ISO 27002:2022, בקרה 8.6, ניהול קיבולת

ISO 27002:2022 – בקרה 8.6 – ניהול קיבולת

ISO 27002 בקרת 8.6 - ניהול קיבולת מתאר את החשיבות של הבטחת משאבים נאותים לפעילות העסקית, תוך שימת דגש על ניטור יזום, מבחני קיצון ותכנון יכולת אסטרטגית למניעת שיבושים ותמיכה בצמיחה עתידית.

מטרת הבקרה 8.6

ניהול קיבולת, בהקשר של ICT, אינו מוגבל להבטיח שלארגונים יש מקום מתאים בשרתים ובאמצעי אחסון משויכים לגישה לנתונים ולמטרות גיבוי ושחזור מאסון (BUDR).

ארגונים צריכים להבטיח שיש להם את היכולת לפעול עם מערך משאבים הנותנים מענה למגוון רחב של פונקציות עסקיות, כולל משאבי אנוש, עיבוד מידע, ניהול מיקומי משרדים פיזיים ומתקנים צמודים.

לכל הפונקציות הללו יש את היכולת להשפיע לרעה על בקרות ניהול המידע של הארגון.

בקרה 8.6 היא דו-תכליתית מוֹנֵעַ ו שליטה בלשית זֶה שומר על סיכון על ידי הטמעת בקרות בילוש המזהות ושומרות על יכולת נאותה לעיבוד מידע ברחבי הארגון.

טבלת בקרה של תכונות 8.6

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#יושרה	#לְהַגֵן	#הֶמשֵׁכִיוּת	#ממשל ומערכת אקולוגית
#בַּלָשׁ	#זמינות	#לזהות		#הֲגָנָה
		#לזהות

בעלות על שליטה 8.6

בקרה 8.6 עוסקת ביכולת של ארגון לפעול כעסק באופן שוטף.

ככזה, הבעלות צריכה להיות אצל מנהל התפעול הראשי (או שווה ערך ארגוני), עם אחריות על היושרה היומיומית והיעילות של הפונקציות העסקיות של הארגון.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 8.6

במונחים רחבים שאינם ייחודיים לסוג מסוים של משאב, Control 8.6 מכיל 7 נקודות הדרכה כלליות:

ארגונים צריכים לשקול המשכיות עסקית בראש סדר העדיפויות בעת יישום בקרות ניהול קיבולת, כולל יישום סיטונאי של בקרות בילוש המסמנות בעיות פוטנציאליות לפני שהן מתרחשות.
ניהול קיבולת צריך להתבסס על הפונקציות הפרואקטיביות של כונון ו ניטור. שני האלמנטים הללו צריכים לעבוד בהרמוניה כדי להבטיח שהמערכות והפונקציות העסקיות לא ייפגעו.
במונחים תפעוליים, ארגונים צריכים לפעול באופן קבוע מבחני קיצון שחוקרות יכולת מערכתית כדי לספק את הצרכים העסקיים הכוללים. בדיקות כאלה צריכות להיות מנוסחות על בסיס כל מקרה לגופו ולהיות רלוונטיות לאזור הפעולה שאליו הן מכוונות.
קיבולת בקרות ניהול לא צריך להיות מוגבל לארגון נוֹכְחִי נתונים או צרכים תפעוליים, ועליו לכלול תוכניות להתרחבות מסחרית וטכנית (הן מנקודת מבט פיזית והן מנקודת מבט דיגיטלית) על מנת להישאר מוגנת עתיד ככל האפשר ריאלית.
הרחבת המשאבים הארגוניים כפופה לזמני אספקה ועלויות משתנים, בהתאם למערכת או לפונקציה העסקית המדוברת. משאבים שהם יקרים יותר וקשים יותר להרחבה צריכים להיות נתונים לדרגה גבוהה יותר של בדיקה, כדי לשמור על רציפות עסקית.
ההנהלה הבכירה צריכה לשים לב לנקודות כשל בודדות הקשורות לתלות באנשי מפתח או משאבים בודדים. אם יתעוררו קשיים כלשהם עם אחד מהגורמים הללו, זה יכול לעתים קרובות להוביל לסיבוכים שקשה משמעותית לתקן.
נסח א יכולת תוכנית ניהול העוסקת במיוחד במערכות קריטיות לעסק ופונקציות עסקיות.

הדרכה - ניהול ביקוש

27002:2022-8.6 תומך בגישה דו-חזיתית לניהול קיבולת שאחד מהם מגדיל את הקיבולת, או מפחית את הביקוש על משאב, או על קבוצת משאבים.

כאשר מנסים להגדיל את הקיבולת, ארגונים צריכים:

שקול גיוס עובדים חדשים לביצוע תפקיד עסקי.
לרכוש, לשכור או לשכור מתקנים חדשים או שטחי משרדים.
רכשו, השכירו או השכרו עיבוד נוסף, אחסון נתונים ו-RAM (או במקום או באירוח בענן).
שקול להשתמש אלסטי ו להרחבה משאבי ענן שמתרחבים עם המחשוב צרכי הארגון, עם התערבות מינימלית.

כאשר מנסים לצמצם את הביקוש, ארגונים צריכים:

מחק נתונים מיושנים כדי לפנות שטח אחסון בשרתים ובמדיה מצורפת.
השלך בצורה מאובטחת כל עותקים מודפסים של מידע שהארגון כבר לא צריך, ואינו מחויב על פי חוק להשיג, לא על פי חוק או באמצעות גוף רגולטורי.
הסר כל משאבי ICT, יישומים או סביבות וירטואליות שאינם נחוצים עוד.
בדוק בקפדנות משימות ICT מתוזמנות (כולל דוחות, פונקציות תחזוקה אוטומטיות ותהליכי אצווה) כדי לייעל את משאבי הזיכרון ולהקטין את שטח האחסון שנלקח על ידי הנתונים המופקים.
בצע אופטימיזציה של כל קוד יישום או שאילתות מסד נתונים המופעלות על בסיס קבוע מספיק כדי להשפיע על היכולת התפעולית של הארגון.
הגבל את כמות רוחב הפס המוקצה לפעילויות לא קריטיות בגבולות הרשת של הארגון. זה יכול לכלול הגבלת גישה לאינטרנט ומניעת הזרמת וידאו/אודיו ממכשירי עבודה.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022-8.6 מחליף את 27002:2013-12.1.3 (ניהול קיבולת).

27002:2022-8.6 מכיל קבוצה מקיפה הרבה יותר של הנחיות המדריכות ארגונים כיצד להגדיל את הקיבולת או להפחית את הביקוש.

בהמשך לכך, 27002:2013-12.1.3 אינו מכיל הנחיה ספציפית כיצד להגדיל את הקיבולת, בניגוד ל-27002:2022-8.6 המתווה דרכי פעולה ספציפיות המובילות ליותר מרחב נשימה תפעולי.

27002:2013-12.1.3 גם אינו מכיל הנחיות כיצד לבצע בדיקת קיבולת מבצעית, או אחרת לבדוק את יכולתו של ארגון לנהל קיבולת באופן שוטף, מחוץ להמלצה על תוכנית לניהול קיבולת.

בהתאם לעלייה המטאורית של מחשוב ענן בעשור האחרון, 27002:2022-8.6 מפורשת בעצתה לארגונים להשתמש במשאבים מבוססי ענן המתרחבים אוטומטית בהתאם לדרישות העסקיות.

27002:2013-12.1.3 אינו מזכיר אחסון או מתקני מחשוב מחוץ לאתר.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך. פתרון התאימות המלא שלך עבור ISO / IEC 27002: 2022.

התקדמות של עד 81% מרגע הכניסה
פתרון תאימות פשוט ומוחלט

צור קשר עוד היום כדי הזמן הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

אנחנו מובילים בתחומנו