ISO 27002:2022, בקרה 7.14 - סילוק מאובטח או שימוש חוזר בציוד

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

עסקים, צוות, עסוק, עובד, מדבר, קונספט

כאשר אין עוד צורך בציוד IT כגון כוננים חיצוניים, כונני USB, מחשבים ניידים או מדפסות, הם נהרסים פיזית, מוחזרים בחזרה למושכר, מועברים לצד שלישי, ממוחזרים או זמינים לשימוש חוזר כדי לבצע עסקים אחרים פעולות.

בהתחשב בכך שציוד זה עשוי להכיל נכסי מידע ותוכנות ברישיון, ארגונים צריכים להבטיח שכל המידע והתוכנות המורשות יימחקו באופן בלתי הפיך או יוחלפו לפני ההשלכה או השימוש החוזר. זה יעזור לשמור על סודיות המידע הכלול בציוד זה.

לדוגמה, אם ארגון משתמש בספק חיצוני של שירותי סילוק נכסי IT ומעביר לספק זה מחשבים ניידים, מדפסות וכוננים חיצוניים ישנים, ספק שירות זה עלול לקבל גישה בלתי מורשית למידע המתארח בציוד זה.

בקרה 7.14 מתייחסת כיצד ארגונים יכולים לשמור על סודיות המידע המאוחסן על הציוד שייפטר או יעשה בו שימוש חוזר על ידי יישום אמצעי ונהלי אבטחה מתאימים.

מטרת הבקרה 7.14

בקרה 7.14 מאפשרת לארגונים למנוע גישה בלתי מורשית למידע רגיש על ידי אישור שכל המידע והתוכנות המורשות המאוחסנות בציוד נמחקים או נמחקים באופן בלתי הפיך לפני שהציוד נפטר או מסופק לצדדים שלישיים לשימוש חוזר.

טבלת תכונות

בקרה 7.14 היא סוג מניעתי של בקרה דורש מארגונים לשמור על סודיות המידע מתארח בציוד שייפטר או ייפרס לשימוש חוזר על ידי קביעת ויישום נהלים ואמצעים מתאימים לסילוק ושימוש חוזר.

סוג הבקרה מאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ #סודיות #לְהַגֵן #ביטחון פיזי
#ניהול נכסים 		#הֲגָנָה
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

בעלות על שליטה 7.14

עמידה ב-Control 7.14 מחייבת הקמת נוהל סילוק נתונים-שימוש חוזר בארגון כולו, זיהוי כל הציוד והטמעת מנגנוני סילוק טכניים מתאימים ותהליך שימוש חוזר.

לפיכך, קצין המידע הראשי צריך להיות אחראי על הקמה, יישום ותחזוקה של נהלים ומנגנונים של סילוק ציוד ושימוש חוזר.

הנחיות כלליות בנושא ציות

ה-Control 7.14 מפרט ארבעה שיקולים מרכזיים שארגונים צריכים לקחת בחשבון לצורך תאימות:

  • יש לאמץ גישה פרואקטיבית

לפני ביצוע השלכה או שהציוד זמין לשימוש חוזר, ארגונים חייבים לאשר אם הציוד מכיל כזה נכסי מידע ותוכנות מורשות ועליו להבטיח שמידע או תוכנה כאלה יימחקו לצמיתות.

  • הרס פיזי או מחיקה בלתי ניתנת לשיחזור של מידע

בקרה 7.14 מפרטת שתי שיטות שבאמצעותן ניתן להסיר את המידע הכלול בציוד באופן מאובטח ולתמיד:

  1. יש להשמיד פיזית ציוד המארח התקני מדיה אחסון המכילים מידע.

  2. יש למחוק מידע המאוחסן בציוד, לדרוס או להרוס באופן שאינו ניתן לאחזור כך שגורמים זדוניים לא יוכלו לגשת למידע. מומלץ לארגונים לעיין ב-Control 7.10 על מדיית אחסון וב-Control 8.10 על מחיקת מידע.
  • הסרת כל התוויות והסימונים

רכיבי הציוד והמידע הכלול בו יכולים להיות בעלי תוויות וסימונים המזהים את הארגון או שחושפים את שמו של בעל הנכס, הרשת או רמת סיווג המידע שהוקצתה.

יש להשמיד את כל התוויות והסימונים הללו באופן בלתי הפיך.

  • הסרת בקרות

בהתחשב בתנאים הבאים, ארגונים עשויים לבחור להסיר את כל בקרות האבטחה כגון הגבלות גישה או מערכות מעקב כאשר הם מפנים מתקנים:

  1. תנאי הסכם השכירות התייחסו לתנאים שבהם יש להחזירו.

  2. ביטול והפחתת הסיכון של גישה לא מורשית למידע רגיש על ידי הדייר הבא.

  3. האם ניתן לעשות שימוש חוזר בבקרות הקיימות במתקן הבא.

ראה את הפלטפורמה שלנו
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

הנחיות משלימות בקרה 7.14

בנוסף להנחיה הכללית, בקרה 7.14 טומנת בחובה שלוש המלצות ספציפיות לארגונים.

ציוד פגום

כאשר ציוד פגום המכיל מידע נשלח לתיקון, הוא עלול להיות חשוף לסיכון של גישה לא מורשית על ידי צדדים שלישיים.

ארגונים צריכים לבצע א הערכת סיכונים תוך התחשבות ברמת הרגישות של המידע ושקול אם השמדת הציוד היא אפשרות מעשית יותר מאשר תיקון.

הצפנת דיסק מלא

בעוד שטכניקת הצפנת הדיסק המלא ממזערת מאוד את הסיכונים לסודיות המידע, עליה לעמוד בסטנדרטים הבאים:

  • ההצפנה חזקה והיא מכסה את כל חלקי הדיסק, כולל שטח רפוי.

  • מפתחות קריפטוגרפיים צריכים להיות ארוכים מספיק כדי למנוע התקפות של כוח גס.

  • ארגונים צריכים לשמור על סודיות מפתחות הצפנה. לדוגמה, מפתח ההצפנה לא אמור להיות מאוחסן באותו דיסק.

כלי כתיבה

ארגונים צריכים לבחור בטכניקת החלפה תוך התחשבות בקריטריונים הבאים:

  • רמת סיווג המידע שהוקצה לנכס המידע.

  • סוג אמצעי האחסון עליו נשמר המידע.

שינויים והבדלים מ-ISO 27002:2013

27002:2022/7.14 replaces 27002:2013/(11.2.7)

ה-Control 7.14 דומה במידה רבה למקבילו בגרסת 2013. עם זאת, ה-Control 7.14 בגרסת 2022 כולל דרישות מקיפות יותר בהנחיות הכלליות.

בניגוד לגרסת 2013, גירסת 2022 מציגה את הדרישות הבאות:

  • ארגונים צריכים להסיר את כל הסימונים והתוויות המזהים את הארגון, הרשת ורמת הסיווג.

  • ארגונים צריכים לשקול את הסרת הבקרות המיושמות על מתקן כאשר הם מפנים מתקן זה.

כיצד ISMS.online עוזר

ISMS.Online הוא פתרון מלא עבור ISO 27002 יישום.

זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות כי שלך מערכת ניהול אבטחת מידע (ISMS) תואם את התקנים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת.

צור קשר עוד היום כדי הזמן הדגמה.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף