שינויים במערכות מידע כגון החלפת התקן רשת, יצירת מופע מסד נתונים חדש או שדרוג תוכנה נחוצים לרוב לשיפור הביצועים, הפחתת עלויות ויעילות גבוהה יותר.
עם זאת, שינויים אלה במתקנים ובמערכות עיבוד המידע, אם לא יושמו כראוי, עלולים להוביל לפגיעה בנכסי מידע המאוחסנים במתקנים אלה או מעובדים בהם.
בקרה 8.32 מתייחסת לאופן שבו ארגונים יכולים להקים וליישם נהלי ניהול שינויים כדי לנטר, לסקור ולשלוט בשינויים שנעשו במתקני עיבוד המידע ובמערכות.
בקרה 8.32 מאפשרת לארגונים לשמור על אבטחת נכסי המידע בעת ביצוע שינויים במתקני ומערכות עיבוד המידע על ידי קביעה, יישום וניהול כללים ונהלים לניהול שינויים.
בקרה 8.32 היא מניעתית באופייה. היא דורשת מארגונים להגדיר, לתעד, לפרט ולאכוף תהליכי בקרת שינויים השולטים בכל מחזור החיים של מערכות המידע, מהתכנון הראשוני ועד לפריסה והשימוש.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת יישומים #אבטחת מערכת ורשת | #הֲגָנָה |
בהתחשב בכך שעמידה בבקרה 8.32 כרוכה בהקמה ואכיפה של נהלי בקרת שינויים החלים על כל שלבי מחזור החיים של מערכות המידע, קציני אבטחת מידע ראשיים, בתמיכת מומחי תחום, צריכים להיות אחראים לתכנן ולאכוף נהלים אלו.
כל השינויים הגדולים במערכות המידע והכנסת מערכות חדשות צריכים להיות כפופים למערכת מוסכמת של כללים ונהלים. יש לפרט ולתעד את השינויים הללו באופן רשמי. יתר על כן, עליהם לעבור את תהליכי הבדיקה ובקרת האיכות.
כדי להבטיח שכל השינויים תואמים את הכללים והתקנים של בקרת השינוי, על ארגונים להקצות אחריות ניהולית להנהלה המתאימה ולהגדיר את הנהלים הדרושים.
בקרה 8.32 מפרטת תשעה אלמנטים שיש לכלול בהליך ניהול השינויים:
לבסוף, יצוין כי על ארגונים לשלב נהלי בקרת שינויים עבור תשתיות תוכנה ותקשוב במידה המרבית האפשרית.
שינויים בסביבות הייצור כגון מערכות הפעלה ומסדי נתונים עלולים לפגוע בשלמות ובזמינות של יישומים, במיוחד בהעברת תוכנה מפיתוח לסביבת ייצור.
סיכון נוסף שארגונים צריכים להיזהר ממנו הוא לשינוי תוכנה בסביבת הייצור עשויות להיות השלכות לא מכוונות.
כדי למנוע סיכונים אלו, ארגונים צריכים לבצע בדיקות על רכיבי ICT בסביבה מבודדת מסביבות הפיתוח והייצור.
זה יאפשר לארגונים לקבל שליטה רבה יותר על תוכנות חדשות ויספק שכבת הגנה נוספת לנתונים מהעולם האמיתי המשמשים למטרות בדיקה. ניתן להשיג הגנה נוספת זו באמצעות תיקונים וחבילות שירות.
27002:2022/8.32 מחליף את 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
בסך הכל, גרסת 2013 הייתה יותר מחייבת בהשוואה לגרסת 2022 מבחינת הדרישות להליכי בקרת שינויים.
ישנם שלושה הבדלים מרכזיים שיש להדגיש בין שתי הגרסאות.
גם גרסת 27002:2022 וגם 27002:2013 מפרטת מה צריך לכלול 'נוהל שינוי' באופן לא ממצה.
עם זאת, גירסת 2013 הכילה את הרכיבים הבאים שלא התייחסו אליהם בגירסת 2022:
בקרה 14.2.3 בגרסה 27002:2013 עסקה כיצד ארגונים יכולים למזער את ההשפעות השליליות וההפרעות לפעילות העסקית בעת ביצוע שינויים במערכות ההפעלה.
גרסה 27002:2022, לעומת זאת, אינה כוללת דרישות לשינויים כאלה.
בקרת 14.2.4 בגרסת 27002:2013 התייחסה ל'שינויים בחבילות תוכנה'. להיפך, גרסת 27002:2022 אינה מכילה דרישות לשינויים מסוג זה.
הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת איתנה של בקרות אבטחת מידע, כך שתוכל לרשימת בדיקה של תהליך ה-ISMS שלך תוך כדי תנועה כדי להבטיח שהוא עומד בדרישות של ISO 27000k.
בשימוש נכון, ISMS. מקוון יכול לסייע לך בהשגת הסמכה במינימום זמן ומשאבים.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |