כאשר מכשירים המכילים נכסי מידע נלקחים מהשטח של ארגון, הם יהיו חשופים לסיכונים גבוהים יותר של נזק, אובדן, הרס, גניבה או פשרה.
זה בגלל ש בקרות אבטחה פיזיות מיושם בתוך מתקני הארגון לא יהיה אפקטיבי, מה שמשאיר את הנכסים שהועברו מחוץ לאתר חשופים לאיומים כגון סיכונים פיזיים וגישה לא מורשית על ידי גורמים זדוניים.
לדוגמה, עובדים שעובדים מחוץ לאתר יכולים להוציא מחשבים ארגוניים המכילים מידע רגיש מבית העסק, לעבוד בבית קפה או בלובי של מלון, להתחבר לרשת Wi-Fi ציבורית לא מאובטחת ולהשאיר את המכשירים שלהם ללא השגחה. כל אלה קיימים סיכונים לביטחון, סודיות, שלמות וזמינות המידע המתארח במכשירים אלה.
לכן, ארגונים צריכים להבטיח שמכשירים שהועברו מחוץ לאתר נשמרים מאובטחים.
שליטה בכתובות 7.9 כיצד ארגונים יכולים לשמור על האבטחה של מכשירים מחוץ לאתר המארחים נכסי מידע על ידי הקמת ויישום בקרות ונהלים מתאימים.
בקרה 7.9 מאפשרת לארגונים לשמור על אבטחת הציוד המכיל נכסי מידע על ידי מניעת שני סיכונים ספציפיים:
בקרה 7.9 היא מונעת במהותה. היא מאפשרת לארגונים ליישם בקרות ונהלים מתאימים באופן מנע, כך שמכשירים שהוסרו משטח הארגון יזכו לאותה רמת הגנה הניתנת למכשירים הנמצאים באתר.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ביטחון פיזי #ניהול נכסים | #הֲגָנָה |
בקרה 7.9 מחייבת ארגונים להקים וליישם נהלים ובקרות המכסים את כל המכשירים שבבעלות הארגון או בשימוש מטעם הארגון. יתר על כן, יצירת מלאי נכסים ואישור ההנהלה העליונה לשימוש במכשירים אישיים חיוניים להגנה יעילה על מכשירים מחוץ לאתר.
לפיכך, על מנהל אבטחת המידע להתייעץ עם ההנהלה ובעלי הנכסים הרלוונטיים ועליו להיות אחראי על יצירה, יישום ותחזוקה של נהלים ואמצעים לשמירה על אבטחת המכשירים שהוסרו משטחי החברה.
בקרה 7.9 מפרטת שש דרישות שארגונים צריכים לעמוד בהן בעת תכנון ויישום אמצעים והנחיות להגנה על נכסים שנלקחו מחוץ לאתר:
בקרה 7.9 קובעת גם דרישות להגנה על ציוד המותקן מחוץ לשטחי החברה באופן קבוע.
ציוד זה עשוי לכלול אנטנות וכספומטים.
בהתחשב בכך שציוד זה עשוי להיות נתון לסיכונים מוגברים של נזק ואובדן, Control 7.9 דורשת מארגונים לקחת בחשבון את הדברים הבאים בעת הגנה על ציוד זה מחוץ לאתר:
יתר על כן, בקרה 7.9 ממליצה לארגונים לשקול את בקרות 6.7 ו-8.1 בעת הגדרה ויישום אמצעים להגנה על מכשירים וציוד.
27002:2022/ 7.9 מחליף את 27002:2013/(11.2.6)
ישנם שלושה הבדלים מרכזיים שצריך להדגיש:
בהשוואה לגרסת 2013, שליטה ב-7.9 בגרסת 2022 מציג את שתי הדרישות הבאות:
בניגוד לגרסת 2013, קונטרול 7.9 בגרסת 2022 מכיל הדרכה נפרדת על הגנה על ציוד המותקן באופן קבוע במקום מחוץ לאתר.
אלה עשויים לכלול אנטנות וכספומטים.
גרסת 2013 קבעה במפורש כי ארגונים עשויים לאסור על עובדים לעבוד מרחוק כאשר הדבר מתאים לרמת הסיכון שזוהתה. גרסת 2022, לעומת זאת, אינה מתייחסת לאמצעי כזה.
אתה יכול להשתמש ב-ISMS.online כדי לנהל את הטמעת ISO 27002 שלך, שכן הוא תוכנן במיוחד כדי לסייע לחברה ביישום מערכת ניהול אבטחת המידע שלה (ISMS) כדי לעמוד בדרישות של ISO 27002.
הפלטפורמה משתמשת בגישה מבוססת סיכונים בשילוב עם שיטות עבודה ותבניות מומלצות מהמובילות בתעשייה כדי לעזור לך לזהות את הסיכונים העומדים בפני הארגון שלך ואת הבקרות הדרושות לניהול סיכונים אלו. זה מאפשר לך להפחית באופן שיטתי הן את חשיפת הסיכון והן את עלויות הציות שלך.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |