ISO 27701, סעיף 6.9, אבטחת תפעול

ISO 27701 – סעיף 6.9 – אבטחת תפעול

ISO 27701 סעיף 6.9 בנושא אבטחת תפעול מתאר אמצעים עיקריים להגנה על מידע אישי מזהה (PII), כולל רישום אירועים, הגנה מפני תוכנות זדוניות, בקרת תוכנה, ניהול פגיעות וביקורות מערכת כדי להבטיח תאימות ואבטחת נתונים.

הבנת סעיף 6.9: אבטחת תפעול ב-ISO 27701

התנהלותה היומיומית של רשת ICT מכילה מלכודות רבות שיש להן פוטנציאל להשפיע על יכולתו של ארגון לעמוד בהתחייבויותיו החקיקתיות, הרגולטוריות והחוזיות.

Operations Security הוא נושא רחב היקף העוסק במגוון נושאים הקשורים לזמינות ושלמותו של PII ומידע הקשור לפרטיות, על פני כל פעילות הארגון.

מה מכוסה בסעיף 27701 של ISO 6.9

ISO 27701 סעיף 6.9 מכיל 4 סעיפי משנה, שכל אחד מהם מתכתב עם תת סעיף סמוך ב ISO 27002:

ISO 27701 6.9.1.1 - תיעוד נהלי הפעלה (ISO 27002 בקרה 5.37)
ISO 27701 6.9.1.2 - ניהול שינויים (ISO 27002 בקרה 8.32)
ISO 27701 6.9.1.3 - ניהול קיבולת (ISO 27002 בקרה 8.6)
ISO 27701 6.9.1.4 - הפרדת סביבות פיתוח, בדיקות ותפעול (ISO 27002 בקרה 8.31)

ISO אינו מספק הנחיות נוספות לפעילויות הקשורות ל-PIMS או ל-PII, וגם לא בריטניה GDPR שיקולים שיש לקחת בחשבון.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.9.1.1 - תיעוד נהלי הפעלה

הפניות ISO 27002 בקרה 5.37

על הארגון לתעד ביסודיות נהלים הקשורים להגנת הפרטיות, כולל:

פעילויות שצריכות להתבצע מספר פעמים על ידי אותו צוות.
פעילויות שלא מבוצעות בדרך כלל, ומתי ככל הנראה תופיע המקרה הבא.
פעילויות חדשות.
העברת אחריות לעובדים אחרים.

תהליכים ונהלים צריכים לציין בבירור:

אנשים האחראים על ביצוע הפעילות.
כיצד יש ליישם מערכות.
כיצד יש לאחסן ולטפל במידע אישי ומידע קשור.
תוכניות גיבוי וחוסן עסקי (ראה ISO 27002 בקרה 8.13).
כל דרישות תזמון.
הנחיות ברורות המתארות כיצד על הצוות לטפל בתנאים מיוחדים המתעוררים במהלך תהליך ההגנה על נכסים אישיים ופרטיות, כולל תוכניות שירות (ראה ISO 27002 בקרה 8.18).
כיצד ליישם ולנהל מדיית אחסון (ראה ISO 27002 בקרות 7.10 ו-7.14).
הליכי שחזור מערכת.
כיצד על הצוות לנהל מסלולי ביקורת, יומני מערכת ואירועים ומערכות ניטור אחרות הקשורות (ראה ISO 27002 בקרות 8.15, 8.17 ו-7.4).
ניטור קיבולת, ביצועים ואבטחה (ראה ISO 27002 בקרות 8.6 ו-8.16).

ארגונים צריכים להבטיח שהמדיניות והנהלים ייבדקו במרווחי זמן מתאימים, ויעודכנו כאשר הצרכים התפעוליים משתנים.

במידת האפשר, ISO ממליצה לתחזק מערכות תוך שימוש באותה קבוצה של בקרות ניהול ויישומים.

בקרות ISO 27002 רלוונטיות

ISO 27002 7.4
ISO 27002 7.10
ISO 27002 7.14
ISO 27002 8.6
ISO 27002 8.13
ISO 27002 8.15
ISO 27002 8.16
ISO 27002 8.17
ISO 27002 8.18

ISO 27701 סעיף 6.9.1.2 – ניהול שינויים

הפניות ISO 27002 בקרה 8.32

בכל פעם שמערכת חדשה מוצגת, או שמתוכננים שינויים גדולים במערכות קיימות, ארגונים צריכים לדבוק במערכת מובנית המכסה:

תיעוד.
המפרט.
בדיקה.
בקרת איכות
ניהול יישום.

נהלי השינוי צריכים לכלול:

ניתוח של ההשפעה של כל שינוי מוצע.
הליכי הרשאה.
הפצת השינויים לכל בעלי העניין.
בדיקה - כולל קריטריוני קבלה נוקשים.
כיצד מתבצעים שינויים במהלך שלבי היישום.
תוכניות מגירה המכסות כל תקרית הקשורה לשינוי במהלך היישום.
כיצד לשמור על תיעוד נאות של כל הפעילות הקשורה לשינוי.
עדכון כל מסמכי ההפעלה הרלוונטיים והוראות המשתמש (ראה ISO 27002 בקרה 5.37).

ISO דוגל בבדיקות ובכל פעילות הקשורה לשינוי בסביבה שהיא נפרדת מבחינה לוגית (ואפשרית פיזית) מהסביבה התפעולית שהשינויים אמורים להשפיע עליה) (ראה ISO 27002 בקרה 8.31).

בקרות ISO 27002 רלוונטיות

ISO 27002 5.37
ISO 27002 8.31

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 6.9.1.3 – ניהול קיבולת

הפניות ISO 27002 בקרה 8.6

ארגונים צריכים להבטיח שיש להם יכולת תפעולית מספקת לביצוע פונקציות עסקיות יומיומיות, כך ש-PII או חומר הקשור לפרטיות לא ייפגע.

ארגונים צריכים:

שקול המשכיות עסקית והגנה על הפרטיות כעדיפות עליונה בעת יישום בקרות ניהול קיבולת, כולל בקרות בילוש המדגישות בעיות פוטנציאליות לפני שהן מתרחשות.
לבסס את פעולת ניהול הקיבולת שלהם על הפונקציות הפרואקטיביות של כוונון וניטור.
בצע מבחני קיצון סדירים החוקרים יכולת מערכתית לתת מענה לצרכים העסקיים הכוללים ולתקנות, חוקים והנחיות הגנת הפרטיות.
כלול תוכניות להתרחבות מסחרית וטכנית (הן מנקודת מבט פיזית ודיגיטלית) של המבצע.
שקול זמני אספקה ועלויות משתנים, בהתאם למערכת או לפונקציה העסקית המדוברת. יש להקדיש תשומת לב רבה יותר למשאבים הקשורים לפרטיות, לאור פרופיל הסיכון המוגבר שלהם.
תיעוד וצפה בנקודות כשל בודדות הקשורות לתלות באנשי מפתח, משאבים אישיים ו-PII.
נסח והטמיע תוכנית לניהול קיבולת העוסקת במיוחד בהגנה על הפרטיות.

ISO דוגל בגישה דו-חזיתית לניהול קיבולת שמגדילה את הקיבולת או מפחיתה את הביקוש למשאב או לקבוצת משאבים.

כאשר מנסים להגדיל את הקיבולת, ארגונים צריכים:

שקול גיוס עובדים חדשים, כדי לעמוד בדרישות העסקיות המתרחבות.
התרחב למיקומים פיזיים חדשים - כולל מתקני עיבוד נתונים ואחסון.
שקול להשתמש במשאבי ענן שמתרחבים אוטומטית כדי לענות על הצרכים ההולכים וגדלים של הארגון.

כאשר מנסים לצמצם את הביקוש, ארגונים צריכים:

מחק נתונים מיושנים או שאינם בשימוש.
השלך עותקים מודפסים של מידע שהארגון אינו צריך עוד, ואינו מחויב לשמור על פי חוק.
בטל את כל משאבי ה-ICT שאינם נחוצים עוד.
הטמעת משימות ICT מתוזמנות המייעלות את משאבי הזיכרון ומצמצמות את שטח האחסון.
ודא שכל פיסות קוד בר הפעלה, או שאילתות מסד נתונים, מותאמות להפחתת הביקוש למשאבי חישוב ואחסון.
הגבל את הגישה לאינטרנט ואסור הזרמת וידאו/אודיו ממכשירי עבודה.

ISO 27701 סעיף 6.9.1.4 – הפרדה בין סביבות פיתוח, בדיקות ותפעול

הפניות ISO 27002 בקרה 8.31

ISO מזהה שלוש סביבות בדיקה שונות שיש להפריד אחת מהשנייה:

פיתוח
בדיקות
הפקה

כדי להבטיח ש-PII מוגן בכל שלוש הסביבות (במיוחד בכל סביבת הייצור), ארגונים צריכים:

להפעיל מערכות ייצור ופיתוח בתחומים שונים מובהקים (פיזי ווירטואל).
הגדירו בצורה נוקשה כיצד מיושמת תוכנה משלב הפיתוח ועד לשלב הייצור.
בדוק ביסודיות כל שינוי במערכות ייצור בסביבת בדיקה, לפני שיושמו בסביבה חיה (ראה ISO 27002 בקרה 8.29).
לאסור בדיקות בסביבות ייצור חיות, מלבד מקרים מיוחדים שקיבלו אישור מוקדם.
ודא שכלי פיתוח אינם נגישים מסביבות ייצור חיות, אלא אם כן נדרש במפורש.
תווית מערכות ונכסים כדי לציין בבירור לאיזו סביבה הם שייכים.
מנע העתקה של מידע הקשור לפרטיות מסביבת הייצור לכל סביבה אחרת, אלא אם כן הנתונים האמורים כפופים לאותה מערכת בקרות אבטחה בכל מקום אליו הם מועתקים.

יש להגן על סביבות פיתוח ובדיקה על ידי:

עדכון ותיקון של כל כלי הפיתוח.
תצורות שיטות עבודה מומלצות.
ביקורת ומעקב אחר כל שינוי בסביבה.
תוכניות BUDR איתנות.

ISO מבהיר במפורש שצוות הפיתוח והבדיקות מהווים סיכון לא פרופורציונלי ל-PII - בין אם ישירות עקב פעולות זדוניות, או בשוגג עקב טעויות בתהליך הפיתוח.

חשוב מאוד שלאף עובד בודד לא תהיה את היכולת לבצע תיקונים הן בסביבות הפיתוח והייצור והן בתוך סביבות הפיתוח והייצור ללא אישור מתאים, כולל סקירה של השינויים הנדרשים ואישור רב-שלבי (ראה ISO 27002 בקרה 8.33).

ארגונים צריכים להקפיד על שלמות וזמינות של PII לאורך תהליך הפיתוח והבדיקה, כולל סביבות ייצור מרובות, סביבות הדרכה והפרדת תפקידים.

בקרות ISO 27002 רלוונטיות

ISO 27002 8.29
ISO 27002 8.33

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701	שם סעיף ISO 27701	דרישת ISO 27002	מאמרי GDPR משויכים
6.9.1.1	תיעוד נהלי הפעלה	5.37 - נהלי הפעלה מתועדים עבור ISO 27002	ללא חתימה
6.9.1.2	שינוי הנהלה	8.32 – ניהול שינויים עבור ISO 27002	ללא חתימה
6.9.1.3	ניהול קיבולת	8.6 – ניהול קיבולת עבור ISO 27002	ללא חתימה
6.9.1.4	הפרדת סביבות פיתוח, בדיקות ותפעול	8.31 – הפרדת סביבות פיתוח, בדיקה וייצור עבור ISO 27002	ללא חתימה

כיצד ISMS.online עוזר

כדי לעמוד בתקן ISO 27701, עליך ליצור מערכת ניהול מידע פרטיות (PIMS). עם ה-PIMS המובנה מראש שלנו, אתה יכול לנהל ולארגן את נתוני הלקוחות, הספקים והעובדים במהירות ובפשטות כדי לעמוד במלואו בסטנדרט.

יתר על כן, ISMS.online יכול להכיל את המספר ההולך וגדל של תקנות פרטיות גלובליות, אזוריות וסקטור ספציפיות.

לפני קבלת הסמכה ISO 27701 (פרטיות), תחילה עליך להיות מוסמך ISO 27001 (אבטחת מידע). למרבה המזל, הפלטפורמה שלנו יכולה לעזור לך להשיג את שניהם.

למידע נוסף על ידי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

אנחנו מובילים בתחומנו