ISO 27701 סעיף 6.5: חיזוק הפרטיות באמצעות ניהול נכסים
ניהול נכסים הוא חלק מרכזי בשמירה על הגנת הפרטיות, ברמה הפיזית והדיגיטלית.
ארגונים צריכים לשמור על רישומים ברורים של כל הנכסים הרלוונטיים, כדי לקבל מבט מלמעלה למטה על האופן שבו זורמים מידע אישי ונתונים הקשורים לפרטיות בארגון.
צוות שמשתמש בנכס כלשהו בתוך ה-ICT של ארגון שיש לו את היכולת לאחסן או לעבד PII צריך להיות מודע במפורש מה מצופה מהם במונחים של שימוש מקובל וכיצד מידע כזה מנוהל במהלך תקופה מחוץ למטוס.
מה מכוסה בסעיף 27701 של ISO 6.5
ISO 27701 6.5 מכיל ארבעה סעיפי משנה העוסקים ספציפית בהגנה על פרטיות, בהקשר של ניהול נכסים.
כל סעיף משנה מסתמך על הנחיות הכלולות בתוך סעיפי משנה שונים של ISO 27002, עם שני סעיפי משנה המכילים את אותן נקודות הנחיה בדיוק:
- ISO 27701 6.5.1.1 – מלאי נכסים (References ISO 27002 Control 5.9).
- ISO 27701 6.5.1.2 – בעלות על נכסים (References ISO 27002 Control 5.9).
- ISO 27701 6.5.1.3 - שימוש מקובל בנכסים (References ISO 27002 Control 5.10).
- ISO 27701 6.5.1.4 – החזרת נכסים (References ISO 27002 Control 5.11).
ISO אינו מספק הנחיות נוספות לפעילויות הקשורות ל-PIMS, במסגרת ניהול הנכסים, וגם אין השלכות GDPR שיש לקחת בחשבון.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.5.1.1 - מלאי נכסים
הפניות ISO 27002 בקרה 5.9
סיווג מלאי
כדי להגביר את הגנת הפרטיות, ארגונים צריכים לשמור רשימה מדויקת, מעודכנת ומתועדת של מידע ונכסים, כולל היכולת להתייחס למלאי בכל הארגון.
ישנן מספר דרכים שבהן ארגונים יכולים לשפר את פעולת המלאי שלהם, כולל:
- בדיקה שוטפת של תכולת המלאי, מול מה שמוחזק בפועל על ידי הארגון.
- בכל פעם שנכס משתנה, מוצג או מוסר על ידי הארגון, הטמעת נהלים המעדכנים אוטומטית את המלאי כחלק מתהליך השינוי.
- הבטחת שהמלאי מכיל שדה 'מיקום', כדי לזהות בקלות את מקום הימצאו של כל נכס.
מלאי לא צריך להיות רשימה אחת גדולה של כל נכס פיזי ודיגיטלי המוחזק. במקום זאת, ISO מעודד ארגונים להפריד מלאי על בסיס קטגוריה לקטגוריה, כולל מלאי נפרד עבור:
- נכסי מידע.
- חומרה ותוכנה.
- מכונות וירטואליות (VMs).
- ציוד מתקנים.
- רישומי כוח אדם.
חשוב לציין שבמקרה של נכסים מסוימים - לא ניתן לתחזק את כל המידע באופן שוטף, ואין צורך לכלול כל נכס אחרון בכל האחזקות הפיזיות והדיגיטליות של הארגון - למשל VMs קצרי מועד לבצע מטרה יחידה לזמן קצר, לפני ההסרה.
בעלות
יש לתת לכל הנכסים המסווגים 'בעלים' רשמי - בין אם זה אדם, או קבוצה (ראה ISO 27002 5.12 ו-5.13) - אשר אמור להשתנות כאשר תפקידי עבודה מתחילים, מפסיקים או משתנים.
בעלי נכסים צריכים להבטיח כי:
- כל הנכסים נרשמים בצורה נכונה ומסווגים במלאי.
- הסיווגים כפופים לבדיקה תקופתית.
- כל רכיבי הטכנולוגיה מפורטים בהתאם, ובנפרד מנכסים פיזיים (למשל רכיבי DB).
- הארגון מקפיד על מדיניות שימוש מקובל (ראה ISO 27002 בקרת 5.10).
- הגבלות מוטלות על הבהרות נכסים מסוימות, ונבדקות במועדים המתאימים.
- בכל פעם שהארגון צריך למחוק או להסיר נתונים מהמלאי שלו, נתונים כאלה מסולקים בצורה מאובטחת.
- ניהול סיכונים הוא החזית והמרכז של כל פעילויות הטיפול בנכסים.
- הם מציעים תמיכה נאותה לכל צוות המעורב בהגנה על פרטיות וניהול מידע.
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 סעיף 6.5.1.2 – בעלות על נכסים
הפניות ISO 27002 בקרה 5.9
ראה ISO 27701 סעיף 6.5.1.1
ISO 27701 סעיף 6.5.1.3 - שימוש מקובל בנכסים
הפניות ISO 27002 בקרה 5.10
כל הצוות בארגון שמטפל במידע או בנכסים פיזיים ודיגיטליים צריך להיות מודע במפורש לאחריותם כלפי הגנת הפרטיות, לרבות דרישות אבטחה כלליות או ספציפיות לנושא.
מדיניות השימוש המקובל צריכה לתאר בבירור:
- כיצד הארגון מסווג התנהגות מקובלת ובלתי מקובלת, במסגרת הגנת הפרטיות.
- כיצד מותר להשתמש במידע (במיוחד PII) ברחבי הרשת.
- כיצד הארגון מתכוון לפקח על השימוש בנכסים.
יש ליישם נהלים הלוקחים בחשבון את מחזור החיים המלא של PII, כולל:
- הגבלות גישה הרלוונטיות ל-PII.
- רישום ברור ועדכני של מי רשאי לגשת לנתוני PII ונכסים קשורים, ובאילו נסיבות.
- רמות נאותות של אבטחה ואחסון עבור נתוני PII - כולל עותקים זמניים.
- התחשבות בהמלצות היצרן בעת אחסון נכסים הקשורים להגנת הפרטיות (ראה ISO 27002 7.8).
- תיוג ברור של כל אמצעי האחסון עם הפרטים של המשתמש/הנמען המורשה (ראה ISO 27002 7.10).
- כיצד מסירים נתוני PII ונכסים משויכים מהרשת ו/או נמחקים ומופטרים.
בקרות ISO 27002 רלוונטיות
- ISO 27002 7.8
- ISO 27002 7.10
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.5.1.4 – החזרת נכסים
הפניות ISO 27002 בקרה 5.11
נהלי ניהול נכסים צריכים לכלול גם הנחיות מפורשות לגבי האופן שבו הארגון מנהל החזרת נכסים שהיו מעורבים בעיבוד או אחסון של PII, ומידע אחר הקשור לפרטיות.
בין אם צוותים השתמשו במכשירים שלהם, או שהוקצה להם נכס ארגוני, יש להפעיל תהליכים ששומרים על PII על ידי הסרת הנתונים מהנכס המדובר והעברת מידע חזרה לארגון.
אם העובדים כפופים לתקופת הודעה מוקדמת, ארגונים צריכים לנקוט בצעדים כדי להבטיח שהעובד היוצא למטוס לא יפגע בשום צורה של PII - כולל שיתוף, העברה או מחיקה לא מורשים.
ארגונים צריכים לפתח זרימות עבודה המכסות את החזרת כל הנכסים המעורבים בעיבוד או אחסון PII, כולל (אך לא רק):
- מכשירים (מחשבים ניידים, ניידים, טאבלטים וכו').
- כונני USB.
- כלי אימות וחומרה (נכסי אימות VPN ואסימונים, ציוד לכניסה לדלת/מתחם.
- עותקים קשיחים של PII.
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.5.1.1 | מלאי נכסים |
5.9 - מלאי מידע ונכסים נלווים אחרים עבור ISO 27002 |
ללא חתימה |
| 6.5.1.2 | בעלות על נכסים |
5.9 - מלאי מידע ונכסים נלווים אחרים עבור ISO 27002 |
ללא חתימה |
| 6.5.1.3 | שימוש מקובל בנכסים |
5.10 – שימוש מקובל במידע ובנכסים נלווים אחרים עבור ISO 27002 |
ללא חתימה |
| 6.5.1.4 | החזרת נכסים |
5.11 - החזרת נכסים עבור ISO 27002 |
ללא חתימה |
כיצד ISMS.online עוזר
איך אנחנו עוזרים?
על ידי הוספת PIMS ל-ISMS שלך בפלטפורמת ISMS.online, עמדת האבטחה שלך נשארת במקום אחד ותימנע כפילות במקום שבו התקנים חופפים.
עם ה-PIMS שלך נגיש באופן מיידי לבעלי עניין, מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27002 ו-ISO 27701 בלחיצת כפתור.
גלה כמה זמן וכסף תחסוך במסע שלך להסמכה משולבת של ISO 27002 ו-27701 באמצעות ISMS.online.
למידע נוסף על ידי הזמנת הדגמה מעשית.
