ISO 27002, בקרה 8.32, ניהול שינויים

הבטחת שינויים מאובטחים ומבוקרים עם ISO 27002:2022 בקרה 8.32

שינויים במערכות מידע כגון החלפת התקן רשת, יצירת מופע מסד נתונים חדש או שדרוג תוכנה נחוצים לרוב לשיפור הביצועים, הפחתת עלויות ויעילות גבוהה יותר.

עם זאת, שינויים אלה במתקנים ובמערכות עיבוד המידע, אם לא יושמו כראוי, עלולים להוביל לפגיעה בנכסי מידע המאוחסנים במתקנים אלה או מעובדים בהם.

בקרה 8.32 מתייחסת לאופן שבו ארגונים יכולים להקים וליישם נהלי ניהול שינויים כדי לנטר, לסקור ולשלוט בשינויים שנעשו במתקני עיבוד המידע ובמערכות.

מטרת הבקרה 8.32

בקרה 8.32 מאפשרת לארגונים לשמור על אבטחת נכסי המידע בעת ביצוע שינויים במתקני ומערכות עיבוד המידע על ידי קביעה, יישום וניהול כללים ונהלים לניהול שינויים.

טבלת בקרה של תכונות 8.32

בקרה 8.32 היא מניעתית באופייה. היא דורשת מארגונים להגדיר, לתעד, לפרט ולאכוף תהליכי בקרת שינויים השולטים בכל מחזור החיים של מערכות המידע, מהתכנון הראשוני ועד לפריסה והשימוש.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת יישומים	#הֲגָנָה
	#יושרה		#אבטחת מערכת ורשת
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.32

בהתחשב בכך שעמידה בבקרה 8.32 כרוכה בהקמה ואכיפה של נהלי בקרת שינויים החלים על כל שלבי מחזור החיים של מערכות המידע, קציני אבטחת מידע ראשיים, בתמיכת מומחי תחום, צריכים להיות אחראים לתכנן ולאכוף נהלים אלו.

הנחיות כלליות בנושא ציות

כל השינויים הגדולים במערכות המידע והכנסת מערכות חדשות צריכים להיות כפופים למערכת מוסכמת של כללים ונהלים. יש לפרט ולתעד את השינויים הללו באופן רשמי. יתר על כן, עליהם לעבור את תהליכי הבדיקה ובקרת האיכות.

כדי להבטיח שכל השינויים תואמים את הכללים והתקנים של בקרת השינוי, על ארגונים להקצות אחריות ניהולית להנהלה המתאימה ולהגדיר את הנהלים הדרושים.

בקרה 8.32 מפרטת תשעה אלמנטים שיש לכלול בהליך ניהול השינויים:

ארגונים צריכים לתכנן ולמדוד את ההשפעה הסבירה של שינויים מתוכננים, תוך התחשבות בכל התלות.
הטמעת בקרות הרשאות לשינויים.
יידוע גורמים פנימיים וחיצוניים רלוונטיים לגבי השינויים המתוכננים.
ביסוס ויישום תהליכי בדיקות ובדיקות קבלה לשינויים בהתאם לבקרה 8.29.
כיצד יבוצעו השינויים, לרבות כיצד ייפרסו בפועל.
קביעת תוכניות ונהלים לשעת חירום ומקרה. זה עשוי לכלול גם קביעת הליך נסיגה.
שמירת תיעוד של כל השינויים והפעילויות הקשורות, כולל כל הפעילויות המפורטות לעיל (1 עד 6).
תיעוד התפעול כנדרש ב-Control 5.37 ונהלי המשתמש נבדקים ומתעדכנים כדי לשקף את השינויים.
יש לבדוק ולתקן את תוכניות המשכיות ה-ICT ואת נוהלי ההתאוששות והתגובה כדי לשקף את השינויים.

לבסוף, יצוין כי על ארגונים לשלב נהלי בקרת שינויים עבור תשתיות תוכנה ותקשוב במידה המרבית האפשרית.

הנחיות משלימות בקרה 8.32

שינויים בסביבות הייצור כגון מערכות הפעלה ומסדי נתונים עלולים לפגוע בשלמות ובזמינות של יישומים, במיוחד בהעברת תוכנה מפיתוח לסביבת ייצור.

סיכון נוסף שארגונים צריכים להיזהר ממנו הוא לשינוי תוכנה בסביבת הייצור עשויות להיות השלכות לא מכוונות.

כדי למנוע סיכונים אלו, ארגונים צריכים לבצע בדיקות על רכיבי ICT בסביבה מבודדת מסביבות הפיתוח והייצור.

זה יאפשר לארגונים לקבל שליטה רבה יותר על תוכנות חדשות ויספק שכבת הגנה נוספת לנתונים מהעולם האמיתי המשמשים למטרות בדיקה. ניתן להשיג הגנה נוספת זו באמצעות תיקונים וחבילות שירות.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.32 מחליף את 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

בסך הכל, גרסת 2013 הייתה יותר מחייבת בהשוואה לגרסת 2022 מבחינת הדרישות להליכי בקרת שינויים.

ישנם שלושה הבדלים מרכזיים שיש להדגיש בין שתי הגרסאות.

גרסת ISO 27002:2013 הייתה מפורטת יותר במונחים של מה צריך לכלול 'נוהל שינוי'

גם גרסת 27002:2022 וגם 27002:2013 מפרטת מה צריך לכלול 'נוהל שינוי' באופן לא ממצה.

עם זאת, גירסת 2013 הכילה את הרכיבים הבאים שלא התייחסו אליהם בגירסת 2022:

יש לזהות ולבדוק קוד קריטי לאבטחה כדי לתקן נקודות תורפה.
ארגונים צריכים לשמור על בקרת גרסאות עבור כל העדכונים המיושמים בתוכנה.
ארגונים צריכים לזהות ולתעד רשימה של כל רכיבי החומרה והתוכנה הזקוקים לתיקון ועדכונים.

גירסת 2013 טופלה 'שינויים בפלטפורמות הפעלה'

בקרה 14.2.3 בגרסה 27002:2013 עסקה כיצד ארגונים יכולים למזער את ההשפעות השליליות וההפרעות לפעילות העסקית בעת ביצוע שינויים במערכות ההפעלה.

גרסה 27002:2022, לעומת זאת, אינה כוללת דרישות לשינויים כאלה.

גירסת 2013 טופלה 'שינויים בחבילות תוכנה'

בקרת 14.2.4 בגרסת 27002:2013 התייחסה ל'שינויים בחבילות תוכנה'. להיפך, גרסת 27002:2022 אינה מכילה דרישות לשינויים מסוג זה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת איתנה של בקרות אבטחת מידע, כך שתוכל לרשימת בדיקה של תהליך ה-ISMS שלך תוך כדי תנועה כדי להבטיח שהוא עומד בדרישות של ISO 27000k.

בשימוש נכון, ISMS. מקוון יכול לסייע לך בהשגת הסמכה במינימום זמן ומשאבים.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו