ISO 27002:2022, בקרה 7.9 - אבטחת נכסים מחוץ לשטח

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

פנים, של, עכשווי, רב קומות, עסקים, מרכז, עם, גדולים, חלונות, ו

כאשר מכשירים המכילים נכסי מידע נלקחים מהשטח של ארגון, הם יהיו חשופים לסיכונים גבוהים יותר של נזק, אובדן, הרס, גניבה או פשרה.

זה בגלל ש בקרות אבטחה פיזיות מיושם בתוך מתקני הארגון לא יהיה אפקטיבי, מה שמשאיר את הנכסים שהועברו מחוץ לאתר חשופים לאיומים כגון סיכונים פיזיים וגישה לא מורשית על ידי גורמים זדוניים.

לדוגמה, עובדים שעובדים מחוץ לאתר יכולים להוציא מחשבים ארגוניים המכילים מידע רגיש מבית העסק, לעבוד בבית קפה או בלובי של מלון, להתחבר לרשת Wi-Fi ציבורית לא מאובטחת ולהשאיר את המכשירים שלהם ללא השגחה. כל אלה קיימים סיכונים לביטחון, סודיות, שלמות וזמינות המידע המתארח במכשירים אלה.

לכן, ארגונים צריכים להבטיח שמכשירים שהועברו מחוץ לאתר נשמרים מאובטחים.

שליטה בכתובות 7.9 כיצד ארגונים יכולים לשמור על האבטחה של מכשירים מחוץ לאתר המארחים נכסי מידע על ידי הקמת ויישום בקרות ונהלים מתאימים.

מטרת הבקרה 7.9

בקרה 7.9 מאפשרת לארגונים לשמור על אבטחת הציוד המכיל נכסי מידע על ידי מניעת שני סיכונים ספציפיים:

  • ביטול ו/או מזעור סיכונים לאובדן, נזק, הרס או פגיעה של מכשירים המכילים נכסי מידע כאשר הם נלקחים מחוץ לשטח.

  • מניעת ה סיכון של הפרעה לעיבוד המידע של הארגון פעילויות עקב פגיעה במכשירים מחוץ לאתר.

טבלת תכונות

בקרה 7.9 היא מונעת במהותה. היא מאפשרת לארגונים ליישם בקרות ונהלים מתאימים באופן מנע, כך שמכשירים שהוסרו משטח הארגון יזכו לאותה רמת הגנה הניתנת למכשירים הנמצאים באתר.

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן#ביטחון פיזי
#ניהול נכסים		#הֲגָנָה
קפוץ לנושא
עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

בעלות על שליטה 7.9

בקרה 7.9 מחייבת ארגונים להקים וליישם נהלים ובקרות המכסים את כל המכשירים שבבעלות הארגון או בשימוש מטעם הארגון. יתר על כן, יצירת מלאי נכסים ואישור ההנהלה העליונה לשימוש במכשירים אישיים חיוניים להגנה יעילה על מכשירים מחוץ לאתר.

לפיכך, על מנהל אבטחת המידע להתייעץ עם ההנהלה ובעלי הנכסים הרלוונטיים ועליו להיות אחראי על יצירה, יישום ותחזוקה של נהלים ואמצעים לשמירה על אבטחת המכשירים שהוסרו משטחי החברה.

הנחיות כלליות בנושא ציות

בקרה 7.9 מפרטת שש דרישות שארגונים צריכים לעמוד בהן בעת ​​תכנון ויישום אמצעים והנחיות להגנה על נכסים שנלקחו מחוץ לאתר:

  1. אין להשאיר ציוד מחשוב ואמצעי אחסון שנלקחו מחוץ לאתר כגון מחשבים ארגוניים, USB, כוננים קשיחים ומסכים ללא השגחה במרחבים ציבוריים כגון בתי קפה או בכל אזור לא מאובטח.

  2. יש לציית בכל עת להנחיות ומפרטי יצרן המכשיר לגבי ההגנה הפיזית של המכשיר הרלוונטי. לדוגמה, הוראות יצרן המכשיר עשויות לכלול כיצד להגן על המכשיר/הציוד מפני מים, חום, שדות אלקטרומגנטיים ואבק.

  3. עובדים ו/או ארגונים אחרים המוציאים ציוד מחשוב מחוץ לתחומי החברה עשויים להעביר ציוד זה לעובדים אחרים או לצדדים שלישיים. כדי לשמור על אבטחת הציוד הזה, ארגונים צריכים לנהל יומן שמגדיר את שרשרת המשמורת. רשומת יומן זה צריכה להכיל לפחות שמות של אנשים אחראי על המכשיר והארגון שלו.

  4. אם ארגון סבור שתהליך הרשאה הכרחי ומעשי להסרת ציוד מחוץ לשטחי החברה, עליו לקבוע וליישם נוהל אישור להוצאת ציוד מסוים מחוץ לאתר. הליך הרשאה זה צריך לכלול גם רישום של כל פעולות הסרת המכשיר כך שה לארגון יש מסלול ביקורת.

  5. יש ליישם אמצעים מתאימים כדי למנוע את הסיכון של צפייה לא מורשית במידע על המסך בתחבורה ציבורית.

  6. כלים למעקב אחר מיקום וגישה מרחוק צריכים להיות במקום כך שניתן יהיה לעקוב אחר המכשיר ולמחוק את המידע הכלול במכשיר מרחוק במידת הצורך.

הנחיות משלימות בקרה 7.9

בקרה 7.9 קובעת גם דרישות להגנה על ציוד המותקן מחוץ לשטחי החברה באופן קבוע.

ציוד זה עשוי לכלול אנטנות וכספומטים.

בהתחשב בכך שציוד זה עשוי להיות נתון לסיכונים מוגברים של נזק ואובדן, Control 7.9 דורשת מארגונים לקחת בחשבון את הדברים הבאים בעת הגנה על ציוד זה מחוץ לאתר:

  1. יש לשקול בקרה 7.4, כלומר ניטור האבטחה הפיזי.

  2. יש לקחת בחשבון בקרה 7.5, כלומר ההגנה מפני איומים סביבתיים ופיזיים

  3. בקרות גישה יש להקים וליישם אמצעים מתאימים למניעת חבלה.

  4. יש ליצור וליישם בקרות גישה לוגיות.

יתר על כן, בקרה 7.9 ממליצה לארגונים לשקול את בקרות 6.7 ו-8.1 בעת הגדרה ויישום אמצעים להגנה על מכשירים וציוד.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

שינויים והבדלים מ-ISO 27002:2013

27002:2022/ 7.9 מחליף את 27002:2013/(11.2.6)

ישנם שלושה הבדלים מרכזיים שצריך להדגיש:

  • בקרה 7.9 קובעת דרישות מקיפות יותר

בהשוואה לגרסת 2013, שליטה ב-7.9 בגרסת 2022 מציג את שתי הדרישות הבאות:

  1. יש ליישם אמצעים מתאימים כדי למנוע את הסיכון של צפייה לא מורשית במידע על המסך בתחבורה ציבורית.

  2. כלים למעקב אחר מיקום וגישה מרחוק צריכים להיות במקום כך שניתן יהיה לעקוב אחר המכשיר ולמחוק את המידע הכלול במכשיר מרחוק במידת הצורך.
  • Control 7.9 מציג דרישות חדשות עבור התקנים מחוץ לתחום המותקנים באופן קבוע

בניגוד לגרסת 2013, קונטרול 7.9 בגרסת 2022 מכיל הדרכה נפרדת על הגנה על ציוד המותקן באופן קבוע במקום מחוץ לאתר.

אלה עשויים לכלול אנטנות וכספומטים.

  • איסור על עבודה מרחוק למניעת סיכונים

גרסת 2013 קבעה במפורש כי ארגונים עשויים לאסור על עובדים לעבוד מרחוק כאשר הדבר מתאים לרמת הסיכון שזוהתה. גרסת 2022, לעומת זאת, אינה מתייחסת לאמצעי כזה.

כיצד ISMS.online עוזר

אתה יכול להשתמש ב-ISMS.online כדי לנהל את הטמעת ISO 27002 שלך, שכן הוא תוכנן במיוחד כדי לסייע לחברה ביישום מערכת ניהול אבטחת המידע שלה (ISMS) כדי לעמוד בדרישות של ISO 27002.

הפלטפורמה משתמשת בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הדרושות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.

צור קשר עוד היום כדי הזמן הדגמה.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף