ISO 27002:2022, בקרה 8.32 – ניהול שינויים

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 בקרות מתוקנות

מקרוב,של,נער,עם,כהה,עור,ידיים,על,מקלדת,הקלדה

close up,of,teenager,with,dark,skin,hands,on,keyboard,typing

שינויים במערכות מידע כגון החלפת התקן רשת, יצירת מופע מסד נתונים חדש או שדרוג תוכנה נחוצים לרוב לשיפור הביצועים, הפחתת עלויות ויעילות גבוהה יותר.

עם זאת, שינויים אלה במתקנים ובמערכות עיבוד המידע, אם לא יושמו כראוי, עלולים להוביל לפגיעה בנכסי מידע המאוחסנים במתקנים אלה או מעובדים בהם.

בקרה 8.32 מתייחסת לאופן שבו ארגונים יכולים להקים וליישם נהלי ניהול שינויים כדי לנטר, לסקור ולשלוט בשינויים שנעשו במתקני עיבוד המידע ובמערכות.

מטרת הבקרה 8.32

בקרה 8.32 מאפשרת לארגונים לשמור על אבטחת נכסי המידע בעת ביצוע שינויים במתקני ומערכות עיבוד המידע על ידי קביעה, יישום וניהול כללים ונהלים לניהול שינויים.

טבלת תכונות

בקרה 8.32 היא מניעתית באופייה. היא דורשת מארגונים להגדיר, לתעד, לפרט ולאכוף תהליכי בקרת שינויים השולטים בכל מחזור החיים של מערכות המידע, מהתכנון הראשוני ועד לפריסה והשימוש.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות #יושרה #זמינות	#לְהַגֵן	#אבטחת יישומים #אבטחת מערכת ורשת	#הֲגָנָה

קפוץ לנושא

מטרת הבקרה 8.32
תכונות שליטה 8.32
בעלות על שליטה 8.32
הנחיות כלליות בנושא ציות
הנחיות משלימות בקרה 8.32
שינויים והבדלים מ-ISO 27002:2013
כיצד ISMS.online עוזר

קבל ראש על ISO 27001

הכל מעודכן עם ערכת הבקרה של 2022
בצע התקדמות של 81% מרגע הכניסה
פשוט וקל לשימוש

הזמן את ההדגמה שלך

בעלות על שליטה 8.32

בהתחשב בכך שעמידה בבקרה 8.32 כרוכה בהקמה ואכיפה של נהלי בקרת שינויים החלים על כל שלבי מחזור החיים של מערכות המידע, קציני אבטחת מידע ראשיים, בתמיכת מומחי תחום, צריכים להיות אחראים לתכנן ולאכוף נהלים אלו.

הנחיות כלליות בנושא ציות

כל השינויים הגדולים במערכות המידע והכנסת מערכות חדשות צריכים להיות כפופים למערכת מוסכמת של כללים ונהלים. יש לפרט ולתעד את השינויים הללו באופן רשמי. יתר על כן, עליהם לעבור את תהליכי הבדיקה ובקרת האיכות.

כדי להבטיח שכל השינויים תואמים את הכללים והתקנים של בקרת השינוי, על ארגונים להקצות אחריות ניהולית להנהלה המתאימה ולהגדיר את הנהלים הדרושים.

בקרה 8.32 מפרטת תשעה אלמנטים שיש לכלול בהליך ניהול השינויים:

ארגונים צריכים לתכנן ולמדוד את ההשפעה הסבירה של שינויים מתוכננים, תוך התחשבות בכל התלות.

הטמעת בקרות הרשאות לשינויים.

יידוע גורמים פנימיים וחיצוניים רלוונטיים לגבי השינויים המתוכננים.

ביסוס ויישום תהליכי בדיקות ובדיקות קבלה לשינויים בהתאם לבקרה 8.29.

כיצד יבוצעו השינויים, לרבות כיצד ייפרסו בפועל.

קביעת תוכניות ונהלים לשעת חירום ומקרה. זה עשוי לכלול גם קביעת הליך נסיגה.

שמירת תיעוד של כל השינויים והפעילויות הקשורות, כולל כל הפעילויות המפורטות לעיל (1 עד 6).

תיעוד התפעול כנדרש ב-Control 5.37 ונהלי המשתמש נבדקים ומתעדכנים כדי לשקף את השינויים.

יש לבדוק ולתקן את תוכניות המשכיות ה-ICT ואת נוהלי ההתאוששות והתגובה כדי לשקף את השינויים.

לבסוף, יצוין כי על ארגונים לשלב נהלי בקרת שינויים עבור תשתיות תוכנה ותקשוב במידה המרבית האפשרית.

הנחיות משלימות בקרה 8.32

שינויים בסביבות הייצור כגון מערכות הפעלה ומסדי נתונים עלולים לפגוע בשלמות ובזמינות של יישומים, במיוחד בהעברת תוכנה מפיתוח לסביבת ייצור.

סיכון נוסף שארגונים צריכים להיזהר ממנו הוא לשינוי תוכנה בסביבת הייצור עשויות להיות השלכות לא מכוונות.

כדי למנוע סיכונים אלו, ארגונים צריכים לבצע בדיקות על רכיבי ICT בסביבה מבודדת מסביבות הפיתוח והייצור.

זה יאפשר לארגונים לקבל שליטה רבה יותר על תוכנות חדשות ויספק שכבת הגנה נוספת לנתונים מהעולם האמיתי המשמשים למטרות בדיקה. ניתן להשיג הגנה נוספת זו באמצעות תיקונים וחבילות שירות.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022

81% מהעבודה שנעשתה עבורך
שיטת תוצאות מובטחות להצלחת הסמכה
חסוך זמן, כסף וטרחה

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.32 מחליף את 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

בסך הכל, גרסת 2013 הייתה יותר מחייבת בהשוואה לגרסת 2022 מבחינת הדרישות להליכי בקרת שינויים.

ישנם שלושה הבדלים מרכזיים שיש להדגיש בין שתי הגרסאות.

גרסת ISO 27002:2013 הייתה מפורטת יותר במונחים של מה צריך לכלול 'נוהל שינוי'

גם גרסת 27002:2022 וגם 27002:2013 מפרטת מה צריך לכלול 'נוהל שינוי' באופן לא ממצה.

עם זאת, גירסת 2013 הכילה את הרכיבים הבאים שלא התייחסו אליהם בגירסת 2022:

יש לזהות ולבדוק קוד קריטי לאבטחה כדי לתקן נקודות תורפה.

ארגונים צריכים לשמור על בקרת גרסאות עבור כל העדכונים המיושמים בתוכנה.

ארגונים צריכים לזהות ולתעד רשימה של כל רכיבי החומרה והתוכנה הזקוקים לתיקון ועדכונים.

גירסת 2013 טופלה 'שינויים בפלטפורמות הפעלה'

בקרה 14.2.3 בגרסה 27002:2013 עסקה כיצד ארגונים יכולים למזער את ההשפעות השליליות וההפרעות לפעילות העסקית בעת ביצוע שינויים במערכות ההפעלה.

גרסה 27002:2022, לעומת זאת, אינה כוללת דרישות לשינויים כאלה.

גירסת 2013 טופלה 'שינויים בחבילות תוכנה'

בקרת 14.2.4 בגרסת 27002:2013 התייחסה ל'שינויים בחבילות תוכנה'. להיפך, גרסת 27002:2022 אינה מכילה דרישות לשינויים מסוג זה.

כיצד ISMS.online עוזר

הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת איתנה של בקרות אבטחת מידע, כך שתוכל לרשימת בדיקה של תהליך ה-ISMS שלך תוך כדי תנועה כדי להבטיח שהוא עומד בדרישות של ISO 27000k.

בשימוש נכון, ISMS. מקוון יכול לסייע לך בהשגת הסמכה במינימום זמן ומשאבים.

צור קשר עוד היום כדי הזמן הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.7	חדש	אינטליגנציה מאיימת
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.30	חדש	מוכנות ICT להמשכיות עסקית
7.4	חדש	ניטור אבטחה פיזית
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.16	חדש	פעילויות ניטור
8.23	חדש	סינון אינטרנט
8.28	חדש	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	חדש	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	חדש	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	חדש	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	חדש	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	חדש	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	חדש	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

מהימן על ידי חברות בכל מקום

פשוט וקל לשימוש
תוכנן להצלחת ISO 27001
חוסך לך זמן וכסף

הזמן את ההדגמה שלך

ISO 27002:2022, בקרה 8.32 – ניהול שינויים

מטרת הבקרה 8.32

טבלת תכונות

בעלות על שליטה 8.32

הנחיות כלליות בנושא ציות

הנחיות משלימות בקרה 8.32

קבל Headstart על ISO 27002

שינויים והבדלים מ-ISO 27002:2013

גרסת ISO 27002:2013 הייתה מפורטת יותר במונחים של מה צריך לכלול 'נוהל שינוי'

גירסת 2013 טופלה 'שינויים בפלטפורמות הפעלה'

גירסת 2013 טופלה 'שינויים בחבילות תוכנה'

כיצד ISMS.online עוזר

גלה את הפלטפורמה שלנו

פקדים חדשים

בקרות ארגוניות

אנשים בקרות

בקרות פיזיות

בקרות טכנולוגיות

קבל Headstart
על ISO 27002