בקרה 7.1 ב-ISO 27002:2022 החדש מכסה את הצורך של ארגונים להגדיר ולהגדיר היקפי אבטחה ולהשתמש בפרמטרים אלה כדי להגן על אזורים המכילים מידע ונכסים קשורים אחרים.
ניתן להגדיר מידע ככל נתון, מידע או ידע שיש להם ערך לארגון או לעסק שלך. זה כולל כל מידע שנאסף על אנשים, לקוחות, שותפים, עובדים ובעלי עניין אחרים.
ניתן לחלק נכסי אבטחת מידע באופן נרחב ל:
נתונים מבולבלים לעתים קרובות עם מידע אך יש הבדל בין נתונים למידע. הנתונים הינם גולמיים, לא מעובדים ולעתים קרובות אינם ניתנים לשימוש במצבם הנוכחי, בעוד שמידע הוא נתונים שעובדו לחלקי מידע שמישים כגון כתובת דואר אלקטרוני או מספר טלפון.
תשתית מתייחסת לכל הרכיבים המרכיבים את הרשת כולל שרתים והתקנים אחרים כגון מדפסות ונתבים וכו'.
תשתית יכולה לכלול גם תוכנות כמו מערכות הפעלה ויישומים שאמורות להיות מוגנת מפני התקפות סייבר בדיוק כמו החומרה שכן יש לשמור על שתיהן מעודכנות עם תיקונים ותיקונים לנקודות תורפה שהתגלו על ידי האקרים כדי שלא יוכלו להיות מעודכנים. מנוצל על ידי האקרים זדוניים שרוצים לקבל גישה לנתונים רגישים.
אבטחה פיזית מתייחסת לכל האמצעים הפיזיים המגנים על מתקנים ונכסים של ארגון. אבטחה פיזית היא החלק הבסיסי והחשוב ביותר באבטחת מידע. זה לא רק על נעילת הדלת אלא גם לדעת למי יש גישה למה, מתי, איפה ואיך.
היקפי אבטחה פיזיים משמשים לזיהוי הגבולות הפיזיים של בניין או אזור ולשלוט בגישה אליו. היקפי אבטחה פיזיים עשויים לכלול גדרות, חומות, שערים ומחסומים אחרים המונעים גישה בלתי מורשית של אנשים או כלי רכב. בנוסף למחסומים פיזיים, ניתן להשתמש בציוד מעקב אלקטרוני כגון מצלמות טלוויזיה במעגל סגור לניטור פעילות מחוץ למתקן.
היקפי אבטחה פיזיים מספקים קו ראשון של הגנה מפני פולשים שעלולים לנסות להיכנס למערכת המחשב שלך דרך כבל הרשת או החיבור האלחוטי בארגון. הם משמשים לעתים קרובות בשילוב עם סוגים אחרים של בקרות אבטחת מידע כגון ניהול זהויות, בקרת גישה ומערכות זיהוי פריצות.
תכונות הן דרך לסווג פקדים. תכונות מאפשרות לך להתאים במהירות את בחירת הבקרה שלך למפרט ולטרמינולוגיה טיפוסית של התעשייה. הפקדים הבאים זמינים בפקד 7.1.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ביטחון פיזי | #הֲגָנָה |
בקרה 7.1 מבטיחה שארגון יכול להוכיח שיש לו היקפי אבטחה פיזיים נאותים כדי למנוע גישה פיזית בלתי מורשית למידע ולנכסים קשורים אחרים.
זה כולל מניעת:
ניתן ליישם היקפי אבטחה פיזיים באמצעות שתי הקטגוריות הבאות:
בקרת גישה פיזית: מספקת בקרה על הכניסה למתקנים ומבנים, כמו גם על התנועה בתוכם. בקרות אלו כוללות נעילת דלתות, שימוש באזעקות על דלתות, שימוש בגדרות או מחסומים סביב מתקנים וכו'.
אבטחת חומרה: מספקת בקרה על ציוד פיזי (למשל, מחשבים) המשמשים ארגון לעיבוד נתונים כגון מדפסות וסורקים שעלולים להכיל מידע רגיש.
הטמעת בקרה זו עשויה לכסות גם שימוש בלתי מורשה בשטח מתקנים, ציוד ואספקה על מנת להגן על מידע ונכסים קשורים אחרים, כגון מסמכים, רשומות וציוד סודיים.
יש לשקול וליישם את ההנחיות הבאות במידת הצורך עבור היקפי אבטחה פיזיים:
ניתן לקבל מידע נוסף על מה כרוך בעמידה בדרישות הבקרה במסמך התקן ISO 27002:2022.
הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.
11 פקדים חדשים נוספו לגרסה זו של ISO 27002. עם זאת, פקד 7.1 אינו פקד חדש, אלא הוא גרסה שונה של פקד 11.1.1 בגרסת 2013 של ISO 27002. ההבדל העיקרי בין 2013 ל-2022 הגרסה היא שינוי מספר הבקרה.
מספר הבקרה 11.1.1 הוחלף ב-7.1. מלבד זאת, ההקשר והמשמעות דומים במידה רבה, למרות שהביטוי הזה שונה.
הבדל נוסף בין שני הפקדים הוא שדרישות היישום הופחתו בגרסת 2022.
הדרישות הבאות הזמינות בבקרה 11.1.1 של ISO 27002:2013 חסרות בבקרה 7.1:
השמטות אלו אינן הופכות בשום אופן את התקן החדש לפחות יעיל, במקום זאת הן הוסרו כדי להפוך את הבקרה החדשה ליותר ידידותית למשתמש.
קצין המידע הראשי הוא האחראי על אבטחת המידע. אדם זה אחראי ליישום מדיניות ונהלים להגנה על הנתונים והמערכות של החברה. ה-CIO עובד בדרך כלל עם מנהלים אחרים, כגון סמנכ"ל הכספים והמנכ"ל, כדי להבטיח שאמצעי אבטחה נלקחים בחשבון במהלך החלטות עסקיות.
סמנכ"ל הכספים מעורב גם בקבלת החלטות לגבי היקפי אבטחה פיזיים. הוא או היא עובדים עם חברים אחרים ב-C-suite - כולל ה-CIO - כדי לקבוע כמה כסף יש להקצות לאמצעי אבטחה פיזיים כמו מצלמות מעקב, בקרות גישה ואזעקות.
ה-ISO 27002:2022 החדש אינו עדכון משמעותי. לכן, אינך צריך ליישם שינויים רציניים כדי להיות תואם לגרסה העדכנית ביותר של ISO 27002.
עם זאת, עליך לשקול לבדוק את היישום הנוכחי שלך ולוודא שהוא תואם את הדרישות החדשות. בפרט, אם ביצעת שינויים כלשהם מאז פרסום הגרסה הקודמת בשנת 2013. כדאי להסתכל שוב על השינויים הללו כדי לראות אם הם עדיין תקפים או אם יש צורך לתקן אותם.
עם זאת, אתה יכול לקבל מידע נוסף על האופן שבו ה-ISO 27002 החדש ישפיע על תהליכי אבטחת המידע שלך ועל הסמכת ISO 27001 על ידי קריאת המדריך שלנו ISO 27002:2022.
ISMS.online יכול גם לעזור בהדגמת תאימות ל-ISO 27002 על ידי מתן מערכת מקוונת המאפשרת לך לאחסן את כל המסמכים שלך במקום אחד ולהפוך אותם לזמינים לכל מי שצריך אותם. המערכת גם מאפשרת ליצור רשימות בדיקה עבור כל מסמך, כך שיהיה קל לכל המעורבים בביצוע שינויים או עיון במסמכים כדי לראות מה צריך לעשות הלאה ומתי זה צריך להיעשות.
רוצים לראות איך זה עובד?
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |