על מה כרוך בעמידה בדרישות הבקרה במסמך התקן ISO 27002:2022.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

שינויים והבדלים מ-ISO 27002:2013

הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.

11 פקדים חדשים נוספו לגרסה זו של ISO 27002. עם זאת, פקד 7.1 אינו פקד חדש, אלא הוא גרסה שונה של פקד 11.1.1 בגרסת 2013 של ISO 27002. ההבדל העיקרי בין 2013 ל-2022 הגרסה היא שינוי מספר הבקרה.

מספר הבקרה 11.1.1 הוחלף ב-7.1. מלבד זאת, ההקשר והמשמעות דומים במידה רבה, למרות שהביטוי הזה שונה.

הבדל נוסף בין שני הפקדים הוא שדרישות היישום הופחתו בגרסת 2022.

הדרישות הבאות הזמינות בבקרה 11.1.1 של ISO 27002:2013 חסרות בבקרה 7.1:

  • יש להתקין אזור קבלה מאויש או אמצעי אחר לשליטה בגישה הפיזית לאתר או לבניין.

  • יש להגביל את הגישה לאתרים ולבניינים לצוות מורשה בלבד.

  • יש לבנות מחסומים פיזיים, היכן שניתן, כדי למנוע גישה פיזית בלתי מורשית וזיהום סביבתי.

  • יש להתקין מערכות מתאימות לזיהוי פולשים לפי סטנדרטים לאומיים, אזוריים או בינלאומיים ולבדוק באופן קבוע כדי לכסות את כל הדלתות החיצוניות והחלונות הנגישים.

  • יש להיבהל כל הזמן באזורים שאינם כבושים.

  • יש לספק כיסוי גם לאזורים אחרים, למשל חדר מחשבים או חדרי תקשורת.

  • מתקני עיבוד מידע המנוהלים על ידי הארגון צריכים להיות מופרדים פיזית מאלה המנוהלים על ידי גורמים חיצוניים.

השמטות אלו אינן הופכות בשום אופן את התקן החדש לפחות יעיל, במקום זאת הן הוסרו כדי להפוך את הבקרה החדשה ליותר ידידותית למשתמש.

מי אחראי על התהליך הזה?

קצין המידע הראשי הוא האחראי על אבטחת המידע. אדם זה אחראי ליישום מדיניות ונהלים להגנה על הנתונים והמערכות של החברה. ה-CIO עובד בדרך כלל עם מנהלים אחרים, כגון סמנכ"ל הכספים והמנכ"ל, כדי להבטיח שאמצעי אבטחה נלקחים בחשבון במהלך החלטות עסקיות.

סמנכ"ל הכספים מעורב גם בקבלת החלטות לגבי היקפי אבטחה פיזיים. הוא או היא עובדים עם חברים אחרים ב-C-suite - כולל ה-CIO - כדי לקבוע כמה כסף יש להקצות לאמצעי אבטחה פיזיים כמו מצלמות מעקב, בקרות גישה ואזעקות.

מה המשמעות של השינויים הללו עבורך?

ה-ISO 27002:2022 החדש אינו עדכון משמעותי. לכן, אינך צריך ליישם שינויים רציניים כדי להיות תואם לגרסה העדכנית ביותר של ISO 27002.

עם זאת, עליך לשקול לבדוק את היישום הנוכחי שלך ולוודא שהוא תואם את הדרישות החדשות. בפרט, אם ביצעת שינויים כלשהם מאז פרסום הגרסה הקודמת בשנת 2013. כדאי להסתכל שוב על השינויים הללו כדי לראות אם הם עדיין תקפים או אם יש צורך לתקן אותם.

עם זאת, אתה יכול לקבל מידע נוסף על האופן שבו ה-ISO 27002 החדש ישפיע על תהליכי אבטחת המידע שלך ועל הסמכת ISO 27001 על ידי קריאת המדריך שלנו ISO 27002:2022.

כיצד ISMS.Online עוזר

ISMS.online יכול גם לעזור בהדגמת תאימות ל-ISO 27002 על ידי מתן מערכת מקוונת המאפשרת לך לאחסן את כל המסמכים שלך במקום אחד ולהפוך אותם לזמינים לכל מי שצריך אותם. המערכת גם מאפשרת ליצור רשימות בדיקה עבור כל מסמך, כך שיהיה קל לכל המעורבים בביצוע שינויים או עיון במסמכים כדי לראות מה צריך לעשות הלאה ומתי זה צריך להיעשות.

רוצים לראות איך זה עובד?

צור קשר עוד היום כדי הזמן הדגמה.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף