ISO 27002, בקרה 7.1, היקפי אבטחה פיזית

ISO 27002:2022 – בקרה 7.1 – היקפי אבטחה פיזית

ISO 27002:2022 בקרה 7.1 מכסה היקפי אבטחה פיזיים, תוך שימת דגש על מחסומים, מעקבים ובקרות גישה כדי להגן על נכסי מידע מפני גישה בלתי מורשית או שיבוש. הוא גם מדגיש שינויים מ-ISO 27001:2013 נספח A 11.1.1, המפשט את דרישות היישום.

מהי Control 7.1?

בקרה 7.1 ב-ISO 27002:2022 החדש מכסה את הצורך של ארגונים להגדיר ולהגדיר היקפי אבטחה ולהשתמש בפרמטרים אלה כדי להגן על אזורים המכילים מידע ונכסים קשורים אחרים.

נכסי מידע ואבטחת מידע מוסברים

ניתן להגדיר מידע ככל נתון, מידע או ידע שיש להם ערך לארגון או לעסק שלך. זה כולל כל מידע שנאסף על אנשים, לקוחות, שותפים, עובדים ובעלי עניין אחרים.

ניתן לחלק נכסי אבטחת מידע באופן נרחב ל:

נתונים

נתונים מבולבלים לעתים קרובות עם מידע אך יש הבדל בין נתונים למידע. הנתונים הינם גולמיים, לא מעובדים ולעתים קרובות אינם ניתנים לשימוש במצבם הנוכחי, בעוד שמידע הוא נתונים שעובדו לחלקי מידע שמישים כגון כתובת דואר אלקטרוני או מספר טלפון.

תשתית

תשתית מתייחסת לכל הרכיבים המרכיבים את הרשת כולל שרתים והתקנים אחרים כגון מדפסות ונתבים וכו'.

תשתית יכולה לכלול גם תוכנות כמו מערכות הפעלה ויישומים שאמורות להיות מוגנת מפני התקפות סייבר בדיוק כמו החומרה שכן יש לשמור על שתיהן מעודכנות עם תיקונים ותיקונים לנקודות תורפה שהתגלו על ידי האקרים כדי שלא יוכלו להיות מעודכנים. מנוצל על ידי האקרים זדוניים שרוצים לקבל גישה לנתונים רגישים.

היקפי אבטחה פיזיים מוסברים

אבטחה פיזית מתייחסת לכל האמצעים הפיזיים המגנים על מתקנים ונכסים של ארגון. אבטחה פיזית היא החלק הבסיסי והחשוב ביותר באבטחת מידע. זה לא רק על נעילת הדלת אלא גם לדעת למי יש גישה למה, מתי, איפה ואיך.

היקפי אבטחה פיזיים משמשים לזיהוי הגבולות הפיזיים של בניין או אזור ולשלוט בגישה אליו. היקפי אבטחה פיזיים עשויים לכלול גדרות, חומות, שערים ומחסומים אחרים המונעים גישה בלתי מורשית של אנשים או כלי רכב. בנוסף למחסומים פיזיים, ניתן להשתמש בציוד מעקב אלקטרוני כגון מצלמות טלוויזיה במעגל סגור לניטור פעילות מחוץ למתקן.

היקפי אבטחה פיזיים מספקים קו ראשון של הגנה מפני פולשים שעלולים לנסות להיכנס למערכת המחשב שלך דרך כבל הרשת או החיבור האלחוטי בארגון. הם משמשים לעתים קרובות בשילוב עם סוגים אחרים של בקרות אבטחת מידע כגון ניהול זהויות, בקרת גישה ומערכות זיהוי פריצות.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

טבלת בקרה של תכונות 7.1

תכונות הן דרך לסווג פקדים. תכונות מאפשרות לך להתאים במהירות את בחירת הבקרה שלך למפרט ולטרמינולוגיה טיפוסית של התעשייה. הפקדים הבאים זמינים בפקד 7.1.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ביטחון פיזי	#הֲגָנָה
	#יושרה
	#זמינות

בקרה 7.1 מבטיחה שארגון יכול להוכיח שיש לו היקפי אבטחה פיזיים נאותים כדי למנוע גישה פיזית בלתי מורשית למידע ולנכסים קשורים אחרים.

זה כולל מניעת:

כניסה לא מורשית למבנים, חדרים או אזורים המכילים נכסי מידע;
הסרה בלתי מורשית של נכסים מהמקום;
שימוש לא מורשה בנכסים במקום (למשל, מחשבים והתקנים הקשורים למחשבים); ו
גישה לא מורשית לציוד תקשורת אלקטרוני כגון טלפונים, מכשירי פקס ומסופי מחשב (למשל, התעסקות בלתי מורשית).

ניתן ליישם היקפי אבטחה פיזיים באמצעות שתי הקטגוריות הבאות:

בקרת גישה פיזית: מספקת בקרה על הכניסה למתקנים ומבנים, כמו גם על התנועה בתוכם. בקרות אלו כוללות נעילת דלתות, שימוש באזעקות על דלתות, שימוש בגדרות או מחסומים סביב מתקנים וכו'.

אבטחת חומרה: מספקת בקרה על ציוד פיזי (למשל, מחשבים) המשמשים ארגון לעיבוד נתונים כגון מדפסות וסורקים שעלולים להכיל מידע רגיש.

הטמעת בקרה זו עשויה לכסות גם שימוש בלתי מורשה בשטח מתקנים, ציוד ואספקה על מנת להגן על מידע ונכסים קשורים אחרים, כגון מסמכים, רשומות וציוד סודיים.

מה כרוך ואיך לעמוד בדרישות

יש לשקול וליישם את ההנחיות הבאות במידת הצורך עבור היקפי אבטחה פיזיים:

הגדרת היקפי אבטחה והמיקום והחוזק של כל אחד מההיקפים בהתאם לדרישות אבטחת המידע הקשורות לנכסים בתוך ההיקף.
קיום היקפים תקינים פיזית לבניין או אתר המכילים מתקני עיבוד מידע (כלומר לא צריכים להיות פערים בהיקפים או באזורים שבהם יכולה להתרחש בקלות פריצה).
הגגות החיצוניים, הקירות, התקרות והריצוף של האתר צריכים להיות בעלי מבנה מוצק וכל הדלתות החיצוניות צריכות להיות מוגנות כראוי מפני גישה בלתי מורשית באמצעות מנגנוני בקרה (כגון סורגים, אזעקות, מנעולים).
יש לנעול דלתות וחלונות ללא השגחה ויש לשקול הגנה חיצונית לחלונות, במיוחד בגובה פני הקרקע; יש לקחת בחשבון גם נקודות אוורור.

ניתן לקבל מידע נוסף על מה כרוך בעמידה בדרישות הבקרה במסמך התקן ISO 27002:2022.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

הגרסה החדשה של 2022 של ISO 27002 פורסמה ב-15 בפברואר 2022, והיא שדרוג של ISO 27002:2013.

11 פקדים חדשים נוספו לגרסה זו של ISO 27002. עם זאת, פקד 7.1 אינו פקד חדש, אלא הוא גרסה שונה של פקד 11.1.1 בגרסת 2013 של ISO 27002. ההבדל העיקרי בין 2013 ל-2022 הגרסה היא שינוי מספר הבקרה.

מספר הבקרה 11.1.1 הוחלף ב-7.1. מלבד זאת, ההקשר והמשמעות דומים במידה רבה, למרות שהביטוי הזה שונה.

הבדל נוסף בין שני הפקדים הוא שדרישות היישום הופחתו בגרסת 2022.

הדרישות הבאות הזמינות בבקרה 11.1.1 של ISO 27002:2013 חסרות בבקרה 7.1:

יש להתקין אזור קבלה מאויש או אמצעי אחר לשליטה בגישה הפיזית לאתר או לבניין.
יש להגביל את הגישה לאתרים ולבניינים לצוות מורשה בלבד.
יש לבנות מחסומים פיזיים, היכן שניתן, כדי למנוע גישה פיזית בלתי מורשית וזיהום סביבתי.
יש להתקין מערכות מתאימות לזיהוי פולשים לפי סטנדרטים לאומיים, אזוריים או בינלאומיים ולבדוק באופן קבוע כדי לכסות את כל הדלתות החיצוניות והחלונות הנגישים.
יש להיבהל כל הזמן באזורים שאינם כבושים.
יש לספק כיסוי גם לאזורים אחרים, למשל חדר מחשבים או חדרי תקשורת.
מתקני עיבוד מידע המנוהלים על ידי הארגון צריכים להיות מופרדים פיזית מאלה המנוהלים על ידי גורמים חיצוניים.

השמטות אלו אינן הופכות בשום אופן את התקן החדש לפחות יעיל, במקום זאת הן הוסרו כדי להפוך את הבקרה החדשה ליותר ידידותית למשתמש.

מי אחראי על התהליך הזה?

קצין המידע הראשי הוא האחראי על אבטחת המידע. אדם זה אחראי ליישום מדיניות ונהלים להגנה על הנתונים והמערכות של החברה. ה-CIO עובד בדרך כלל עם מנהלים אחרים, כגון סמנכ"ל הכספים והמנכ"ל, כדי להבטיח שאמצעי אבטחה נלקחים בחשבון במהלך החלטות עסקיות.

סמנכ"ל הכספים מעורב גם בקבלת החלטות לגבי היקפי אבטחה פיזיים. הוא או היא עובדים עם חברים אחרים ב-C-suite - כולל ה-CIO - כדי לקבוע כמה כסף יש להקצות לאמצעי אבטחה פיזיים כמו מצלמות מעקב, בקרות גישה ואזעקות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

מה המשמעות של השינויים הללו עבורך?

ה-ISO 27002:2022 החדש אינו עדכון משמעותי. לכן, אינך צריך ליישם שינויים רציניים כדי להיות תואם לגרסה העדכנית ביותר של ISO 27002.

עם זאת, עליך לשקול לבדוק את היישום הנוכחי שלך ולוודא שהוא תואם את הדרישות החדשות. בפרט, אם ביצעת שינויים כלשהם מאז פרסום הגרסה הקודמת בשנת 2013. כדאי להסתכל שוב על השינויים הללו כדי לראות אם הם עדיין תקפים או אם יש צורך לתקן אותם.

עם זאת, אתה יכול לקבל מידע נוסף על האופן שבו ה-ISO 27002 החדש ישפיע על תהליכי אבטחת המידע שלך ועל הסמכת ISO 27001 על ידי קריאת המדריך שלנו ISO 27002:2022.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.Online עוזר

ISMS.online יכול גם לעזור בהדגמת תאימות ל-ISO 27002 על ידי מתן מערכת מקוונת המאפשרת לך לאחסן את כל המסמכים שלך במקום אחד ולהפוך אותם לזמינים לכל מי שצריך אותם. המערכת גם מאפשרת ליצור רשימות בדיקה עבור כל מסמך, כך שיהיה קל לכל המעורבים בביצוע שינויים או עיון במסמכים כדי לראות מה צריך לעשות הלאה ומתי זה צריך להיעשות.

רוצים לראות איך זה עובד?

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו