כאשר אין עוד צורך בציוד IT כגון כוננים חיצוניים, כונני USB, מחשבים ניידים או מדפסות, הם נהרסים פיזית, מוחזרים בחזרה למושכר, מועברים לצד שלישי, ממוחזרים או זמינים לשימוש חוזר כדי לבצע עסקים אחרים פעולות.
בהתחשב בכך שציוד זה עשוי להכיל נכסי מידע ותוכנות ברישיון, ארגונים צריכים להבטיח שכל המידע והתוכנות המורשות יימחקו באופן בלתי הפיך או יוחלפו לפני ההשלכה או השימוש החוזר. זה יעזור לשמור על סודיות המידע הכלול בציוד זה.
לדוגמה, אם ארגון משתמש בספק חיצוני של שירותי סילוק נכסי IT ומעביר לספק זה מחשבים ניידים, מדפסות וכוננים חיצוניים ישנים, ספק שירות זה עלול לקבל גישה בלתי מורשית למידע המתארח בציוד זה.
בקרה 7.14 מתייחסת כיצד ארגונים יכולים לשמור על סודיות המידע המאוחסן על הציוד שייפטר או יעשה בו שימוש חוזר על ידי יישום אמצעי ונהלי אבטחה מתאימים.
בקרה 7.14 מאפשרת לארגונים למנוע גישה בלתי מורשית למידע רגיש על ידי אישור שכל המידע והתוכנות המורשות המאוחסנות בציוד נמחקים או נמחקים באופן בלתי הפיך לפני שהציוד נפטר או מסופק לצדדים שלישיים לשימוש חוזר.
בקרה 7.14 היא סוג מניעתי של בקרה דורש מארגונים לשמור על סודיות המידע מתארח בציוד שייפטר או ייפרס לשימוש חוזר על ידי קביעת ויישום נהלים ואמצעים מתאימים לסילוק ושימוש חוזר.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות | #לְהַגֵן | #ביטחון פיזי #ניהול נכסים | #הֲגָנָה |
עמידה ב-Control 7.14 מחייבת הקמת נוהל סילוק נתונים-שימוש חוזר בארגון כולו, זיהוי כל הציוד והטמעת מנגנוני סילוק טכניים מתאימים ותהליך שימוש חוזר.
לפיכך, קצין המידע הראשי צריך להיות אחראי על הקמה, יישום ותחזוקה של נהלים ומנגנונים של סילוק ציוד ושימוש חוזר.
ה-Control 7.14 מפרט ארבעה שיקולים מרכזיים שארגונים צריכים לקחת בחשבון לצורך תאימות:
לפני ביצוע השלכה או שהציוד זמין לשימוש חוזר, ארגונים חייבים לאשר אם הציוד מכיל כזה נכסי מידע ותוכנות מורשות ועליו להבטיח שמידע או תוכנה כאלה יימחקו לצמיתות.
בקרה 7.14 מפרטת שתי שיטות שבאמצעותן ניתן להסיר את המידע הכלול בציוד באופן מאובטח ולתמיד:
רכיבי הציוד והמידע הכלול בו יכולים להיות בעלי תוויות וסימונים המזהים את הארגון או שחושפים את שמו של בעל הנכס, הרשת או רמת סיווג המידע שהוקצתה.
יש להשמיד את כל התוויות והסימונים הללו באופן בלתי הפיך.
בהתחשב בתנאים הבאים, ארגונים עשויים לבחור להסיר את כל בקרות האבטחה כגון הגבלות גישה או מערכות מעקב כאשר הם מפנים מתקנים:
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
בנוסף להנחיה הכללית, בקרה 7.14 טומנת בחובה שלוש המלצות ספציפיות לארגונים.
כאשר ציוד פגום המכיל מידע נשלח לתיקון, הוא עלול להיות חשוף לסיכון של גישה לא מורשית על ידי צדדים שלישיים.
ארגונים צריכים לבצע א הערכת סיכונים תוך התחשבות ברמת הרגישות של המידע ושקול אם השמדת הציוד היא אפשרות מעשית יותר מאשר תיקון.
בעוד שטכניקת הצפנת הדיסק המלא ממזערת מאוד את הסיכונים לסודיות המידע, עליה לעמוד בסטנדרטים הבאים:
ארגונים צריכים לבחור בטכניקת החלפה תוך התחשבות בקריטריונים הבאים:
27002:2022/7.14 replaces 27002:2013/(11.2.7)
ה-Control 7.14 דומה במידה רבה למקבילו בגרסת 2013. עם זאת, ה-Control 7.14 בגרסת 2022 כולל דרישות מקיפות יותר בהנחיות הכלליות.
בניגוד לגרסת 2013, גירסת 2022 מציגה את הדרישות הבאות:
ISMS.Online הוא פתרון מלא עבור ISO 27002 יישום.
זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות כי שלך מערכת ניהול אבטחת מידע (ISMS) תואם את התקנים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |