ISO 27002, Control 7.7, Clear Desk ומסך ברור

ISO 27002:2022 – בקרה 7.7 – Clear Desk ומסך ברור

ISO 27002:2022 בקרה 7.7 מדגיש את החשיבות של מדיניות ברורה של שולחן עבודה ומסך כדי להגן על מידע רגיש על ידי הבטחת סביבות עבודה ומכשירים מאובטחים ללא השגחה. הוא מדגיש דרישות מעודכנות, כולל נעילת חומרים, ניתוק התקנים ושימוש בפסק זמן אוטומטי כדי לשפר את אבטחת המידע.

ISO 27002 בקרה 7.7: חיזוק האבטחה עם נוהלי שולחן ומסך ברורים

כאשר עובד עוזב את עמדת העבודה שלו ללא השגחה, מידע רגיש הכלול בחומרים דיגיטליים ופיזיים בסביבת העבודה שלו יהיה חשוף לסיכון מוגבר של גישה לא מורשית, אובדן סודיות ונזק.

לדוגמה, אם עובד משתמש בכלי לניהול קשרי לקוחות המעבד רשומות בריאות ומשאיר את המחשב שלו ללא השגחה במהלך הפסקת צהריים, גורמים זדוניים עלולים לנצל את ההזדמנות הזו כדי לגנוב ולהשתמש לרעה בנתוני בריאות רגישים.

בקרה 7.7 מתייחסת לאופן שבו ארגונים יכולים לעצב ולאכוף כללי שולחן ברורים ומסך ברורים כדי להגן ולשמור על סודיות המידע הרגיש במסכים דיגיטליים ובניירות.

מטרה על בקרה 7.7

בקרה 7.7 מאפשרת לארגונים לחסל ו/או להפחית את הסיכונים של גישה לא מורשית, שימוש, נזק או אובדן של מידע רגיש במסכים ובניירות הנמצאים בתחנות עבודה של עובדים כאשר העובדים אינם נוכחים.

טבלת בקרה של תכונות 7.7

בקרה 7.7 היא סוג מניעתי של בקרה המחייב ארגונים לשמור על סודיות נכסי המידע על ידי תיאור ואכיפת כללי שולחן ברורים וכללי מסך ברורים.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ביטחון פיזי	#הֲגָנָה

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 7.7

בהתחשב בכך ש-Control 7.7 מחייב ארגונים לאמץ וליישם מדיניות שולחן ברורה ומסך ברור כלל-ארגוני, קציני אבטחת מידע צריכים להיות אחראים לייצור, תחזוקה ואכיפה של כללי שולחן ברורים וכללי מסך ברורים החלים על הארגון כולו.

הנחיות כלליות בנושא ציות

בקרה 7.7 מדגישה שארגונים צריכים ליצור ולאכוף מדיניות ספציפית לנושא, המגדירה כללי שולחן ברורים וכללי מסך ברורים.

יתרה מזאת, Control 7.7 מפרטת שבע דרישות ספציפיות שארגונים צריכים לקחת בחשבון בעת הקמת ואכיפה של כללי שולחן ברורים וכללי מסך ברורים:

רגיש או ביקורתי נכסי מידע המאוחסנים על פריטים דיגיטליים או פיזיים צריכים להיות נעולים בצורה מאובטחת כאשר הם אינם בשימוש או כאשר תחנת העבודה המארחת את החומרים הללו מתפנה. לדוגמה, פריטים כגון רשומות נייר, מחשבים ומדפסות צריכים להיות מאוחסנים ברהיטים מאובטחים כגון ארון או מגירה נעולים או מוגנים בסיסמה.
יש להגן על מכשירים המשמשים עובדים כגון מחשבים, סורקים, מדפסות ומחברות באמצעות מנגנוני אבטחה כגון מנעולי מפתחות כאשר הם אינם בשימוש או כאשר הם נותרים ללא השגחה.
כאשר עובדים מפנים את סביבת העבודה שלהם ומשאירים את המכשירים שלהם ללא השגחה, עליהם להשאיר את המכשירים שלהם מנותקים וההפעלה מחדש של המכשיר צריכה להיות רק באמצעות מנגנון אימות משתמש. יתר על כן, יש להתקין תכונות פסק זמן ויציאה אוטומטיות בכל מכשירי העובדים בנקודת הקצה, כגון מחשבים.
יש לעצב את המדפסות בצורה שתדפיסים נאספים מיד על ידי האדם (המקור) שהדפיס את המסמך. יתר על כן, מנגנון אימות חזק צריך להיות במקום כך שרק המקור רשאי לאסוף את התדפיס.
חומרים פיזיים ואמצעי אחסון נשלפים המכילים מידע רגיש צריכים להיות מאובטחים בכל עת. כאשר אין בהם עוד צורך, יש להשליך אותם באמצעות מנגנון מאובטח.
ארגונים צריכים ליצור כללים להצגת חלונות קופצים במסכים ויש למסור כללים אלו לכל העובדים הרלוונטיים. למשל, חלונות קופצים של דואר אלקטרוני והודעות יכולים להכיל מידע רגיש ואם הם מוצגים על המסך במהלך מצגת או במרחב ציבורי, הדבר עלול לסכן את סודיות המידע הרגיש.
יש למחוק מידע רגיש או קריטי המוצג על לוחות ציור כאשר אין בהם עוד צורך.

הנחיות משלימות – בקרה 7.7

בקרה 7.7 מזהירה ארגונים מפני סיכונים הנובעים ממתקנים שהתפנו. כאשר ארגון מפנה מתקן, חומרים פיזיים ודיגיטליים שאוחסנו בעבר באותו מתקן צריכים להיות הוסר בצורה מאובטחת כך שמידע רגיש לא נותר חסר ביטחון.

לכן, בקרה 7.7 מחייבת ארגונים לקבוע נהלים לחופשת מתקנים כך שכל נכסי מידע רגיש השוכנים במתקן זה מסולקים בצורה מאובטחת. נהלים אלו עשויים לכלול ביצוע סוויפ אחרון כך ששום מידע רגיש לא יישאר ללא הגנה.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/7.7 replaces 27002:2013/(11.2.9)

ישנם שני הבדלים משמעותיים בין גרסאות 2022 ל-2013.

גרסת 2022 אינה מתייחסת לקריטריונים שיש לקחת בחשבון בעת הקמת ויישום כללי שולחן ברורים וכללי מסך ברורים.

בניגוד לגרסת 2022, גרסת 2013 קבעה במפורש כי ארגונים צריכים לשקול רמות סיווג מידע כלל-ארגוניות, דרישות משפטיות וחוזיות, וסוגי הסיכונים העומדים בפני הארגון בעת קביעת מדיניות שולחן ברורה ומסך ברור.

השמיים גרסת ISO 27002:2022, לעומת זאת, אינו מתייחס למרכיבים אלה.

גרסת 2022 מציגה דרישות חדשות ומקיפות יותר לשולחן העבודה הברור וכללי המסך הברורים.

בניגוד לגרסת 2013, גרסת 2022 מגדירה את הדרישות הבאות שעל ארגונים לקחת בחשבון בעת הקמת כללי שולחן ברורים וכללי מסך ברורים.

ארגונים צריכים ליצור כללים ספציפיים במסכי קופצים כדי לשמור על סודיות המידע הרגיש.
יש להסיר מידע רגיש שנכתב על לוחות ציור כאשר אין בהם עוד צורך.
יש להגן על התקני נקודת קצה של עובדים כגון מחשבים באמצעות מנעולי מפתח כאשר הם אינם בשימוש או כאשר הם נותרים ללא פיקוח.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך. שלך שלם פתרון תאימות עבור ISO/IEC 27002:2022.

התקדמות של עד 81% מרגע הכניסה
פתרון תאימות פשוט ומוחלט

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו