An 'מתקן לעיבוד מידע' (IPF) הוא מונח רחב המשמש לתיאור כל חלק של תשתית ICT המעורבת בעיבוד נתונים, כגון ציוד IT, תוכנה ומתקנים ומיקומים פיזיים.
IPFs ממלאים תפקיד מפתח בשמירה על המשכיות עסקית והבטחת תפעול חלק של רשתות ה-ICT של הארגון. כדי להגביר את החוסן, ארגונים צריכים ליישם אמצעים המגבירים את היתירות של ה-IPF שלהם - כלומר מתודולוגיות ותהליכים בטוחים כישלון המפחיתים את הסיכון למערכות ולנתונים במקרה של כשל, שימוש לרעה או חדירה.
שליטה 8.14 היא א בקרה מונעת זֶה שומר על סיכון על ידי יישום תוכניות ונהלים השומרים על הפעילות הרציפה של מתקני עיבוד מידע, ועל ידי פרוקסי, כל רשת ה-ICT של הארגון.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #זמינות | #לְהַגֵן | #הֶמשֵׁכִיוּת #ניהול נכסים | #הֲגָנָה #כּוֹשֵׁר הִתאוֹשְׁשׁוּת |
בקרה 8.14 מתייחס ליכולת של ארגון להמשיך לעשות עסקים במקרה של כשלים קריטיים או קלים שיש להם פוטנציאל להשפיע על החוסן. ככזה, הבעלות על 8.14 צריכה להיות אצל מנהל התפעול הראשי, או שווה ערך ארגוני.
המטרה העליונה של Control 8.14 היא להגדיל את הזמינות של מה ש-ISO מחשיב שירותים עסקיים ו מערכות מידע, אשר יכול להתפרש ככל היבט של רשת המאפשר לארגון לנהל עסקים.
בקרה 8.14 דוגלת ב כפילות כשיטות העיקריות להשגת יתירות על פני ה-IPF השונים שלה, בעיקר באמצעות שמירה על מלאי של חלקי חילוף, רכיבים כפולים (חומרה ותוכנה) והתקנים היקפיים נוספים.
מערכת מיותרת טובה רק כמוה מתריע מִתקָן. ככזה, ארגונים צריכים להבטיח ש-IPF כושלים יתגלו במהירות, וננקטות פעולות מתקנות כדי להיכשל במעבר לחומרת המתנה, או לתקן את ה-IPF התקול בזמן מהיר ככל האפשר.
בעת תכנון והתקנה של אמצעי יתירות, ארגונים צריכים לשקול את הדברים הבאים:
בקרה 8.14 מכירה בקשר המובנה בין מערכות חזקות, מיותרות ותכנון המשכיות עסקית (ראה בקרה 5.30), ומבקשת מארגונים לשקול את שניהם כחלק מהפתרון לאותו סט של אתגרים.
חשוב לציין כי כאשר מדובר ביישומים עסקיים, קשה מאוד לטפל בשגיאות קריטיות באפליקציה עצמה (במיוחד במקרה של יישומים מנוהלים).
ISO 27002:2022-8.14 מחליף את ISO 27002:2003-17.2.1 (זמינות מתקני עיבוד מידע).
27002:2022-8.14 הוא קפיצה תפעולית עצומה מ-27002:2003-17.2.1, כשההבדל בין שני הפקדים מייצג את השינוי הגדול ביותר בכל עדכון ISO 27002:2022.
27002:2003-17.2.1 מכיל רק כמה פסקאות שטחיות על הצורך להשיג יתירות, ואילו 27002:2022-8.14 מכיל הדרכה מקיפה כיצד בדיוק להשיג זאת על פני רכיבים מקומיים, מבוססי ענן, לוגיים ופיזיים.
ב-ISMS.online, בנינו מערכת מקיפה וקלה לשימוש שיכולה לעזור לך ליישם בקרות ISO 27002 ולנהל את כל ה-ISMS שלך.
ISMS.online מקל על הטמעת ISO 27002 על ידי מתן ערכת כלים שיעזרו לך לנהל את אבטחת המידע בארגון שלך. זה יעזור לך לזהות סיכונים ולפתח בקרות כדי להפחית סיכונים אלה, ולאחר מכן יראה לך כיצד ליישם אותם בתוך הארגון.
פנה אלינו עוד היום ל קבע הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |