מחלקת החינוך, המיומנויות והתעסוקה של אוסטרליה (DESE) נוצרה RFFR (התאמה נכונה לסיכון) בסוף 2019. תוכנית הסמכה זו שמה לה למטרה להבטיח שספקים, כגון מוסדות חינוך, יעמדו בדרישות החוזיות של אבטחת מידע של DESE.
תוכנית RFFR שואפת להשלים את דרישות הבסיס של ISO/IEC 27001 עם בקרות נוספות שנקבעו על ידי ממשלת אוסטרליה מדריך אבטחת מידע (ISM) עם הדרישות המשפטיות, האבטחה והטכניות המתפתחות עבור מערכת ניהול אבטחת מידע (ISMS) לספקים.
כדאי גם לפתח א הצהרת תחולה (SoA) שמתחשב בסיכוני ובדרישות הבטיחות הייחודיות של החברה שלך ובתחולת אמצעי ההגנה המפורטים במדריך אבטחת המידע האוסטרלי. יש לקחת בחשבון אלמנטים הליבה של RFFR, כמו השמינייה החיונית של מרכז אבטחת הסייבר האוסטרלי טכניקות, ריבונות נתונים ואבטחת כוח אדם.
ה-DESE הורה שארגונים חייבים לעמוד בדרישות של מערכת ניהול אבטחת המידע (ISMS) שלהם, ובכך להיות מוכר כ-DESE ISMS.
ISMS מספק את הכלים הדרושים לך כדי להגן ולנהל את המידע של החברה שלך באמצעות ניהול סיכונים יעיל.
הוא מאפשר עמידה בחוקים, תקנות ותכניות אישורים רבים ומתמקד בהגנה על שלושה היבטים מרכזיים של מידע; סודיות, יושרה וזמינות.
ISO 27001 הוא תקן אוניברסלי מוכר בעולם. הוא נוצר כדי לעזור לארגונים להגן על המידע שלהם בצורה יעילה ושיטתית.
הוא מספק לכל ארגון, ללא קשר לגודל או מגזר, מסגרת אבטחת סייבר וגישה להגנה על נכסי המידע החשובים ביותר שלך.
מערכת הניהול המשולבת שלנו כוללת כלים לניהול סיכונים ובנק סיכונים מאוכלס מראש, המאפשר לך לאמץ, להתאים ולהוסיף ל-ISO 27001 נספח A לפי דרישות החברה שלך.
כלי מפת הסיכונים של ISMS.online נותן תצוגה מלאה מלמעלה למטה של סיכונים ארגוניים. הוא ממפה את גורמי הסיכון וההזדמנויות לתוך המטרות והיעדים האסטרטגיים של הארגון שלך. מה שמאפשר לך לבצע ניתוח פערים יסודי.
יתר על כן, ISMS.online מאפשר לנטר את סיכוני אבטחת המידע של הארגון שלך, היציבה ותאימות ISO 27001. לוח המחוונים החכם אינטואיטיבי ונגיש דרך דפדפן אינטרנט, כך שתוכל לראות את מצב אבטחת המידע שלך בכל זמן ובכל מקום.
במהלך תהליך הסמכת RFFR ISMS, המבקרים יבחנו את המערכות והתיעוד התומך שלך. לפיכך, ארגונים חייבים לבצע צ'ק-אין בשלוש אבני דרך מרכזיות לאורך תהליך ההסמכה.
ספקים יכולים להשתמש באבני הדרך כדי לקבוע את רמת אבטחת הסייבר הנוכחית של הארגון שלהם ולזהות אזורים לשיפור.
ספקים וקבלני משנה מסווגים לקטגוריות כדי לקבל הסמכה באמצעות גישת ההתאמה לסיכון (RFFR).
לגלות איזו קטגוריה חלה עליך פירושו שתצטרך לשקול את גורמי הסיכון הבאים (בין היתר):
| קטגוריה | הקטגוריה 1 | קטגוריה 2A | קטגוריה 2B |
|---|---|---|---|
| עומס תיקים שנתי | 2,000 או יותר | תחת 2,000 | תחת 2,000 |
| פרופיל סיכון | סיכון גדול יותר | סיכון בינוני | סיכון נמוך |
| בסיס ההסמכה | ISO 27001 תואם ISMS (מערכת ניהול אבטחת מידע) - מוסמך באופן עצמאי | ISO 27001 תואם ISMS - הערכה עצמית | מכתב הצהרת הנהלה |
| תחזוקת הסמכה | ביקורת מעקב שנתית ואישור תלת שנתי מחדש | הערכה עצמית שנתית | מכתב הצהרת הנהלה שנתי |
| אבני דרך להשלמת | 1, 2 ו 3 | 1,2 ו3 | 1 ו3 |
אבן הדרך והשלב הראשון צריכים להיות תמיד הערכת בגרות עסקית. מודל הבגרות של Essential Signals Directorate (ASD) Essential Eight קובע כיצד הארגון שלך משתמש במידע ומנהל את האבטחה. הבגרות הראשונית של אבטחת המידע של הארגון שלך מוערכת מול מודל הבגרות של ASD Essential Eight.
כדי לעמוד באבן דרך 2, תזדקק למערכת ניהול אבטחת מידע מותאמת אישית בנוסף לתאימות מלאה והסמכה של ISO 27001.
תזדקק גם להצהרת ישימות (SoA) תחת אבן דרך 2. ISO 27001 סעיף 6.1.3 מציין את הצורך ב-SoA, שניתן להבין בצורה רופפת כרשימת בדיקה עבור 114 בקרות האבטחה שנועדו לטפל בסיכונים ספציפיים לארגון.
עליך להוכיח שהבקרות של ISMS ו-ISO 27001 (כאשר רלוונטי לארגון) יושמו ביעילות כדי לעבור את אבן דרך 3.
ארגון וכל קבלני המשנה שלו המוסמכים RFFR חייבים לשמור על סטטוס ההסמכה שלהם על ידי הגשת דוחות שנתיים ומעקב אחר עמידה בתקני RFFR.
ארגון בעל הסמכה קיימת חייב להשלים את הביקורות השנתיות והתלת שנתיות בהתאם לתאריכים שבהם ניתנה ההסמכה.
| סוג הסמכה | מדי שנה | כל שנתיים |
|---|---|---|
| ISMS מוסמך (ספקי קטגוריה 1 וספקי מערכות תעסוקה ומיומנויות של צד שלישי) | ביקורת מעקב או שינוי היקף ביקורת על ידי גוף הערכה מאשר (CAB) המכסה את ה-SoA המעודכן של הספק או הספק TPES | אישור מחדש על ידי CAB (גופים להערכת התאמה)
הסמכה מחדש של ספק או ספק TPES על ידי DESE |
| ISMS בהערכה עצמית (ספקי קטגוריה 2A) | דוח הערכה עצמית (כולל תיאור השינויים מאז הדוח האחרון) המכסה את ה-SoA המעודכן של הספק
DESE קובע אם צריך לשדרג ל-ISMS מוסמך | דו"ח הערכה עצמית הסמכה מחדש על ידי DESE |
| אישור ניהול (ספקי קטגוריה 2B) | מכתב הצהרת ניהול שנתי (כולל תיאור השינויים מאז האישור האחרון)
DESE קובע אם צריך לשדרג ל-ISMS עם הערכה עצמית | מכתב הצהרת הנהלה הסמכה מחדש על ידי DESE |
גישת RFFR מחייבת אותך להקים ולתחזק סט של תקני אבטחה ליבה על מנת לשמור ולשפר את עמדת האבטחה שלך.
שמונה אסטרטגיות אבטחת הסייבר החיוניות האוסטרליות וציפיות הליבה יעזרו לארגון שלך ליצור מסגרת אבטחה חזקה.
לפי דרישות RFFR, יש לך תהליכים מסוימים שאתה חייב לדבוק בהם בעת העסקת אנשים חדשים:
ארגונים חייבים להבטיח שאמצעי אבטחה פיזיים ממזערים את הסיכון שמידע ונכסים פיזיים יהיו:
כל הארגונים חייבים לעמוד בדרישות האבטחה הפיזיות. המתקנים חייבים להיות באיכות מסחרית וממוקמים באוסטרליה. עבודה מהבית דורשת מארגונים להבטיח שהסביבה הביתית מאובטחת כמו סביבת המשרד בהגנה על הצוות, נתוני התוכניות וחומרת ה-IT.
ארגונים חייבים ליישם אמצעי אבטחה כדי להבטיח אבטחת סייבר, לרבות אסטרטגיות אבטחת הסייבר 'Essential Eight', ניהול סיכוני אבטחת מידע, ניטור אבטחת מידע, ניהול אירועי אבטחת סייבר ובקרות גישה מוגבלות.
כדי לעזור לארגונים לסדר את אבטחת המידע שלהם, The מרכז אבטחת הסייבר האוסטרלי (ACSC) פיתח את אסטרטגיות ה-'Essential Eight' כדי לסייע בהגנה על עסקים.
יש לקבוע את פרופיל סיכוני אבטחת הסייבר של ארגון, ולפתח תוכניות להשגת רמות יעד עבור כל אחת מאסטרטגיות אבטחת הסייבר החיוניות.
חשוב לציין שהשמונה החיונית תהיה חובה עבור כל הסוכנויות והמחלקות הממשלתיות הפדרליות של אוסטרליה.
תוכניות לא מורשות נמנעות מלהפעיל במערכת שלך על ידי שליטה בביצוען. זה מונע מתוכניות לא ידועות ועלולות להיות זדוניות לפעול במערכת שלך.
יישומים עלולים להיות מנוצלים כדי להפעיל קוד זדוני אם יש להם פרצות אבטחה ידועות. שמירה על אבטחת הסביבה שלך מחייבת שימוש בגרסה העדכנית ביותר של יישומים והחלת תיקונים מיד לאחר זיהוי נקודות תורפה.
רק פקודות מאקרו ממיקומים מהימנים עם גישת כתיבה מוגבלת או מאלה שנחתמו עם אישור מהימן יורשו לפעול. אסטרטגיה זו חוסמת קוד זדוני המועבר על ידי פקודות מאקרו של Microsoft Office.
יש להגן על פונקציונליות פגיעה על ידי הסרת תכונות מיותרות ב-Microsoft Office, בדפדפני אינטרנט ובצופי PDF. פלאש, פרסומות ותוכן Java הם כלי נפוצים להעברת קוד זדוני.
לחשבונות מנהל יש את המפתחות לתשתית ה-IT שלך ולכן דורשים גישה מוגבלת. יש לצמצם את מספר חשבונות המנהל ואת ההרשאות המוענקות לכל אחד.
מערכות הפעלה עלולות להיפגע עוד יותר בגלל פרצות אבטחה ידועות. חשוב לתקן את הבעיות הללו ברגע שהם מזוהים. אתה יכול להגביל את היקף הפרות אבטחת הסייבר על ידי שימוש במערכות ההפעלה העדכניות ביותר והחלת תיקוני אבטחה ברגע שהם מזוהים. הימנע משימוש במערכות הפעלה לא מעודכנות.
אימות משתמשים חזק מקשה על התוקפים לגשת למידע ולמערכות. MFA דורש שילוב של שני גורמים או יותר, כולל מידע סודי (כגון שילוב סיסמה ומזהה), מכשיר פיזי הקשור לנתונים (כגון אפליקציית אימות מבוססת טביעת אצבע בסמארטפון רשום או קוד SMS חד פעמי) , ואדם פיזי הקשור לנתונים (כגון זיהוי פנים או טביעת אצבע).
אסטרטגיית גיבוי משמשת לשימור נתונים ומערכות קריטיות. אסטרטגיה זו מבטיחה שניתן לגשת למידע לאחר אירוע אבטחת סייבר.
הגדרות נתונים, תוכנה ותצורה מגובות ומאוחסנות בנפרד מהסביבה הראשית שלך. הגיבויים נבדקים באופן שגרתי כדי להבטיח שניתן לשחזר אותם ושכל הנתונים הקריטיים כלולים בתוכנית הגיבוי.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
ארגון חייב לפתח גישה רשמית לניהול אירועי אבטחת מידע, בהתאם להמלצות המדריך לאבטחת מידע (ISM).
קצין אבטחת מידע ראשי, קצין מידע ראשי, איש אבטחת סייבר או מנהל טכנולוגיית מידע של ארגון יכולים להשתמש ב-ISM כדי לפתח מסגרת אבטחת סייבר כדי להגן על המידע והמערכות שלהם מפני איומי סייבר.
יש ליישם מנגנוני גילוי ותגובה מתאימים לאירועים כדי להקליט ולדווח על אירועי סייבר לבעלי עניין פנימיים וחיצוניים.
חיוני לארגונים לזכור שהם נשארים אחראים להבטיח שכל קבלני משנה המספקים שירותים מטעמם ימלאו, יעמדו ושומרים על תקני האבטחה של הארגון.
ארגון צריך להכיר בכך שלצדדים חיצוניים המספקים שירותים לארגון או מטעמו עשוי להיות פוטנציאל לגשת לחצרים, מערכות או מידע הדורשים הגנה. ארגונים חייבים להבטיח שדרישות האבטחה של RFFR קיימות ומתפקדות כראוי לאורך שרשרת האספקה שלהם.
כל חברה המשתמשת באפליקציה או בשירות ענן של צד שלישי כדי לעבד, לאחסן או להפיץ נתונים סודיים חייבת לוודא שהמערכת מאובטחת לפני הפעלתה. לפני השימוש בתוכנה או שירות של צד שלישי כלשהו, ארגונים חייבים להעריך את הסיכון בעצמם וליישם בקרות אבטחה מתאימות.
ISMS.online יכול לעזור לך לעמוד בדרישות אבטחת המידע ודרישות התאימות של הארגון שלך על ידי סיוע ביישום אבטחת המידע שלך כדי להעריך את פערי האבטחה ותהליכי האבטחה שלך.
כדי לעזור לך להשיג את יעדי ה-RFFR ISMS שלך, היתרונות העיקריים שלנו כוללים:
גלה כמה זה קל עם ISMS.online - הזמן הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
