הנחיות יישום NIS 2 לניהול נכסים עם מיפוי ISO 27001 ו-Isms.online CMDB

Q: מה משתבש בניהול נכסים ידני?

• נדידה מהירה של נכסים: רשימות סטטיות מפגרות מהמציאות. אנשים משנים תפקידים; תוכנה מתפתחת; ספקים משתנים. עד שתבצעו את הסקירה השנתית שלכם, הרשימה כבר לא מעודכנת. • חשיפה לספקים: NIS 2 ו-ISO 27001 דורשים מכם לעקוב לא רק אחר נקודות קצה, אלא גם אחר שירותים מנוהלים, ספקי תמיכה, פלטפורמות ענן וכלים כשירות - סוג של נכסים שגיליונות אלקטרוניים כמעט ולא כוללים (DIESEC 2025). • שבריריות ביקורת: רגולטורים מבקשים מכם להוכיח את שרשרת המשמורת: למי היה הבעלים של הנכס, מתי; אילו מדיניות או בקרות יושמו; אילו יומני ראיות מאשרים הוצאה משימוש או העברה (ISO 27001 נספח A 5.9, 5.8, 8.9). גיליונות אלקטרוניים מתפרקים, מה שמאלץ ציד ידני של ראיות.

Q: אילו בקרות ISO 27001 ו-NIS 2 גורמות לרוב כשלים בביקורת רישום נכסים, וכיצד מיפוי מדויק מתקן זאת?

כשלים בביקורת נובעים בדרך כלל משלוש נקודות תורפה: 1. רישומי נכסים לא מלאים (נספח A.5.9/NIS 2 סעיף 21): נכסים חסרים, לא מסווגים או לא מתויגים לפי קריטיות או תחום. 2. שרשראות בעלות שבורות (A.5.8, A.5.9): בעלים/אפוטרופוס לא ידוע או עקבות שלא עודכנו בעת יציאה או הקצאה מחדש. 3. מעקב חסר אחר מחזור חיים/שינויים (A.8.9, A.5.35): אין יומני קליטה, העברות או הוצאה משימוש, או אירועים שאבדו לגליונות אלקטרוניים. NIS 2 מחמיר את הסיכון: יש למפות נכסי ספקים, ענן, OT, אפילו נכסים שאינם דיגיטליים, ותלות חוצות גבולות חייבות להיות ממופות בבירור. טבלת תרחישים: מיפוי הוכחת ביקורת אם כל אירוע נכס ממופה לבקרה בזמן אמת, ביקורות הופכות לסקירות מונחות ראיות - לא לערבוב נתונים חרד של הרגע האחרון.

Q: מה בדיוק עליכם להכין (פורמטים, יומני רישום, ייצוא) כדי לשרוד ביקורת ניהול נכסים NIS 2/ISO 27001?

ראיות הוכחת ביקורת חייבות להיות מעבר לרשימה. מבקרים דורשים: • רישום נכסים ראשי: כל הנכסים, הסיווגים, הבעלות, הספקים ותאריכי הסקירה - ניתנים לייצוא כ-PDF או CSV בפורמט סטנדרטי. • יומני בעלות ומסירה: רישומים עם חותמת זמן של הקצאה, הקצאה מחדש, יציאה והחלפת משמורן. • נתיבי סקירה וביקורת: רישומי רישום של כל סקירה, עם מעקב אחר הבודק, הסיבה והסלמה. • רישומי אירועים וסילוק: אבטחת רישומים עבור נכסים המעורבים באירועים או שהוסרו/הוצאו משימוש עם הפניה צולבת ליומני מדיניות או סיכונים. • מיפוי צולב לבקרות: כל שדה מקושר לסעיף ISO/NIS 2 הרלוונטי לבדיקה צולבת מהירה על ידי מבקרים. ISMS.online: תכונות ניהול נכסים יומני רישום חייבים להיות חסינים מפני פגיעה וניתנים לייצוא מיידי - רישומים מיושנים, חלקיים או בלתי ניתנים לאימות יהוו עילה לתיקון ביקורת.

Q: מה צריכים לעשות כעת מנהלי ציות ומנהלי IT כדי להפחית סיכונים בניהול נכסים תחת תקן NIS 2?

1. ביקורת במרשם הנוכחי שלך: ודא שכל ערך נכס כולל שם, סיווג, בעלים שהוקצה, ספק, תחום וסקירה מתוזמנת. 2. ריכוז ושדרוג פלטפורמות: מעבר מגיליונות אלקטרוניים למערכת ניהול נכסים חיה עם דרישות שדה נאכפות. 3. אוטומציה של ביקורות מחזור חיים ובעלות: הגדרת התראות עבור בעלים/סקירות שעברו את מועד ההגשה והסלמה אוטומטית עבור מקרים לא פתורים. 4. שילוב כל מקורות הנכסים: איחוד IT, OT, ענן, SaaS, מובייל וספקים תחת מרשם אחד, באמצעות ייבוא או אינטגרציות מבוססות API. 5. תרגול ייצוא ביקורות: בדיקת ייצוא מרשם וסיור בשרשראות מסירה או סקירת אירועים כדי לאתר חוליות חלשות מראש. 6. מיפוי כל שדה לבקרות ISO/NIS 2: שמירה על טבלת מיפוי שמתיישרת שדות נכסים ואירועים לסעיפי תאימות לעיון מיידי של מבקר. 7. הישארו גמישים לכללים חוצי גבולות: תיוג נכסים עם דרישות GDPR או מגזר לאומי, הבטחת תאימות עתידית מרובת מסגרות. ארגון המצויד בנראות נכסים, מעקב מלא אחר בעלות וייצוא ראיות מיידי יפגין חוסן באופן עקבי ויעבור ביקורות רגולטוריות בביטחון.

ניהול נכסים הוא נקודת הבקרה בלב תקני NIS 2 ו-ISO 27001. בעזרת CMDB בזמן אמת של ISMS.online, כל קישור בין נכס, בעלים ומדיניות גלוי וניתן לביקורת - וסוגר פערים בתאימות לפני שהם מופיעים. אוטומציה וראיות-על-פי-עיצוב הופכות רשימות נכסים לאבטחה אמינה, מוכנה לרגולטורים ועמידה בפני סיכונים.

מְחַבֵּר

מארק שרון

עודכן ב- 18 באוקטובר 2025

מדוע ניהול נכסים מחליט על הצלחתו של 2 שקלים חדשים - או שגורם לכישלונו המהיר ביותר

נכס בודד שמתעלמים ממנו יכול לפרק חודשים של השקעות אבטחה. 2 שקלים חדשים מייצגים את ניהול הנכסים כבסיס לחוסן: זה לא סימון פרוצדורלי, אלא נקודת הבקרה שכל רגולטור, מבקר או בעל עניין חוקרים תחילה. בין אם אתם מפעילים מפעל אנרגיה קריטי, שרשרת אספקה או סביבת SaaS, היכולת שלכם לענות בצורה אמינה על "מה אנחנו הבעלים? מי אחראי? מה מכוסה, ומה לא?" מגדירה האם הבקרות שלכם חשובות במציאות או שהן עוקפות על ידי הסיכונים שהחוק נועד לשלוט בהם.

נכס בלתי נראה הוא התחייבות במסווה של הזדמנות.

המהירות והתפשטותם של שירותי SaaS עסקיים לא מאושרים, מכשירים לעבודה מכל מקום, אוטומציות שאבדו במעבר, שכפולים של שרשרת האספקה - משמעותם ש"מלאי נכסים" כבר אינו תקופתי. הוראה 2 שקלים (ENISA, 2024) ברור: האחריות אינה נעצרת במכונות שבבעלותך. היא משתרעת לאורך שרשרת האספקה שלך, ועל פני כל לוויה דיגיטלית בערכת הכלים שלך. תקן ISO 27001:2022 מתיישר על ידי דרישה לשליטה וקישור בזמן אמת (ראה BSI, ISO 27001).

גיליונות אלקטרוניים, "מלאי שנתי" ורשימות נכסים מבוזרות אינם יכולים עוד לשרוד לחץ ביקורת או סקירת אירוע. ב ISMS.onlineרישומי נכסים מרכזיים בזמן אמת לא רק מסמנים עמימות בנוגע לבעלות, אלא גם בונים נרטיב מתמשך של אמון: כל ערך נמצא במעקב, כל פער ניתן לפעולה, כל תהליך מוכן לבדיקה חיצונית.

תובנות של המטפל: אל תבלבלו בין מעקב לשליטה. ראיות חיות של אחריות, מעמד וקישורים למדיניות הנוכחית הם מה שמבקרים ודירקטוריונים דורשים מהיום הראשון.

ניהול נכסים ידני: מדוע "כלא גיליונות אלקטרוניים" נכשל בתקן NIS 2 ובתקן ISO 27001

ארגונים מתחילים באופן טבעי את מסע ניהול הנכסים שלהם עם גיליונות אלקטרוניים: זולים, נגישים ולכאורה מקיפים. אם נעבור שישה חודשים קדימה, הרישומים הללו כבר מיושנים. משאבי ענן חדשים, רכישות צל או שינויים בכוח אדם אינם מתועדים בזמן אמת. זה יוצר גורמים לא ידועים - וחושף בדיוק את נקודות התורפה שתוקפים ורגולטורים מאומנים לנצל.

כל אירוע ששווה לדאוג לגביו מתחיל בנכס לא מנוטר או בפער בתהליך הפירוק משירות.

מה משתבש בניהול נכסים ידני?

סחיפה מהירה של נכסים: רשימות סטטיות מפגרות אחרי המציאות. אנשים משנים תפקידים; תוכנה מתפתחת; ספקים משתנים. עד שתבצעו את הסקירה השנתית שלכם, הרשימה כבר לא מעודכנת.
חשיפה לספקים: 2 שקלים ו ISO 27001 דורשים ממך לעקוב לא רק אחר נקודות קצה, אלא גם אחר שירותים מנוהלים, ספקי תמיכה, פלטפורמות ענן וכלים "כשירות" - סוג של נכסים שגיליונות אלקטרוניים כוללים לעתים רחוקות (DIESEC 2025).
שבריריות ביקורת: רגולטורים מבקשים ממך להוכיח את שרשרת המשמורת: למי היה הבעלים של הנכס, מתי; אילו מדיניות או בקרות יושמו; אילו יומני ראיות מאשרים פירוק או העברה (ISO 27001 נספח A 5.9, 5.8, 8.9). גיליונות אלקטרוניים מתפרקים, מה שמאלץ חיפוש ראיות ידני.

בעזרת ISMS.online, יצירת נכסים בזמן אמת, הקצאת בעלים כפויה, מיפוי ספקים ויומני פירוק חלקים מחליפים רשימות שבירות במערכת חיה וניתנת להגנה. רשומות חופפות או כפולות מסומנות מוקדם, וההודעות שומרות על עדכניות הסקירות. התוצאה היא תנוחת תאימות שעומדת באתגרי ביקורת ותפעול, ולא כזו המוחזקת יחד על ידי קשיים של הרגע האחרון.

לוח המחוונים של CMDB של ISMS.online מציג את סטטוס הנכס, הבעלים וקישורי הבקרה - עם התראות על פערים או ערכים כפולים. בהירות זו מאפשרת לצוותים לפעול, במקום להצדיק.

מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.

הזמן את ההדגמה שלך

CMDB חי: היתרון האסטרטגי לתגובה לאירועים, ביקורת וחוסן שרשרת אספקה

המעבר מרשימות נכסים סטטיות למסד נתונים לניהול תצורה (CMDB) חי המקושר למדיניות מאפשר קפיצת מדרגה בבקרה, עקיבות והפחתת סיכונים. NIS 2 מצפה למודיעין מהיר ומדויק לא רק על נכסים בבעלות, אלא גם על אספקה, תמיכה ותלויות עסקיות קריטיות - על פני מספר מסגרות.

השאלה של הרגולטור אינה 'האם יש לכם רשימה?' אלא 'הראו כיצד כל נכס עובר במחזור החיים שלו, למי הוא שייך, ואילו הבטחות קיימות'.

נראות סיכונים בזמן אמת

שינויים במצב הנכס נרשמים כאירועים: קליטה, הקצאה מחדש, הוצאה משימוש, שיוך ספקים. בכל סקירה של הדירקטוריון או בקשה רגולטורית, מצב הנכס והראיות המקושרות יהיו גלויים עם חותמות של גורם אחראי ושל גורם אחראי.

מיפוי ספקים וקריטיות

סיכוני שרשרת האספקה הם כעת כותרות חדשות. כל נכס מקושר למקורות (ספקים, ספקי שירות, SaaS, חומרה) כך שחולשה בבקרות הספקים נראית מיד במפה התפעולית שלך (סיסקו, 2024). ISMS.online מציג חוזי ספקים וניקוד קריטיות לאותו מסך כמו הנכסים עצמם.

ראיות לפי עיצוב

לא רק שכל אירוע נכס (הקצאה, סקירה, שינוי, סילוק) מתועד, אלא גם מצורפים אזכורי תאימות (גרסאות מדיניות, מזהי חוזים). כאשר רגולטור מבקש הוכחה, התשובה נמצאת בלחיצת כפתור.

תגובה מדויקת לאירוע

אם מתרחשת פרצה או אירוע קריטי, CMDB חי מאפשר לך לעקוב אחר נכסים שנפגעו, להדגיש מי נגע בהם או היה הבעלים שלהם לאחרונה ולהבהיר אילו בקרות היו פעילות. זה מקצר את חלונות האירועים ועונה על דרישות הרגולטורים. שביל ביקורת ופעולות מתקנות.

נקודת מבט של CISO: CMDB שלכם כבר לא רקע. זהו תיק ההבטחות שלכם לכל ביקורת, אירוע ודוח תפעולי.

סגירת הפער: אוטומציה, הסלמה ושלמות נכסים חסינת סיכונים

סיבה עיקרית להתמוטטות מאמצי ניהול נכסים היא טעויות אנוש ועיכובים של "סחיפה", עדכונים שלא זוכים לתשומת לב וכשלים שקטים. כיום, נכס מוכן לביקורת הניהול תלוי במידה רבה באוטומציה רספונסיבית כמו שהוא תלוי במלאי הבסיסי הראשוני.

אוטומציה היא הביטוח שלך: כל סקירת נכס באיחור, סטטוס ללא בעלים או מסירה לא פתורה הופכת לאירוע בר פעולה - לא לחולשה שקטה.

היגיון הסלמה שאוכף משמעת

כל בעל נכס חסר, סקירה מתעכבת או חריג ממדיניות מועבר מיד למנהלים האחראים, וסוגר לולאות שקטות. ISMS.online מבטיח שסקירות נכסים לא יתקעו, גם כאשר צוות מתחלף או תחומי אחריות משתנים (ENISA).

אינטגרציות המשקפות את מהירות העסק

זרימות עבודה אוטומטיות מחברות את מרכז ניהול ה-CMDB שלכם למערכות ITSM (ServiceNow, Jira), משאבי אנוש, רכש וענן. הקצאת נכסים, קליטת/יציאת עובדים וחידוש חוזים מפעילים עדכונים ישירים של מצב הנכסים, הבעלות וקישורי המדיניות (Omnissa, 2024).

שיתוף פעולה כברירת מחדל, לא יוצא מן הכלל

כל אירוע של נכס (הקצאה, אימות, הוצאה משימוש) מנותב על ידי זרימת עבודה: סקירות IT, אישורי רכש, אישור תאימות. שקיפות מונעת אובדן של הודעות דוא"ל, וכל פעולה נרשמת.

אדפטיביות מונחית ביקורות

ברירת מחדל: בדיקות נכסים מתבצעות פעם אחת בכל שינוי משמעותי, לא רק מדי שנה. כל הקצאה מחדש, סיום חוזה או שינוי תפקיד מלווה בבדיקת תאימות וברישום אירוע.

הערת המטפל: זיהוי קונפליקטים וכפילויות מתרחש בעת העלאה או יצירה - אין עוד חפיפות שמתעלמים מהן ופוגעות בשלמות הראיות.

לוח מחוונים פלטפורמה nis 2 חיתוך על mint

הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.

הזמן את ההדגמה שלך

מיפוי ISO 27001: תרגום דרישות נכסי NIS 2 להוכחה מוכנה לביקורת

תאימות אסטרטגית משתמשת בשפה של כל מסגרת כדי לכסות את האחרות. בפועל היומיומי, ISO 27001:2022 ו-NIS 2 חולקים DNA שליטתי; ראיות ממופות יכולות "להרוג שתי ציפורים סטטוטוריות במכה אחת".

מיפוי תפעולי ISO 27001–NIS 2

תוֹחֶלֶת	אופרציונליזציה	ISO 27001 / נספח א'.
רשימת נכסים עקבית ועדכנית	CMDB אוטומטי, רשום על ידי המערכת; נכסים שתויגו, נבדקו	א.5.9, א.8.9
בעלות על נכסים ברורה בכל עת	נאכף שדה בעלים, עם הקצאה/הסרה אוטומטית	א.5.8, א.5.9
שלבי מחזור חיי הנכס גלויים	תגי סטטוס ב-CMDB: קליטה, העברה, סילוק	א.8.9, א.8.13
ממופה של סיכוני שרשרת האספקה	קישורי חוזים, ספקים ומדיניות ברשומת נכסים	א.5.19–א.5.22
נתיב שינויים/ביקורת הניתן לייצוא	יומני זמן/חותמת משתמש, מיפוי ראיות	א.5.35, א.8.9
תאימות ממופה לכל המסגרות	תיוג צולב עבור GDPR, בינה מלאכותית, דרישות מגזר	א.5.12, א.7.10

כל עמודה בטבלה ב-ISMS.online-audit-ready export, assignment trails, contract linkages- ממופה ישירות לבקרה אחת או יותר של נספח A לתקן ISO 27001. זה מבטיח שכל שינוי, סקירה או אירוע מוכנים באופן מיידי לביקורות או תגובות רגולטוריות, ומכסה את כל המסגרות בפעולה אחת.

טבלת אירועי מעקב

אירוע טריגר	עדכון סיכונים	קישור בקרה/SoA	ראיות לדוגמה
יציאת צוות	נכס לא הוקצה או נעול	A.5.8	יומן יציאה, ייצוא
נכס SaaS חדש	קישור חוזי ספקים	א.5.19–א.5.21	העלאת חוזה ספק
שינוי בעלות	בעלים, עדכון סיווג	א.5.9, א.8.9	עדכון בעלים, מעקב אחר אירועים
אירוע בטחוני	סקירת מחזור חיי הנכס	א.8.13, א.8.14	רישום אירועים, יומן ביקורת

יתרון למטפל: אין ציד נתונים של הרגע האחרון; כל ביקורת מוצאת אותך מוכן, כל מיפוי מתחבר ליומני אירועים חיים, ושום מסגרת לא נותרת חשופה.

הישרדות הרגולטור והמבקרים: ראיות מתמשכות, ייצוא בזמן אמת ופעולות ניתנות להגנה

רגולטורים ומבקרים אינם מקבלים עוד את דוח הנכסים של החודש שעבר כהוכחה. ראיות חיות - שניתן להציג, לאתר ולהסביר לפי דרישה - הן קו הבסיס. מעבר ביקורות דורש כעת הבטחה מתמשכת, לא הצדקה רטרואקטיבית.

הישרדות בנויה על מיידיות: ראיות לשליטה, אחריות וציות שתמיד חיות וניתנות לייצוא.

תמיד מעודכן ונגיש

לאחר כל אירוע של נכס - רכש, שינוי תפקיד, יציאה מהמערכת - המערכת רושמת ומציגה את המצב הנוכחי, הבעלים והקצאת הבקרה (Digital Strategy EU, ISO 27001). ב-ISMS.online, רשומות לא מעודכנות או חסרות מפעילות תזכורות והודעות, מה שמפחית את הסיכון לסחיפה ואי-ציות.

ייצוא לפי דרישה, בתקן ביקורת

מבקרים מצפים לייצוא CSV/PDF עם יומני אירועים, משתמשים וזמנים מלאים. ISMS.online מספק ראיות מדויקות, כולל שבילי הקצאה, קישורי מדיניות והיסטוריית סטטוס נכסים, ובכך מסיר חיכוכים בייצוא ידני (ISMS.online Asset Management).

מסגרות גלובליות, מישור בקרה אחד

נכסים מסווגים ומתויגים לפי כל חוק, תקן או מגזר רלוונטי (ISO 27001, GDPR, NIS 2, ניהול בינה מלאכותית), מה שמאפשר ראיות מיידיות לכל אחד מהם. כאשר רגולטורים מבצעים בדיקות צולבות בין מסגרות, בסיס הראיות שלכם עומד במבחן.

אמון הדירקטוריון ובעלי העניין

לוחות מחוונים בזמן אמת מאפשרים דיווח על בקרת נכסים בכל עת - להנהלה, לדירקטוריון, למשקיעים או לשותפים. אין עוד "בהלה של אקסל" בסוף הרבעון.

הערת המטפל/ת: מוכנות ראיות פירושה הצלחה בביקורת, חרדת ציות מופחתת וגמישות לעדכוני מיזוגים ורכישות, שרשרת אספקה או מגזרים.

מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.

הזמן את ההדגמה שלך

מעבר ל-NIS 2: הרחבת אבטחת נכסים עבור GDPR, בינה מלאכותית ותאימות חוצת תחומי שיפוט

תאימות אינה סטטית, ואבטחת נכסים אינה עוד בעיה של מסגרת אחת. חוקים משתנים, סטנדרטים מתפתחים ועסקים מתרחבים. אדריכלות לשינוי פירושה שכל נכס מתויג ומאושר על ידי תכנון עבור כל מסגרת רלוונטית.

תאימות חכמה היא מודולרית - חוקים, מסגרות או אזורים גיאוגרפיים חדשים משמעותם תיוג מחדש של נכס, לא בנייה מחדש של תאימות מאפס.

בקרת נכסים, אירועים ומדיניות מאוחדת

ISMS.online תומך בתקני GDPR, ISO 27701, NIS 2, ISO 42001 (AI) ושכבות-על של מגזרים. ניתן לתייג כל נכס, כך שרשומה אחת עונה על צרכים רגולטוריים מרובים. ככל שחוקים חדשים צצים, ייצוא המיפוי והביקורת מתרחבים באופן אורגני.

שילובים חלקים

קישורים מוכנים מראש עם Jira, ServiceNow, Slack ופלטפורמות ITSM או רכש אחרות מבטיחים ששינויים בנכסים, בסיכונים ובאירועים יסונכרנו בזמן אמת (Omnissa). בסיס הראיות שלכם לעולם לא יפגר אחרי שינויים תפעוליים.

נתונים כהון

ספריית ראיות חיה אינה רק הגנה על תאימות; היא משפרת את הערך במיזוגים ורכישות, סקירת דירקטוריון, השקעות ובדיקת נאותות של שותפויות. רישומי נכסים וסיכונים עקביים מפחיתים את הסיכונים של העסק ומגבירים את אמינותו.

מסקנה של CISO: הבטחת נכסים היא הון חוסן. אמון הדירקטוריון והשוק נובע מהוכחות ולא מהבטחות.

בניית ניהול נכסים הוכחה לביקורת ב-ISMS.online

בקרת נכסים חסינת ביקורת אינה עוד גורם מבדיל - היא הפכה לסטנדרט המינימלי לחוסן, הישרדות רגולטורית ומצוינות תפעולית.

כניסה חלקה: מהרגע הראשון, תבניות גרירה ושחרור, תיוג כפוי ומעקות הגנה להקצאה מבטיחים שכל נכס, מכשיר, אפליקציה וספק מסווגים ומסווגים עבור כל מסגרת נדרשת.
ראיות חיות ומוכנות לייצוא: כל פעולה הקשורה לנכס - יצירה, העברת בעלות, שינוי חוזה, הוצאה משימוש - חיה בבסיס הראיות המאובטח, עם חותמת זמן ומקושרת למדיניות.
זרימות עבודה משולבות: רישומי אירועים, ביקורת, נכסים, מדיניות וספקים מקושרים באופן דו-כיווני, מה שהופך כל דרישת תאימות לתהליך חי ולא למטלה.
קיבולת קנה מידה: ככל ש-NIS 2, GDPR, בינה מלאכותית או מנדטים אחרים מתרחבים, מסגרות ממופות ומתווספות ראיות מבלי לבצע שיפוץ של מערכת הליבה.

ההבדל בין לעבור לכישלון בביקורת הבאה שלכם, לערער עליה מול הדירקטוריון או לבדוק לאחר תקרית הוא היכולת לחשוף, להסביר ולהגן על כל נכס וכל בקרה - בזמן אמת, בהקשר, ללא טרחה.

הפכו את אבטחת הנכסים מצוואר הבקבוק שלכם ליתרון הגדול ביותר שלכם. ISMS.online הופכת את תאימותכם לחיה, ניתנת לבדיקה והגנה - כך שתמיד תהיו מוכנים לחוק הבא, לביקורת הבאה או להזדמנות הבאה.

שאלות נפוצות

מי באמת אחראי על ניהול נכסים במסגרת חוק 2 שקלים, וכיצד ניתן להוכיח זאת לרואי חשבון?

האחריות על ניהול נכסים תחת NIS 2 שייכת לכלל הארגון - לא רק למחלקת ה-IT או למחלקה הטכנית. לכל נכס, בין אם מדובר בשרת, כלי SaaS, מכשיר OT מיוחד או משאב המנוהל על ידי ספק, חייב להיות בעלים או "משמורן" ששמו נקוב במפורש. משמורן זה חייב להיות ניתן למעקב לאורך כל מחזור החיים של הנכס, החל מרישום ועד להוצאה משימוש. מבקרים מצפים שתדגים שרשרת אחריות זו באמצעות יומנים עם חותמת זמן, רישומי הקצאה מחדש וראיות לסקירת בעלות לאחר שינויי כוח אדם או אירועי תקרית (ENISA, 2024).

נכס ללא בעלים הוא סיכון שננטש בגלוי - רוב כשלי הביקורת מתחילים באחריותיות לקויה, לא בטכנולוגיה חסרה.

כיצד פועלת שרשרת האחריות

ביצירת נכסים: הקצאת בעלים/אפוטרופוס לשם ורישום הערך.
במהלך אירועי מחזור חיים: עקוב אחר כל מסירה, הקצאה מחדש, יציאה או סקירה - כל פעולה נרשמת עם שעה, תאריך ומשתמש.
בביקורת: ספקו יומני רישום (PDF/CSV) הניתנים לייצוא ומוודאים שינויים, המוכיחים את הכיסוי והיסטוריית השינויים.

הזנחה של שמירה על עקבות בעלות ניתנות למעקב היא הסיבה העיקרית לעיכובים בביקורת של 2 שקלים. בלעדיהם, לא תעברו - הוכחות בעלות הן כעת חובה, לא רק מומלצות.

מה חייב CMDB לתעד עבור ניהול נכסים תואם NIS 2 ו-ISO 27001?

מסד נתונים לניהול תצורה (CMDB) תואם צריך לתפקד כעמוד שדרה תפעולי חי, ולא כרשימה סטטית. עליו להציג:

פרטי הנכס: מכסה סוג, סיווג, קריטיות עסקית, סודיות, תגיות רגולטוריות ותחום (IT, OT, ענן, צד שלישי).
נתוני בעלות: שם הבעלים ופרטי איש הקשר, בנוסף ליומני מסירה היסטוריים.
קשרי ספקים וקבלנים: זיהוי ספקים מחוברים עבור שירותים SaaS, שירותים מתארחים או שירותים מנוהלים.
רישומי מחזור חיים ושינויים: רישום קליטה, העברות, שינויי תצורה, סטטוס (פעיל, הוצא משימוש) וסיווגים מחדש.
מיפוי סיכונים ואירועים: קישור כל נכס להערכות סיכונים, אירועים או בקרות מדיניות רלוונטיות (ISO 27001 A.8.13, A.7.10).
יומני ראיות: ייצוא PDF/CSV של מדיניות, העברות, החלטות בודקים ו... מסלולי ביקורת (ISO, 2022).

טבלת תיעוד נכסי ליבה

חובת ציות	ראיות מרכזיות במרשם	דוגמה ל-ISO
פירוט/סיווג הנכס	קריטיות, תחום, תגיות	א.5.9, א.5.12
בעלים/מסירות	שם, תאריך, יומני הקצאה מחדש	א.5.8, א.5.9
מיפוי ספקים	בעל חוזה, מזהה ספק	א.5.19–א.5.22
אירועי סטטוס/שינוי	יומני קליטה ויציאה משימוש	א.8.9, א.5.35
קשר בין סיכון לאירוע	מזהי רשומות, ביקורות	א.8.13, א.7.10
היסטוריית ראיות/סקירה	יומני סוקר/ייצוא	A.5.35, סעיף 21 לסעיף 2 לחוק שקלים חדשים

פלטפורמות כמו ISMS.online הופכות את הקפדנות הזו לאוטומטית, תומכות במיפוי חוצה מסגרות ומפיקות ייצוא מוכן למבקרים בלחיצה אחת.

מדוע אוטומציה משנה את תנאי הציות, הראיות והישרדות הביקורת עבור רישומי נכסים?

אוטומציה מבטיחה שאף נכס לא נשכח, מסווג באופן שגוי או יהיה חסר בעלים. שדות חובה נאכפים לפני השלמת הרישום, סקירות מתוזמנות באופן שיטתי, ופעולות באיחור או שלא הושלמו מפעילות דחיפות - הסלמה מבעל הנכס למנהל ולראש הציות אם החמיצו. כל עדכון, סקירה או הקצאה נרשמים, ויוצרים מסלול מאובטח עם חותמת זמן (ENISA, 2023).

שילוב עדכוני משאבי אנוש/רכש וממשקי API משמעו ששינויי תפקידים ועדכוני ספקים זורמים באופן אוטומטי. זה מבטל "נכסי צל" ורישומים ישנים, שהם הדבר הראשון שמבקרים מחפשים.

יתרונות ראיות: מדדי סקירה אוטומטיים, גרפי הסלמה, יומני פעילות מלאים.
השפעה על העולם האמיתי: ארגונים המשתמשים באוטומציה מדווחים על 70% פחות סקירות נכסים באיחור או שלא הושלמו בהשוואה למעקב ידני.
תמונת מצב של הזרימה: הנחיה לבעל הנכס → מרווח זמן של 30 יום לסקירה → הסלמה של 45 יום למנהל → התראת תאימות/דירקטוריון.

אוטומציה מרימה את הציות מניירת למערכת חיה - אם ניתן להוכיח כל שלב ללא התערבות ידנית, מבקרים רואים שליטה אמיתית, לא ציות סמלי.

אילו בקרות ISO 27001 ו-NIS 2 גורמות לרוב כשלים בביקורת רישום נכסים, וכיצד מיפוי מדויק מתקן זאת?

כשלים בביקורת נובעים בדרך כלל משלוש נקודות תורפה:

רישומי נכסים לא מלאים (נספח A.5.9/NIS 2 סעיף 21): נכסים חסרים, לא מסווגים, או לא מתויגים לפי קריטיות או תחום.
שרשראות בעלות שבורות (A.5.8, A.5.9): בעלים/אפוטרופוס לא ידוע או עקבות לא עודכנו בעת יציאה או שינוי מיקום.
חסר מעקב אחר מחזור חיים/שינויים (A.8.9, A.5.35): אין יומני רישום של קליטה, העברות או הוצאה משימוש, או אירועים שאבדו לגליונות אלקטרוניים.

2 שקלים מחמירים את הסיכון: יש למפות נכסי ספקים, ענן, OT, ואפילו נכסים שאינם דיגיטליים, ולהראות בבירור תלות חוצת גבולות.

טבלת תרחישים: מיפוי הוכחת ביקורת

הדק	דוגמה לחסימת ביקורת	קישור ISO/NIS 2	יומן/ראיות לדוגמה
עזיבת עובד	הנכס נותר ללא בעלים	א.5.8, א.5.9	רשומת הקצאה מחדש
שירות SaaS נוסף	הספק לא ממופה לנכס	א.5.19–א.5.22	קישור ספקים, חוזה
סווג מחדש של הנכס	הערכת הסיכונים לא עודכנה	א.5.12, א.8.9	יומן עדכוני מחלקה/תג

אם כל אירוע בנכס ממופה לבקרה בזמן אמת, ביקורות יהפכו לסקירות מבוססות ראיות - ולא לערבוב נתונים חרד של הרגע האחרון.

כיצד ניתן לשלב נכסי IT, OT, ענן וספקים במרשם אחד עמיד בפני ביקורת?

כל הנכסים - IT, OT, יישומי ענן, נקודות קצה ומכשירים המנוהלים על ידי ספקים - חייבים להיכלל בבנק נכסים יחיד, המובנה לפי תחום וממופה לתגי בעלות, ספק, סיווג, סיכון ורגולציה. השתמשו בממשקי API או בייבוא מתוזמן כדי לסנכרן את כל מקורות הנכסים, ולהבטיח שמכשירים או שירותים חדשים לעולם לא ייעלמו מהמלאי. לאחר הבדיקה, לוחות המחוונים חייבים להציג לא רק את רשימת הנכסים שלכם, אלא גם את סטטוס הבעלים, ביקורות שעברו את מועדן, כיסוי חוצת מסגרות וציוני השלמה בזמן אמת (Omnissa TechZone, 2024).

אינדיקטורים קריטיים: נכסים יתומים או לא מסווגים הם הגורם העיקרי לממצאי ביקורת; לוח מחוונים יחיד המציג אפס פערים הוא גורם מפתח להפחתת סיכונים.
נוהלי תפעול: "שלמות רישום" שגרתיות ו"חזרת ביקורת" באמצעות יומני ייצוא אמיתיים מבחינות בין ארגונים תואמי תקן לבין אלו המסמנים רק תיבות.

בנק הנכסים שלך הוא המקום שבו מתחילים החוסן והתאימות - תקלה אחת פירושה נקודה מתה שמעמידה את כל הביקורת שלך בסיכון.

מה בדיוק עליכם להכין (פורמטים, יומני רישום, ייצוא) כדי לשרוד ביקורת ניהול נכסים NIS 2/ISO 27001?

ראיות הוכחת ביקורת חייבות להיות מעבר לרשימה. רואי חשבון דורשים:

רישום נכסים ראשי: כל הנכסים, הסיווגים, הבעלות, הספקים ותאריכי הסקירה - ניתנים לייצוא כקובץ PDF או CSV בפורמט סטנדרטי.
יומני בעלות ומסירה: רישומים עם חותמת זמן של הקצאה, הקצאה מחדש, יציאה מהצוות והחלפת אפוטרופוס.
מסלולי סקירה וביקורת: רשומות יומן של כל סקירה, כולל מעקב אחר הבודק, הסיבה והסלמה.
רישומי אירועים וסילוק: אבטחת רישומים של נכסים המעורבים באירועים או שהוסרו/הוצא משימוש תוך הפניה צולבת למדיניות או יומני סיכונים.
מיפוי צולב לבקרות: כל שדה מקושר לסעיף ISO/NIS 2 הרלוונטי לבדיקה צולבת מהירה על ידי מבקרים.

ISMS.online: תכונות ניהול נכסים

יומני הרישום חייבים להיות חסינים מפני פגיעה וניתנים לייצוא מיידי - רשומות מיושנות, חלקיות או בלתי ניתנות לאימות יהוו עילה לתיקון ביקורת.

מוכנות לביקורת פירושה ראיות שניתן לייצר תוך שניות - לא הבטחות או ניירת שנעלמת תחת בדיקה מדויקת.

מה צריכים לעשות כעת מנהלי ציות ומנהלי IT כדי להפחית סיכונים בניהול נכסים תחת תקן NIS 2?

בדוק את הרישום הנוכחי שלך: ודא שכל ערך נכס כולל שם, סיווג, בעלים שהוקצה, ספק, תחום ובדיקה מתוזמנת.
ריכוז ושדרוג פלטפורמותמעבר מגיליונות אלקטרוניים למערכת ניהול נכסים חיה עם דרישות שדה נאכפות.
אוטומציה של ביקורות מחזור חיים ובעלות: הגדר התראות עבור בעלים/סקירות שעברו את מועד הפיגור והסלמה אוטומטית עבור מקרים שלא נפתרו.
שלב את כל מקורות הנכסיםאיחוד IT, OT, ענן, SaaS, מובייל וספקים תחת רישום אחד, באמצעות ייבוא או אינטגרציות מבוססות API.
תרגול ייצוא ביקורתבדיקת ייצוא רישום וסיור בשרשראות "מסירה" או סקירת אירועים כדי לאתר חוליות חלשות מראש.
מיפוי כל שדה לבקרות ISO/NIS 2: תחזקו טבלת מיפוי המיישרת שדות נכסים ואירועים לסעיפי תאימות לעיון מיידי של רואה החשבון.
הישאר גמיש/ה לכללים חוצי גבולותתייג נכסים עם דרישות ה-GDPR או דרישות המגזר הלאומי, תוך הבטחת תאימות עתידית למגוון מסגרות.