עבור לתוכן
ISMS.online

ISO 27002:2022 – בקרה 8.2 – זכויות גישה מורשות

ISO 27002:2022 בקרה 8.2 - זכויות גישה מורשות מדגיש את החשיבות של הגבלת, ניטור ובדיקה קבועה של גישה מיוחסת כדי להבטיח מינימום הרשאות נדרשות ולשמור על אבטחת מידע.

מְחַבֵּר
סם פיטרס
עודכן יולי 25, 2025
4/5 כוכבים

מטרת הבקרה 8.2

שימוש זדוני או שגוי בהרשאות מוגברות של מנהל מערכת הוא אחד הגורמים העיקריים להפרעות ICT ברשתות מסחריות בכל רחבי העולם.

זכויות גישה מורשות מאפשרות לארגונים לשלוט בגישה לתשתית, ליישומים, לנכסים ולשמור על שלמות כל הנתונים והמערכות המאוחסנים.

שליטה 8.2 היא א בקרה מונעת זֶה שומר על סיכון על ידי הקמת הרשאה תהליך המטפל בכל בקשות הגישה על פני רשת ה-ICT של הארגון והנכסים הנלווים.

טבלת בקרה של תכונות 8.2

סוג הבקרה מאפייני אבטחת מידע מושגי אבטחת סייבר יכולות מבצעיות תחומי אבטחה
#מוֹנֵעַ #סודיות #לְהַגֵן #ניהול זהות וגישה #הֲגָנָה
#יושרה
#זמינות

בעלות על שליטה 8.2

בקרה 8.6 עוסקת ב- an היכולת של הארגון לשלוט בגישה לנתונים דרך חשבונות משתמש הנהנים מזכויות גישה משופרות.

ככזה, הבעלות צריכה להיות אצל ראש ה-IT (או שווה ערך ארגוני), המחזיק אחריות על הארגון היכולת לנהל ולפקח על חשבונות משתמש של דומיין או יישומים מורשים.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


הנחיות כלליות בנושא בקרה 8.2

בקרה 8.2 מתווה 12 נקודות הנחיה עיקריות לכך ארגונים צריכים לפעול בהתאם למדיניות "נושא ספציפית" בנושא בקרת גישה (ראה בקרה 5.15) המכוונת לפונקציות עסקיות בודדות.

ארגונים צריכים:

  1. זהה רשימה של משתמשים הזקוקים לכל מידה של גישה מוסמכת - או עבור מערכת בודדת - כגון יישום מסד נתונים, או מערכת הפעלה בסיסית.
  2. לשמור על מדיניות המקצה זכויות גישה מורשות למשתמשים במה שמכונה "אירוע על בסיס אירוע" - יש להעניק למשתמשים רמות גישה המבוססות על המינימום הנדרש עבורם לביצוע תפקידם.
  3. מתווה תהליך הרשאה ברור העוסק בכל הבקשות לגישה מועדפת, לרבות שמירה על רישום של כל זכויות הגישה שיושמו.
  4. ודא שזכויות הגישה כפופות לתאריכי תפוגה רלוונטיים.
  5. נקוט בצעדים כדי להבטיח שמשתמשים כן מודע במפורש של כל פרק זמן שבו הם פועלים עם גישה מיוחסת למערכת.
  6. במקרים רלוונטיים, המשתמשים מתבקשים לאמת מחדש לפני השימוש בזכויות גישה מורשות, על מנת להשפיע על אבטחת מידע/נתונים מוגברת.
  7. בצע ביקורת תקופתית של זכויות גישה מורשות, במיוחד לאחר תקופה של שינויים ארגוניים. יש לבדוק את זכויות הגישה של המשתמשים בהתבסס על "חובותיהם, תפקידיהם, אחריותם וכשירותם" (ראה בקרה 5.18).
  8. שקול לפעול עם מה שמכונה נוהל "שבירת זכוכית" - כלומר להבטיח שזכויות גישה מורשות מוענקות בתוך חלונות זמן מבוקרים היטב העומדים בדרישות המינימום לביצוע פעולה (שינויים קריטיים, ניהול מערכת וכו').
  9. ודא שכל פעילויות הגישה המורשות נרשמות בהתאם.
  10. מנע את השימוש בפרטי התחברות כלליים למערכת (במיוחד שמות משתמש וסיסמאות סטנדרטיים) (ראה בקרה 5.17).
  11. שמור על מדיניות של הקצאת משתמשים עם זהות נפרדת, המאפשרת שליטה הדוקה יותר על זכויות גישה מורשות. לאחר מכן ניתן לקבץ זהויות כאלה יחד, כאשר לקבוצה המשויכת ניתנות רמות שונות של זכויות גישה.
  12. ודא שזכויות גישה מורשות נשמרות למשימות קריטיות בלבד, הקשורות להמשך תפעול רשת ICT מתפקדת - כגון ניהול מערכת ותחזוקת רשת.

בקרות תומכות

  • 5.15


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


שינויים והבדלים מ-ISO 27002:2013

בקרה 27002:2022-8.2 מחליפה את 27002:2013-9.2.3 (ניהול זכויות גישה מורשות).

27002:2022-8.2 מכיל 5 נקודות הנחיה עיקריות שאינן מפורשות במקביל שלה משנת 2013:

  • 27002:2022-8.2 אינו דורש במפורש מזהה משתמש אחר עבור זכויות גישה מורשות.
  • 27002:2022-8.2 מדגיש את הצורך באימות מחדש לפני קבלת זכויות גישה מורשות.
  • 27002:2022-8.2 תומך בגישת שבירת זכוכית בעת ביצוע מטלות תחזוקה קריטיות, המבוססת על חלונות זמן מבוקרים היטב.
  • 27002:2022-8.2 מבקש מארגונים לשמור יומני גישה מיוחסים יסודיים, למטרות ביקורת.
  • 27002:2022-8.2 מבקש מארגונים להגביל את השימוש בזכויות גישה מורשות למשימות ניהוליות.

בקרות חדשות ISO 27002

פקדים חדשים
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
5.7 NEW אינטליגנציה מאיימת
5.23 NEW אבטחת מידע לשימוש בשירותי ענן
5.30 NEW מוכנות ICT להמשכיות עסקית
7.4 NEW ניטור אבטחה פיזית
8.9 NEW ניהול תצורה
8.10 NEW מחיקת מידע
8.11 NEW מיסוך נתונים
8.12 NEW מניעת דליפת נתונים
8.16 NEW פעילויות ניטור
8.23 NEW סינון אינטרנט
8.28 NEW קידוד מאובטח
בקרות ארגוניות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
5.1 05.1.1, 05.1.2 מדיניות לאבטחת מידע
5.2 06.1.1 תפקידים ואחריות של אבטחת מידע
5.3 06.1.2 הפרדת תפקידים
5.4 07.2.1 אחריות ניהולית
5.5 06.1.3 קשר עם הרשויות
5.6 06.1.4 קשר עם קבוצות עניין מיוחדות
5.7 NEW אינטליגנציה מאיימת
5.8 06.1.5, 14.1.1 אבטחת מידע בניהול פרויקטים
5.9 08.1.1, 08.1.2 מלאי מידע ונכסים קשורים אחרים
5.10 08.1.3, 08.2.3 שימוש מקובל במידע ובנכסים קשורים אחרים
5.11 08.1.4 החזרת נכסים
5.12 08.2.1 סיווג מידע
5.13 08.2.2 תיוג מידע
5.14 13.2.1, 13.2.2, 13.2.3 העברת מידע
5.15 09.1.1, 09.1.2 בקרת גישה
5.16 09.2.1 ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3 מידע אימות
5.18 09.2.2, 09.2.5, 09.2.6 זכויות גישה
5.19 15.1.1 אבטחת מידע ביחסי ספקים
5.20 15.1.2 טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21 15.1.3 ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22 15.2.1, 15.2.2 מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23 NEW אבטחת מידע לשימוש בשירותי ענן
5.24 16.1.1 תכנון והכנה לניהול אירועי אבטחת מידע
5.25 16.1.4 הערכה והחלטה על אירועי אבטחת מידע
5.26 16.1.5 מענה לאירועי אבטחת מידע
5.27 16.1.6 למידה מאירועי אבטחת מידע
5.28 16.1.7 איסוף ראיות
5.29 17.1.1, 17.1.2, 17.1.3 אבטחת מידע בזמן שיבוש
5.30 5.30 מוכנות ICT להמשכיות עסקית
5.31 18.1.1, 18.1.5 דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32 18.1.2 זכויות קניין רוחני
5.33 18.1.3 הגנה על רשומות
5.34 18.1.4 פרטיות והגנה על PII
5.35 18.2.1 סקירה עצמאית של אבטחת מידע
5.36 18.2.2, 18.2.3 עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37 12.1.1 נהלי הפעלה מתועדים
אנשים בקרות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
6.1 07.1.1 סריקה
6.2 07.1.2 תנאי העסקה
6.3 07.2.2 מודעות, חינוך והדרכה לאבטחת מידע
6.4 07.2.3 תהליך משמעתי
6.5 07.3.1 אחריות לאחר סיום או שינוי עבודה
6.6 13.2.4 הסכמי סודיות או סודיות
6.7 06.2.2 עבודה מרחוק
6.8 16.1.2, 16.1.3 דיווח על אירועי אבטחת מידע
בקרות פיזיות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
7.1 11.1.1 היקפי אבטחה פיזית
7.2 11.1.2, 11.1.6 כניסה פיזית
7.3 11.1.3 אבטחת משרדים, חדרים ומתקנים
7.4 NEW ניטור אבטחה פיזית
7.5 11.1.4 הגנה מפני איומים פיזיים וסביבתיים
7.6 11.1.5 עבודה באזורים מאובטחים
7.7 11.2.9 שולחן כתיבה ברור ומסך ברור
7.8 11.2.1 מיקום ומיגון ציוד
7.9 11.2.6 אבטחת נכסים מחוץ לשטח
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 אחסון מדיה
7.11 11.2.2 כלי עזר תומכים
7.12 11.2.3 אבטחת כבלים
7.13 11.2.4 תחזוקת ציוד
7.14 11.2.7 סילוק מאובטח או שימוש חוזר בציוד
בקרות טכנולוגיות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
8.1 06.2.1, 11.2.8 התקני נקודת קצה למשתמש
8.2 09.2.3 זכויות גישה מורשות
8.3 09.4.1 הגבלת גישה למידע
8.4 09.4.5 גישה לקוד מקור
8.5 09.4.2 אימות מאובטח
8.6 12.1.3 ניהול קיבולת
8.7 12.2.1 הגנה מפני תוכנות זדוניות
8.8 12.6.1, 18.2.3 ניהול נקודות תורפה טכניות
8.9 NEW ניהול תצורה
8.10 NEW מחיקת מידע
8.11 NEW מיסוך נתונים
8.12 NEW מניעת דליפת נתונים
8.13 12.3.1 גיבוי מידע
8.14 17.2.1 יתירות של מתקני עיבוד מידע
8.15 12.4.1, 12.4.2, 12.4.3 רישום
8.16 NEW פעילויות ניטור
8.17 12.4.4 סנכרון שעון
8.18 09.4.4 שימוש בתוכניות שירות מועדפות
8.19 12.5.1, 12.6.2 התקנת תוכנות על מערכות תפעול
8.20 13.1.1 אבטחת רשתות
8.21 13.1.2 אבטחת שירותי רשת
8.22 13.1.3 הפרדת רשתות
8.23 NEW סינון אינטרנט
8.24 10.1.1, 10.1.2 שימוש בקריפטוגרפיה
8.25 14.2.1 מחזור חיי פיתוח מאובטח
8.26 14.1.2, 14.1.3 דרישות אבטחת יישומים
8.27 14.2.5 ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28 NEW קידוד מאובטח
8.29 14.2.8, 14.2.9 בדיקות אבטחה בפיתוח וקבלה
8.30 14.2.7 פיתוח במיקור חוץ
8.31 12.1.4, 14.2.6 הפרדת סביבות פיתוח, בדיקה וייצור
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 שינוי הנהלה
8.33 14.3.1 מידע על הבדיקה
8.34 12.7.1 הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002, בקרה 6.6, מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין וכוח אדם.

הפלטפורמה מבוססת הענן שלנו מספקת סט שלם של כלים כדי לסייע לארגונים בהקמת מערכת ניהול אבטחת מידע (ISMS) לפי ISO 27002.

כלים אלה כוללים:

  • ספריית תבניות למסמכים ארגוניים נפוצים.
  • קבוצה של מדיניות ונהלים מוגדרים מראש.
  • כלי ביקורת לתמיכה בביקורות פנימיות.
  • ממשק תצורה להתאמה אישית מדיניות ISMS ונהלים.
  • זרימת עבודה של אישור עבור כל השינויים שנעשו במדיניות ובנהלים.
  • רשימת בדיקה כדי לוודא שהמדיניות ותהליכי אבטחת המידע שלך עומדים בסטנדרטים הבינלאומיים המאושרים.

ISMS.Online מאפשר למשתמשים גם:

  • נהל את כל ההיבטים של ה-ISMS מחזור חיים בקלות.
  • קבל תובנות בזמן אמת לגבי מצב האבטחה שלהם ופערי התאימות.
  • השתלב עם מערכות אחרות כמו משאבי אנוש, כספים וניהול פרויקטים.
  • להוכיח ציות שלהם ISMS עם ISO 27001 DELETE THIS

הכלי ISMS.Online מספק גם הדרכה כיצד ליישם את ה-ISMS שלך בצורה הטובה ביותר על ידי מתן עצות כיצד ליצור מדיניות ונהלים הקשורים להיבטים כגון ניהול סיכונים, הדרכה למודעות אבטחת כוח אדם ותכנון תגובה לאירועים.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים פלטפורמה מלא על גביש

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - סתיו 2025
עסק קטן, בעלי ביצועים גבוהים - סתיו 2025 בריטניה
מנהיג אזורי - סתיו 2025 אירופה
מנהיג אזורי - סתיו 2025 EMEA
מנהיג אזורי - סתיו 2025 בריטניה
ביצועים גבוהים - סתיו 2025 אירופה שוק בינוני

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.