דיור נכסי מידע רגיש באזורים מאובטחים כגון חדרי שרת מאובטחים ויישום בקרות גישה קפדניות אינו מספיק כדי לשמור על אבטחת הנכסים הללו:
בקרה 7.6 עוסקת כיצד ארגונים יכולים להגן על נכסי מידע מאוחסנים באזורים מאובטחים מפני הסיכונים השונים הנשקפים מכוח אדם הפועל באזורים אלו.
בקרה 7.6 מאפשרת לארגונים להקים אמצעי אבטחה מתאימים החלים על כל הצוות שעובד באזורים מאובטחים כך שלא יוכלו לגשת, להשתמש, לשנות, להרוס, להזיק או להפריע לנכסי מידע או מתקני מידע ללא אישור.
בקרה 7.6 היא מונעת במהותה דורש מארגונים לשמור על אבטחה, סודיות, יושרה וזמינות של נכסי מידע המאוחסנים באזורים מאובטחים על ידי ביטול סיכונים שעלולים להיווצר עקב התנהגות בלתי הולמת של אנשי הצוות.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ביטחון פיזי | #הֲגָנָה |
בהתחשב בכך שבקרה 7.6 מחייבת ארגונים לתכנן ולהפעיל אמצעי אבטחה החלים על כל הפעולות המתבצעות באזורים מאובטחים, קצין אבטחת מידע (ISO) צריך להיות אחראי ליצור, ליישם ולתחזק אמצעי אבטחה מתאימים תוך התחשבות ברמת הסיכון לכל אזור מאובטח ייעודי.
בתכנון ויישום בקרות האבטחה המתאימות באזורים מאובטחים, קצין אבטחת המידע עשוי לשתף פעולה עם צוות ניהול המתקנים ובעלי נכסי מידע כדי ליישם את האמצעים המתוכננים ביעילות.
בקרה 7.6 מדגישה שאמצעי אבטחה צריכים לכסות את כל הצוות העובדים באזורים מאובטחים וצריכים לחול על כל הפעילויות המתבצעות באזורים אלה.
אמנם סוג ודרגת אמצעי האבטחה המיושמים עשויים להשתנות בהתאם לרמת הסיכון לנכסי מידע ספציפיים, בקרה 7.6 מפרטת שש דרישות ספציפיות שארגונים צריכים לעמוד בהן:
27002:2022/7.6 replaces 27002:2013/(11.1.5)
בעוד ששתי הגרסאות דומות במידה מסוימת, גרסת 2022 מקיפה יותר מבחינת הדרישות לאמצעי אבטחה שיש ליישם.
במיוחד, גרסת 2022 מציגה שתי דרישות חדשות שארגונים צריכים לקחת בחשבון בעת יישום אמצעי אבטחה עבור אזורים מאובטחים:
ISO 27002 היישום פשוט יותר עם רשימת הצ'ק-אחר-שלב שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף האיזמים באמצעות זיהוי סיכונים ויישום בקרה.
צור קשר עוד היום כדי הזמן הדגמה.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |