ISO 27701 סעיף 6.8: חיזוק הביטחון הפיזי והסביבתי
בנוסף לאמצעי אבטחה דיגיטליים (RBAC, בקרות הצפנה ואימות), ארגונים צריכים לבנות ולנהל מיקומים פיזיים (אתרים, משרדים, מתקנים) המציעים הגנה מוגברת ל-PII בכל מקום שבו הוא מעובד או מאוחסן.
ISO מתאר איומים אנושיים, סביבתיים ועירוניים רבים שיש להילחם בהם באמצעות תכנון בנייה, ניהול סיכונים ובקרות פיזיות חזקות.
מה מכוסה בסעיף 27701 של ISO 6.8
ההנחיות של ISO 27701 6.8 מפוזרות על פני שישה סעיפי משנה, שכל אחד מהם מכיל הנחיות מבקרות שונות במסגרת ISO 27002, מיושם בהקשר של PII והגנת הפרטיות:
- ISO 27701 6.8.1.1 - היקפי אבטחה פיזיים (הפניות ISO 27002 בקרה 7.1)
- ISO 27701 6.8.1.2 - בקרות כניסה פיזיות (References ISO 27002 Control 7.2)
- ISO 27701 6.8.1.3 - אבטחת משרדים, חדרים ומתקנים (References ISO 27002 Control 7.3)
- ISO 27701 6.8.1.4 - הגנה מפני איומים חיצוניים וסביבתיים (References ISO 27002 Control 7.5)
- ISO 27701 6.8.1.5 - עבודה באזורים מאובטחים (References ISO 27002 Control 7.6)
- ISO 27701 6.8.1.6 - אזורי אספקה וטעינה (הפניות ISO 27002 בקרה 7.2)
ISO 27701 סעיף 6.8 אינו מכיל הנחיות משלימות להטמעה וניהול של PIMS, וגם אין מאמרים של GDPR בבריטניה שיש לקחת בחשבון.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 6.8.1.1 – היקפי אבטחה פיזית
הפניות ISO 27002 בקרה 7.1
הגנה היקפית פועלת על פי העיקרון של יצירת מחסומים פיזיים פנימיים מתמשכים, המונעים גישה בלתי מורשית למידע פרטי.
כדי לשמור על פעולת הגנה היקפית מקצה לקצה, ארגונים צריכים למנוע גישה פיזית ל-PII על ידי:
- הגדרה והטמעה של היקפי אבטחה הלוקחים בחשבון אחסון של נתונים רגישים (PII).
- שמירה על היקפים 'תקינים פיזית' המספקים גישה מאובטחת 24/7.
- נעילת כל נקודות הכניסה והיציאה החיצוניות כאשר אין צוות נוכח (ואבטחת נקודות אוורור, במידת הצורך).
- הגנה על דלתות עם אזעקות ואמצעי גישה מאובטחים (קודי מפתח, מנגנוני נעילה אוטומטית וכו').
- שמירה על מערך חזק של דלתות אש מוזעקות, המתחשבות בחקיקה הרווחת בנושא בניית נקודות גישה חיצוניות ופנימיות.
- הכנת תוכניות מגירה המאפשרות הגברת האבטחה במצבים קריטיים או תקריות ביטחוניות.
ISO 27701 סעיף 6.8.1.2 - בקרות כניסה פיזיות
הפניות ISO 27002 בקרה 7.2
בעוד ש-ISO 27701 6.8.1.1 מתמקד בהיקפי אבטחה, סעיף 6.8.1.2 מתאר עקרונות כלליים כדי להבטיח שרק צוות מורשה יוכל לגשת לאזורים המכילים PII ונכסים הקשורים לפרטיות.
ליווי כללי
ארגונים צריכים:
- הגבל באופן אחיד את הגישה לאתרים שלמים, לבניינים ולמתקני משרדים לצוות מורשה בלבד (כולל נקודות יציאת חירום).
- ערכו סקירות תקופתיות של רמות הגישה, שצריכות לכלול עדכון גורף של כל רמות הגישה, לפי הצורך (ראה ISO 27002 בקרת 5.18).
- שמור יומן, או צור מסלול ביקורת דיגיטלי, של גישה לאתר ולחדר (ראה ISO 27002 בקרת 5.33).
- לפתח ולהתקין אמצעי גישה טכניים (כרטיסי מפתח, פובים, מערכות כניסה ביומטריות, אזעקות מקודדות וכו').
- לשמור על אזור קבלה מפוקח.
- בדוק את החפצים האישיים של כוח אדם פנימי וחיצוני, לפני הכניסה (שים לב שחוקים אזוריים על בדיקת רכוש אישי עלולים למנוע מארגונים לעשות זאת).
- אכיפת תקנות תעודה מזהה עם תמונה בכל האתר.
- מתן גישה מוגבלת למבקרים לכל אזור המאחסן או מעבד PII או מידע הקשור לפרטיות.
- צור תוכניות מגירה לתקריות ותרחישים קריטיים.
- לשמור על מערכת ניהול מפתחות שמתעדת, מבקרת, מתחזקת, מעניקה ושוללת גישה לשיטות אימות כגון מערכות כניסת דלתות ומנעולי קומבינציה (ראה ISO 27002 בקרת 5.17).
מבקרים
כאשר מאפשרים למבקרים גישה לאזורים מוגבלים, ארגונים צריכים:
- אמת את זהות המבקר לפני מתן גישה.
- רשום את התאריך והשעה של הביקור.
- ודא שאופי הביקור מובן ומתועד, והוא מתאים בהקשר של האזור הפיזי אליו ניגשים.
- ודא שהמבקר נמצא בפיקוח, היכן שזה רלוונטי.
אזורי משלוח וטעינה
בעת תכנון והפעלת אזור טעינה, ארגונים צריכים:
- הגבל את הגישה לאזורי הטעינה לחברות ויחידים מאומתים.
- בנה את אזור הטעינה כך שאף חלק אחר של המקום אינו נגיש ללא אישור מתאים.
- בדוק משלוחים שהתקבלו עבור חומרים מסוכנים, בלתי חוקיים ונפיצים, ושיבוש, לפני העברת תכולתם ברחבי המקום.
- רישום משלוחים נכנסים בהתאם לבקרות ניהול נכסים ארגוניים (ראה ISO 27002 בקרות 5.9 ו-7.10).
- הצע מרחב לצוות להפריד פיזית בין חומר נכנס ויוצא.
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.8.1.3 - אבטחת משרדים, חדרים ומתקנים
הפניות ISO 27002 בקרה 7.3
הגנה פיזית על PII ונכסים הקשורים לפרטיות משתרעת גם על חדרים בתוך היקף אבטחה מבוסס. כדי לאבטח משרדים, חדרים ומתקנים, ארגונים צריכים:
כדי להגן על מתקנים פנימיים, ארגונים צריכים:
- הימנע מבניית מתקני משרד המאפשרים לציבור גישה חופשית, ללא אישור מתאים.
- כאשר מדובר במתקני עיבוד PII, הימנע משילוט המציין את מטרת המתקן (פנימי או חיצוני).
- בניית מתקנים המונעים מהאנשים להיות גלויים לציבור, עם מיגון אלקטרומגנטי מתאים במידת הצורך.
- הסתר את הנוכחות של מתקנים לעיבוד PII מפלטפורמות מפות מקוונות ומספריות תקשורת.
ISO 27701 סעיף 6.8.1.4 - הגנה מפני איומים חיצוניים וסביבתיים
הפניות ISO 27002 בקרה 7.5
'איום' יכול להתפרש ככל אירוע גדול שיש לו פוטנציאל להשפיע על PII או נכסים הקשורים לפרטיות.
ארגונים צריכים להתחיל בהערכת סיכוני איום לפני ביצוע 'פעולות קריטיות', הלוקחות בחשבון שינויים בסביבת האיום, לרבות איומים פיזיים (למשל פעילות פלילית) ואיומים סביבתיים (שיטפונות, שריפות וכו').
בעת בניית הנחות פיזיות, ארגונים צריכים לקחת בחשבון:
- גורמים גיאוגרפיים וטופולוגיים מקומיים, כולל מאפייני קרקע, מים סמוכים ופוטנציאל לרעידת אדמה.
- כל איומים הנובעים ממקורות אנושיים באזורים עירוניים, כגון פעילות טרור או פלילית, ואלימות/תסיסה פוליטית.
לאחר השלמת הערכת הסיכונים, ארגונים צריכים לפתח סדרה של בקרות המבקשות למנוע ולמזער את הסיכון להתרחשות או הישנות איום.
ISO מזכיר אש, שִׁיטָפוֹן, נחשולי מתח חשמלי ו חומרי נפץ/נשק כבעל חשיבות מיוחדת. אם המשאבים יימתחו, ארגונים צריכים להתמקד בארבעת התחומים האלה בראש סדר העדיפויות.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.8.1.5 - עבודה באזורים מאובטחים
הפניות ISO 27002 בקרה 7.6
ארגונים צריכים להגן על PII ונכסים הקשורים לפרטיות על ידי הטמעת מדיניות עבודה מאובטחת לכל הצוות, שלוקחת בחשבון תפקידי עבודה ואמצעי הגנה פיזיים.
בעת גיבוש מדיניות עבודה באזורים מאובטחים, ארגונים צריכים:
- ודא שהצוות פועל על בסיס 'צריך לדעת'.
- הימנע מהשארת הצוות ללא השגחה לפרקי זמן ממושכים.
- ודא שכל הדלתות הרלוונטיות נעולות, וירידה נמוכה ברגליים או אזורים פנויים לצמיתות כפופים לבדיקות תקופתיות.
- מעקב ובקרה על השימוש בהתקני קצה אישיים וארגוניים, ברמה התואמת את הנתונים המוחזקים.
- הצג בבירור תוכניות מגירה ונהלי חירום, כך שאנשי הצוות יבינו כיצד להגיב לתרחישים קריטיים.
ISO 27701 סעיף 6.8.1.6 – אזורי אספקה וטעינה
הפניות ISO 27002 בקרה 7.2
ראה ISO 27701 סעיף 6.8.1.2 (לעיל).
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.8.1.1 | היקפי אבטחה פיזית |
7.1 - היקפי אבטחה פיזיים עבור ISO 27002 |
ללא חתימה |
| 6.8.1.2 | בקרות כניסה פיזיות |
7.2 - כניסה פיזית עבור ISO 27002 |
ללא חתימה |
| 6.8.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.3 – אבטחת משרדים, חדרים ומתקנים עבור ISO 27002 |
ללא חתימה |
| 6.8.1.4 | הגנה מפני איומים חיצוניים וסביבתיים |
7.5 - הגנה מפני איומים פיזיים וסביבתיים עבור ISO 27002 |
ללא חתימה |
| 6.8.1.5 | עבודה באזורים מאובטחים |
7.6 - עבודה באזורים מאובטחים עבור ISO 27002 |
ללא חתימה |
| 6.8.1.6 | אזורי משלוח וטעינה |
7.2 - כניסה פיזית עבור ISO 27002 |
ללא חתימה |
כיצד ISMS.online עוזר
איך אנחנו עוזרים?
על מנת להשיג את תקן ISO 27701 עליך לבנות מערכת ניהול מידע פרטיות (PIMS). עם ה-PIMS המוגדר מראש שלנו, אתה יכול לארגן ולנהל במהירות ובקלות מידע על לקוחות, ספקים וצוות כדי לעמוד במלואו בתקן ISO 27701.
אתה יכול גם להכיל את המספר ההולך וגדל של תקנות פרטיות גלובליות, אזוריות וספציפיות למגזר שאנו תומכים בפלטפורמת ISMS.online.
כדי להשיג הסמכה ל-ISO 27701, תחילה עליך להשיג הסמכה ל-ISO 27001. החדשות הטובות הן שהפלטפורמה שלנו יכולה לעזור לך לעשות את שניהם.
למידע נוסף על ידי הזמנת הדגמה מעשית.
