למבחני ביקורת יש תפקיד קריטי באיתור ובחיסול סיכוני אבטחה ופגיעות במערכות המידע.
עם זאת, תהליך ביקורת, בין אם מבוצע בסביבות תפעול, בדיקות או פיתוח, עלול לחשוף מידע רגיש לסיכונים של חשיפה לא מורשית, או אובדן שלמות וזמינות.
בקרה 8.34 עוסקת כיצד ארגונים יכולים לשמור על אבטחת נכסי מידע במהלך בדיקות ביקורת.
בקרה 8.34 מאפשרת לארגונים לחסל ולהפחית סיכונים ל אבטחת מערכות מידע ולהמשכיות הפעילות העסקית על ידי קביעה ויישום אמצעים ובקרות מתאימים כגון הגבלות גישה ומגבלות גישה לקריאה בלבד.
בקרה 8.34 היא מונעת בטבעה שכן היא דורשת את ההנהלה העליונה והמבקר לתכנן ולהסכים על בדיקות ביקורת נהלים, הגבלות ובקרות לפני ביצוע ביקורת.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת מערכת ורשת #הגנת מידע | #ממשל ומערכת אקולוגית #הֲגָנָה |
ה- IT צוות ההנהלה צריך להיות אחראי לתכנן ולהסכים על נהלי ביקורת וליצור וליישם אמצעים נחוצים.
בקרה 8.34 מפרטת שמונה דרישות ספציפיות שארגונים צריכים לשקול:
כאשר מבוצעות ביקורת על סביבות בדיקה או פיתוח, ארגונים צריכים להיות זהירים מפני הסיכונים הבאים:
27002:2022/8.34 replace 27002:2013/(12.7.1)
למרות שגרסת 2022 דומה במידה רבה לגרסת 2013, ישנם שני הבדלים עיקריים.
גרסת 2022 מציגה את הדרישה הבאה שלא הוזכרה בגרסת 2013:
אם בקשת גישה מאושרת, ארגונים צריכים לוודא תחילה שהמכשירים המשמשים לגישה למערכות עומדים בדרישות האבטחה לפני שהם מספקים גישה.
בהנחיה המשלימה, גרסת 2022 מזהירה ארגונים מפני סיכוני אבטחה עקב ביקורות שבוצעו על סביבות בדיקה ופיתוח. גרסת 2013, להיפך, לא התייחסה לסביבות הבדיקה והפיתוח.
ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.
הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בנייתך האיזמים, כי זה עוזר לך לבנות מערכת בת קיימא באמת.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |