שפרינג צו דער טעמע
וואָס איז די אָביעקטיוו פון אַנעקס אַ.11.1?
אַנעקס אַ.11.1 איז וועגן ינשורינג זיכער גשמיות און ינווייראַנמענאַל געביטן. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו פאַרמייַדן אַנאָטערייזד פיזיש אַקסעס, שעדיקן און ינטערפיראַנס צו די אינפֿאָרמאַציע און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז פון דער אָרגאַניזאַציע.
דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן.
א.11.1.1 גשמיות זיכערהייט פּערימעטער
דאָס באשרייבט די זיכערהייט פּערימעטער און באַונדריז וואָס האָבן געביטן וואָס אַנטהאַלטן אָדער שפּירעוודיק אָדער קריטיש אינפֿאָרמאַציע און קיין אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז אַזאַ ווי קאָמפּיוטערס, לאַפּטאַפּס עטק.
דאָס קען זיין גאַנץ ספּעציפיש אַזאַ ווי; אין די ויסווייניקסט גרענעץ פון דעם פּלאַץ און ענקאַמפּאַסינג דרויסנדיק און דרינענדיק ספּייסאַז; צווישן אַרויס אַ בנין און אינעווייניק; צווישן אַ קאָרידאָר און אָפיס אָדער צווישן די אַרויס פון אַ סטאָרידזש קאַבינעט און ין עס. עס קען אויך זיין סטייטיד פשוט ווי די HQ מיט זיין אַדרעס און די באַונדריז אין פאַרנעם אַרום אים.
ביישפילן פון די טייפּס פון פאַרמאָג און לאָקאַל וואָס די אָרגאַניזאַציע וועט דאַרפֿן צו באַטראַכטן אין טערמינען פון גשמיות זיכערהייט קען אַרייַננעמען;
- די דאַטאַ סענטערס וואָס באַלעבאָס אינפֿאָרמאַציע אַסעץ;
- הויפּט אָפיס;
- ארבעטער , װעלכ ע פלעג ן ארבעט ן פו ן שטוב ; און
- טוערס וואָס אַרומפאָרן און דעריבער נוצן האָטעלס, קונה לאָקאַל אאז"ו ו טעלעוואָרקער אויך. דאָס איז אויך שייך און שייך צו דיין פאַרנעם אין 15.1.
אין פּשוט טערמינען, די אָרגאַניזאַציע מוזן פאַרלייגן זיכער געביטן וואָס באַשיצן די ווערטפול אינפֿאָרמאַציע און אינפֿאָרמאַציע אַסעץ בלויז אָטערייזד מענטשן קענען צוטריט. דאָס איז אויך שייַכות צו די ריזיקירן אַסעסמאַנט און ריזיקירן אַפּעטיט פֿאַר אַן אָרגאַניזאַציע אין לויט מיט 6.1 אַקשאַנז צו אַדרעס ריסקס און אַפּערטונאַטיז.
ווי אַ יקערדיק ביישפּיל, אָפאַסיז מיט ווערטפול אינפֿאָרמאַציע זאָל זיין אַקסעסט בלויז דורך עמפּלוייז פון דער אָרגאַניזאַציע, אָדער דורך אַ דערלויבעניש פֿאַר אנדערע, למשל וויזיטערז, און פונדרויסנדיק קלינערז / פאַסילאַטיז וישאַלט רעסורסן וואָס זענען באוויליקט אין לויט מיט די סאַפּלייער פּאָליטיק.
א.11.1.2 פיזיש פּאָזיציע קאָנטראָלס
זיכער געביטן דאַרפֿן צו זיין פּראָטעקטעד דורך די צונעמען פּאָזיציע קאָנטראָלס צו ענשור אַז בלויז אָטערייזד פּערסאַנעל איז ערלויבט אַקסעס. ווי אַ טאַקע יקערדיק ביישפּיל, בלויז די עמפּלוייז וואָס האָבן באקומען די שרעק אַקסעס קאָד און באקומען אַ שליסל קענען צוטריט די אָפיס. מער ריזיקירן אַווערס אָרגאַנאַזיישאַנז און אָדער יענע מיט מער שפּירעוודיק אינפֿאָרמאַציע אין סאַקאָנע קען גיין פיל דיפּער מיט פּאַלאַסיז וואָס אויך אַרייַננעמען ביאָמעטריקס און סקאַנינג סאַלושאַנז.
אַרייַנטרעטן קאָנטראָלס וועט דאַרפֿן צו זיין אויסגעקליבן און ימפּלאַמענאַד באזירט אויף די נאַטור און אָרט פון די געגנט וואָס איז פּראָטעקטעד, און די פיייקייט צו ינסטרומענט אַזאַ קאָנטראָלס אויב דער אָרט איז נישט אָונד דורך די אָרגאַניזאַציע. די פּראַסעסאַז צו געבן אַקסעס דורך די פּאָזיציע קאָנטראָלס דאַרפֿן צו זיין געזונט, טעסטעד און מאָניטאָרעד און קען אויך זיין לאָגד און אַודיטעד.
די קאָנטראָל פון וויזאַטערז וועט אויך זיין ספּעציעל וויכטיק און די פּראַסעסאַז שייַכות צו אַזאַ זאָל זיין קאַנסידערד. עקסטרע באַטראַכטונג זאָל זיין געגעבן צו אַקסעס צו די געביטן אין וואָס שפּירעוודיק אָדער קלאַסאַפייד אינפֿאָרמאַציע איז פּראַסעסט אָדער סטאָרד. כאָטש די געביטן מיט הויפּט IT ינפראַסטראַקטשער עקוויפּמענט דאַרפֿן צו זיין פּראָטעקטעד אין אַ גרעסערע מאָס און אַקסעס לימיטעד בלויז צו די וואָס טאַקע דאַרפֿן צו זיין דאָרט. דער אָדיטאָר וועט דערוואַרטן צו זען אַז צונעמען קאָנטראָלס זענען אין פּלאַץ און קעסיידער טעסטעד און מאָניטאָרעד.
א.11.1.3 סיקיורינג אָפפיסעס, רומז און פאַסילאַטיז
זיכערהייט פון אָפאַסאַז, רומז און פאַסילאַטיז קען ויסקומען גרינג און קלאָר ווי דער טאָג, אָבער עס איז ווערט קאַנסידערינג און קעסיידער ריוויוינג ווער זאָל האָבן אַקסעס, ווען און ווי. עטלעכע פון די זאכן וואָס אָפט באַקומען מיסט זענען; ווער קען זען אָדער אפילו הערן אין די אָפיס פון אַרויס און וואָס צו טאָן וועגן דעם?; איז אַקסעס דערהייַנטיקט ווען שטעקן לאָזן אָדער אַריבערפירן אַזוי ניט מער דאַרפֿן אַקסעס צו דעם באַזונדער פּלאַץ; דאַרפֿן וויזאַטערז באַגלייטן אין דעם געגנט און איז אַזוי, זענען זיי?; און זענען שטעקן ווידזשאַלאַנט וועגן טשאַלאַנדזשינג און ריפּאָרטינג מענטשן וואָס זיי טאָן ניט דערקענען?
פֿאַר רומז וואָס זענען שערד מיט אנדערע (למשל אויב אַ רענטאַד אָפיס באַגעגעניש צימער) פּאַלאַסיז וואָלט אויך אַרייַננעמען די שוץ און אָדער באַזייַטיקונג פון ווערטפול אַסעץ ווען עס איז נישט פאַרנומען דורך די אָרגאַניזאַציע - ריינדזשינג פון לאַפּטאַפּס, דורך צו אינפֿאָרמאַציע פּאָסטעד אויף ווהיטעבאָאַרדס, פליפּטשאַרץ עטק. .
דער פונדרויסנדיק אָדיטאָר וועט דורכקוקן די זיכערהייט קאָנטראָלס פֿאַר אָפאַסיז, רומז און פאַסילאַטיז און קאָנטראָלירן צו זען אַז עס איז זאָגן פון טויגן, ריזיקירן-באזירט קאָנטראָל ימפּלאַמענטיישאַן, אָפּעראַציע און אָפּשאַצונג אויף אַ פּעריאָדיש יקער.
א.11.1.4 פּראַטעקטינג קעגן פונדרויסנדיק & ינווייראַנמענאַל טרעץ
דער קאָנטראָל באשרייבט ווי גשמיות שוץ קעגן נאַטירלעך דיזאַסטערז, בייזע אנפאלן אָדער אַקסאַדאַנץ איז פּריווענטיד.
ענוויראָנמענטאַל טרעץ קענען זיין געוויינטלעך (למשל פלאַדז, טאָרנאַדאָוז, בליץ עטק) אָדער מענטש-געמאכט (למשל וואַסער ליקאַדזש פון פאַסילאַטיז, יידל ומרויקייַט עטק). קאָנסידעראַטיאָנס פֿאַר אַזאַ טרעץ דאַרף זיין געמאכט און ריסקס יידענאַפייד, אַססעססעד און באהאנדלט אַפּראָופּרייטלי. עטלעכע טרעץ (למשל זיצן אויף אַ מבול קלאָר) קען זיין אַנאַוווידאַבאַל אָן היפּש פּרייַז אָדער ינקאַנוויניאַנס, אָבער, דאָס טוט נישט מיינען אַז עס זענען קיין אַקשאַנז וואָס קענען זיין גענומען. ספּעציעלע עצה קען זיין פארלאנגט פֿאַר עטלעכע אַספּעקץ פון ינווייראַנמענאַל פאַרוואַלטונג און זאָל זיין קאַנסידערד אויב נייטיק.
פארשטאנד דיין אָרט און וואָס איז אין די באַלדיק געגנט איז קריטיש צו ידענטיפיצירן פּאָטענציעל ריסקס. דער אָדיטאָר וועט זוכן זאָגן אַז געדאַנק איז געגאנגען צו ידענטיפיצירן פּאָטענציעל טרעץ און וואַלנעראַביליטיז (ביידע געוויינטלעך געשעעניש און מענטש-געמאכט) און אַז ינווייראַנמענאַל ריסקס זענען אַססעססעד און אָדער באהאנדלט אָדער טאָלעראַטעד אַקאָרדינגלי.
א.11.1.5 ארבעטן אין זיכער געביטן
איינער פון די אַקסעס קאָנטראָלס האָבן שוין יידענאַפייד און ימפּלאַמענאַד פֿאַר זיכער געביטן, עס איז וויכטיק אַז זיי זענען קאַמפּלאַמענטיד מיט פּראַסידזשעראַל קאָנטראָלס רילייטינג צו ריסקס וואָס קען פּאַסירן אין די זיכער געגנט. פֿאַר בייַשפּיל, עס קען זיין:
א לימיטעד וויסיקייַט פון די אָרט און פונקציע פון זיכער געביטן;
ריסטריקשאַנז אויף די נוצן פון רעקאָרדינג ויסריכט אין זיכער געביטן;
ריסטריקשאַן אויף אַנסופּערווייזד ארבעטן אין זיכער געביטן ווו מעגלעך;
אין און אויס מאָניטאָרינג און לאָגינג.
נאָך ינספּעקטיד די זיכער געגנט אַקסעס קאָנטראָלס, דער אָדיטאָר וועט דעריבער קוקן צו זען אַז די זענען געשטיצט, ווו נייטיק מיט צונעמען פּאַלאַסיז און פּראָוסידזשערז און אַז זאָגן פון זייער פאַרוואַלטונג איז מיינטיינד.
א.11.1.6 דעליווערי & לאָודינג געביטן
אַקסעס פונקטן אַזאַ ווי עקספּרעס און לאָודינג געביטן און אנדערע פונקטן ווו אַנאָטערייזד מענטשן קען אַרייַן די לאָקאַל זאָל זיין קאַנטראָולד און, אויב מעגלעך, אפגעזונדערט פון אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז צו ויסמיידן אַנאָטערייזד אַקסעס. בלויז קלאָוד אָדער דיגיטאַל ווערקפּלייסיז קען נישט האָבן קיין נויט פֿאַר אַ פּאָליטיק אָדער קאָנטראָל אַרום עקספּרעס און לאָודינג געביטן; אין דעם פאַל, זיי וועלן טאָן דאָס און ספּאַסיפיקלי ויסשליסן דאָס פון די סטאַטעמענט פון אַפּפּליאַביליטי (SOA).
פֿאַר עטלעכע אָרגאַנאַזיישאַנז, עקספּרעס / לאָודינג געביטן זענען אָדער ניט בנימצא אָדער נישט קאַנטראָולד דורך די אָרגאַניזאַציע (למשל אַ שערד אָפיס אַקאַמאַדיישאַן). אָבער, ווו די אָרגאַניזאַציע קענען קאָנטראָלירן אָדער השפּעה אויף די געביטן, עס איז וויכטיק אַז ריסקס זענען יידענאַפייד און אַססעססעד און צונעמען קאָנטראָלס זענען דעריבער ימפּלאַמענאַד. ביישפילן פון די קאָנטראָלס קען אַרייַננעמען; אָרט אַוועק פון די הויפּט אָפיס בנין; עקסטרע שוץ; קקטוו מאָניטאָרינג & רעקאָרדינג; און פּראָוסידזשערז צו פאַרמייַדן פונדרויסנדיק און ינערלעך אַקסעס זייַענדיק אָפן אין דער זעלביקער צייט.
דער אָדיטאָר וועט דורכקוקן די עקספּרעס און לאָודינג שוץ צו פאַרזיכערן אַז עס זענען צונעמען קאָנטראָלס מיט די קאָנטראָל פון ינקאַמינג מאַטעריאַלס (למשל עקספּרעס) און די קאָנטראָל פון אַוטגאָוינג מאַטעריאַלס (למשל פֿאַר אינפֿאָרמאַציע ליקאַדזש פאַרהיטונג). כאָטש, די מדרגה פון פארזיכערונג אַרום עקספּרעס און לאָודינג קאָרעוו צו די אַססעססעד ריזיקירן לעוועלס וואָס דער אָדיטאָר וועט קוקן פֿאַר וועט אָפענגען אויף די אַוויילאַבילאַטי און אָונערשיפּ פון אַזאַ פאַסילאַטיז.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.11.2?
אַנעקס אַ.11.2 איז וועגן ויסריכט. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו פאַרמייַדן אָנווער, שעדיקן, גנייווע אָדער קאָמפּראָמיס פון אַסעץ און יבעררייַס צו די אַפּעריישאַנז פון דער אָרגאַניזאַציע.
א.11.2.1 עקוויפּמענט סיטינג & שוץ
עקוויפּמענט דאַרף זיין סייטאַד און פּראָטעקטעד צו רעדוצירן די ריסקס פון ינווייראַנמענאַל טרעץ און כאַזערדז, און קעגן אַנאָטערייזד אַקסעס. די אָרט פון ויסריכט וועט זיין באשלאסן דורך אַ נומער פון סיבות אַרייַנגערעכנט די גרייס און נאַטור פון די ויסריכט, די פארגעלייגט נוצן און אַקסעסאַביליטי און ינווייראַנמענאַל רעקווירעמענץ. די פאַראַנטוואָרטלעך פֿאַר סיטינג ויסריכט מוזן דורכפירן אַ ריזיקירן אַסעסמאַנט און צולייגן די פאלגענדע ווו נאָר מעגלעך אין לויט מיט די ריזיקירן לעוועלס:
- אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז (לאַפּטאָפּס, דעסקטאַפּס עטק) וואָס האַנדלינג שפּירעוודיק דאַטן זאָל זיין פּאַזישאַנד און די וויוינג ווינקל ריסטריקטיד צו רעדוצירן די ריזיקירן פון אַנאָטערייזד מענטשן וויוד אינפֿאָרמאַציע בעשאַס זייער נוצן.
- סטאָרידזש פאַסילאַטיז זענען סיקיורד צו ויסמיידן אַנאָטערייזד אַקסעס מיט שליסלען געהאלטן דורך אָטערייזד שליסל האָלדערס.
- עסן און טרינקען זאָל זיין געהאלטן אַוועק פון יקט ויסריכט.
- ווירעלעסס ראָוטערס, שערד פּרינטערס עטק זאָל זיין פּאַזישאַנד צו לאָזן גרינג אַקסעס ווען פארלאנגט און נישט דיסטראַקט ווער עס יז פון ארבעטן אָדער האָבן אינפֿאָרמאַציע לינקס אויף די דרוקער וואָס זאָל נישט זיין דאָרט.
- אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז ווי לאַפּטאָפּס זענען סיטאַד אַזוי זיי זענען סיקיורלי סטאָרד ווען ניט אין נוצן און לייכט אַקסעסט ווען פארלאנגט.
- היים טוערס אויך דאַרפֿן צו קערפאַלי באַטראַכטן זייער סיטינג און פּאַזישאַנינג פון עקוויפּמענט צו ויסמיידן ריסקס ענלעך צו די וואָס זענען גערעדט פֿאַר טוערס אין די אָפאַסאַז, ווי געזונט ווי אַנינטענשאַנאַל נוצן אָדער אַקסעס דורך משפּחה און פרענדז.
א.11.2.2 שטיצן יוטילאַטיז
עקוויפּמענט דאַרף זיין פּראָטעקטעד פון מאַכט פייליערז און אנדערע דיסראַפּשאַנז געפֿירט דורך פייליערז אין שטיצן יוטילאַטיז. פֿאַר בייַשפּיל, ריסקס שייַכות צו פיילינג אָדער פאָלטי מאַכט סאַפּלייז זאָל זיין אַססעססעד און באַטראַכט. דאָס קען אַרייַננעמען; צווייענדיק מאַכט סופּפּליעס פון פאַרשידענע סאַב-סטיישאַנז; באַקקופּ מאַכט דור פאַסילאַטיז; רעגולער טעסטינג פון מאַכט טנייַ און פאַרוואַלטונג. פֿאַר טעלעקאָממוניקאַטיאָנס, אין סדר צו האַלטן די פיייקייט פֿאַר זיי צו פאָרזעצן - קאַנסידעריישאַנז קען אַרייַננעמען; צווייענדיק אָדער קייפל רוטינג; מאַסע באַלאַנסינג און יבעריקייַט אין סוויטשינג ויסריכט; מאָניטאָרינג און אַלערטינג באַנדווידט קאַפּאַציטעט.
פילע פון די ריסקס וועט פאַרבינדן צו די "פאַרוויילונג" פון אינפֿאָרמאַציע פּראַסעסינג סיסטעמען און אַזוי קאָנטראָלס זאָל שטיצן די געשעפט רעקווירעמענץ פֿאַר אַוויילאַבילאַטי אין שורה מיט קיין געשעפט קאַנטיניויישאַן פּלאַנירונג און פּראַל אַסעסמאַנץ דורכגעקאָכט פֿאַר דעם צוועק. דער אָדיטאָר וועט זוכן זאָגן אַז קאָנטראָלס זענען קעסיידער טעסטעד צו ענשור אַז זיי פונקציאָנירן ריכטיק צו די געבעטן לעוועלס (באַקאַפּ גענעראַטאָרס עטק).
א.11.2.3 קאַבלע זיכערהייַט
מאַכט און טעלעקאָממוניקאַטיאָנס קאַבלע קעריינג דאַטן אָדער שטיצן אינפֿאָרמאַציע באַדינונגס דאַרף זיין פּראָטעקטעד פון ינטערסעפּשאַן, ינטערפיראַנס אָדער שעדיקן. אויב מאַכט און נעץ קייבאַלז זענען נישט סיטשוייטיד און פּראָטעקטעד אַדאַקוואַטלי, עס איז מעגלעך אַז אַ אַטאַקער קען זיין ביכולת צו ינטערסעפּט אָדער צעשטערן קאָמוניקאַציע אָדער פאַרמאַכן די מאַכט צושטעלן.
וואו עס איז מעגלעך, נעץ און מאַכט קייבאַלז זאָל זיין ונטערערד אָדער אַנדערש פּראָטעקטעד און אפגעשיידט אין סדר צו באַשיצן קעגן ינטערפיראַנס. דעפּענדינג אויף די סענסיטיוויטי אָדער קלאַסאַפאַקיישאַן פון דאַטן, עס קען זיין נייטיק צו באַזונדער קאָמוניקאַציע קייבאַלז פֿאַר פאַרשידענע לעוועלס און אַדישנאַלי דורכקוקן טערמאַניישאַן פונקטן פֿאַר אַנאָטערייזד דעוויסעס. דער אָדיטאָר וועט זיין וויזשוואַלי ינספּעקטינג די קייבאַלז און אויב זיי זענען באַטייַטיק צו די מדרגה פון קלאַסאַפאַקיישאַן / ריזיקירן בעטן זאָגן פון וויזשאַוואַל דורכקוק.
א.11.2.4 ויסריכט וישאַלט
עקוויפּמענט זאָל זיין ריכטיק מיינטיינד צו ענשור די קאַנטיניוינג אַוויילאַבילאַטי און אָרנטלעכקייַט. די פאָדערונג פֿאַר רוטין, פּרעווענטאַטיוו און ריאַקטיוו וישאַלט פון ויסריכט וועט בייַטן לויט די טיפּ, נאַטור, סיטינג סוויווע און ציל פון די ויסריכט און קיין קאַנטראַקטשואַל אַגרימאַנץ מיט מאַניאַפאַקטשערערז און דריט פּאַרטיי סאַפּלייערז. וישאַלט דאַרף זיין דורכגעקאָכט אויף ויסריכט אין צונעמען פריקוואַנסיז צו ענשור אַז עס בלייבט יפעקטיוולי פאַנגקשאַנאַל און צו רעדוצירן די ריזיקירן פון דורכפאַל.
עס איז אַ גוטע געדאַנק צו האַלטן וישאַלט סקעדזשולז ווי זאָגן פֿאַר די אָדיטאָר אויב דיין ויסריכט דאַרף סערוויסינג אָדער ריפּערז (דאָס קען זיין ציטלי טייד אין די A8.1.1 אינפֿאָרמאַציע אַסעט ינוואַנטאָרי אויב איר ווילט). לאָגס פון דעם וישאַלט זאָל אַרייַננעמען ווער האט דורכגעקאָכט די וישאַלט, וואָס איז געטאן און ווער אָטערייזד די וישאַלט. דער אָדיטאָר וועט קאָנטראָלירן די לאָגס צו זען אַז די סקעדזשולז זענען טויגן און פּראַפּאָרשאַנאַל, און אַז די אַקטיוויטעטן זענען אַפּראָופּרייטלי אָטערייזד און געפירט.
באַקומען אַ 81% כעדסטאַרט
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
א.11.2.5 באַזייַטיקונג פון אַסעץ
עקוויפּמענט, אינפֿאָרמאַציע אָדער ווייכווארג גענומען אַוועק-פּלאַץ דאַרף פאַרוואַלטונג אויך. דאָס קען זיין קאַנטראָולד מיט עטלעכע פאָרעם פון טשעק-אין-אויס פּראָצעס אָדער מער פשוט פֿאַרבונדן מיט אַן אָנגעשטעלטער ווי אַ טייל פון זייער ראָלע און געראטן אין לויט מיט זייער טערמינען און באדינגונגען פון באַשעפטיקונג - אַנעקס א 7 וואָס זאָל האַנדלען מיט אינפֿאָרמאַציע זיכערהייט!
אין דער שטענדיק רירעוודיק אַרבעט וועלט, עטלעכע אַסעץ אַזאַ ווי רירעוודיק דעוויסעס קענען זיין רוטינלי אַוועקגענומען פון אָרגאַנאַזיישאַנאַל לאָקאַל צו פאַסילאַטייט רירעוודיק אָדער היים אַרבעט. אויב אַסעץ זענען נישט דיזיינד צו זיין רוטינלי אַוועקגענומען פון פּלאַץ אָדער אויב זיי זענען פון אַ שפּירעוודיק, העכסט קלאַסאַפייד, ווערטפול אָדער שוואַך נאַטור, פּראַסעסאַז זאָל זיין אין פּלאַץ צו בעטן און דערלויבן באַזייַטיקונג און צו קאָנטראָלירן די צוריקקער פון די אַסעץ.
באַטראַכטונג צו באַגרענעצן די לענג פון צייט וואָס אַסעץ זענען ערלויבט צו זיין אַוועקגענומען, און זאָל זיין באזירט אויף ריזיקירן. דער אָדיטאָר וועט קוקן צו זען אַז די ריזיקירן אַסעסמאַנץ זענען דורכגעקאָכט פֿאַר ווען ניט-רוטין באַזייַטיקונג פון אַסעץ אַקערז און פֿאַר פּאַלאַסיז וואָס באַשליסן וואָס איז און איז ניט רוטין.
א.11.2.6 זיכערהייט פון עקוויפּמענט & אַסעץ אַוועק-לאָקאַל
זיכערהייט קאָנטראָלס דאַרפֿן צו זיין געווענדט צו אַוועק-פּלאַץ אַסעץ, גענומען אין חשבון די פאַרשידענע ריסקס ינוואַלווד מיט ארבעטן אַרויס די אָרגאַניזאַציע ס לאָקאַל. דאָס איז אַ פּראָסט געגנט פון וואַלנעראַביליטי און עס איז דעריבער וויכטיק אַז די צונעמען מדרגה פון קאָנטראָלס איז ימפּלאַמענאַד און בינדן אין אנדערע רירעוודיק קאָנטראָלס און פּאַלאַסיז פֿאַר כאָומווערקערז עטק.
קאָנסידעראַטיאָנס זאָל זיין געמאכט און ריזיקירן אַסעסמאַנץ דורכגעקאָכט פֿאַר אַסעץ וואָס זענען גענומען אַוועק פּלאַץ, אָדער רוטינלי אָדער דורך ויסנעם. קאָנטראָלס וועט מסתּמא אַרייַננעמען אַ געמיש פון; טעכניש קאָנטראָלס אַזאַ ווי אַקסעס קאָנטראָל פּאַלאַסיז, פּאַראָל פאַרוואַלטונג, ענקריפּשאַן; גשמיות קאָנטראָלס אַזאַ ווי קענסינגטאָן לאַקס קען אויך זיין קאַנסידערד; צוזאמען מיט פּאָליטיק און פּראָצעס קאָנטראָלס אַזאַ ווי ינסטרוקטיאָן צו קיינמאָל לאָזן אַסעץ אַנאַטענדיד אין ציבור מיינונג (למשל לאַקינג אין די שטיוול פון די מאַשין).
עס איז דער הויפּט וויכטיק צו אָפּשאַצן די טרענדס פון זיכערהייט אינצידענט מיט אַסעץ אַוועק-פּלאַץ. דער אָדיטאָר וועט דערוואַרטן צו זען זאָגן פון דעם ריזיקירן אַסעסמאַנט און די פּראַפּאָרשאַנאַל קאָנטראָלס אויסגעקליבן לויט די עוואַלואַטעד ריזיקירן לעוועלס. זיי וועלן אויך דערוואַרטן צו זען זאָגן פון פּאָליטיק העסקעם.
א.11.2.7 זיכער באַזייַטיקונג אָדער רינוץ פון ויסריכט
כל יטעמס פון ויסריכט אַרייַנגערעכנט סטאָרידזש מידיאַ זאָל זיין וועראַפייד צו ענשור אַז קיין שפּירעוודיק דאַטן און לייסאַנסט ווייכווארג איז אַוועקגענומען אָדער סיקיורלי אָוווערריטאַן איידער באַזייַטיקונג אָדער שייַעך-נוצן. דאָס איז אן אנדער געגנט פון פּראָסט וואַלנעראַביליטי ווו פילע ינסאַדאַנץ האָבן אויפגעשטאנען פון נעבעך באַזייַטיקונג אָדער שייַעך-נוצן פּראַקטיסיז.
אויב עקוויפּמענט איז דיספּאָוזד פון וואָס כּולל שפּירעוודיק אינפֿאָרמאַציע, עס איז קריטיש אַז דאַטן שייַכעס דעוויסעס און קאַמפּאָונאַנץ זענען פיזיקלי צעשטערט אָדער סיקיורלי אפגעווישט מיט צונעמען מכשירים און טעקנאַלאַדזשיז. אויב עקוויפּמענט וועט זיין שייַעך-גענוצט, עס איז וויכטיק אַז אַלע פריערדיקע דאַטן און פּאַטענטשאַלי אינסטאַלירן ווייכווארג איז סיקיורלי "ווייסט" און די מיטל אומגעקערט צו אַ באַוווסט "ריין" שטאַט. דעפּענדינג אויף די מדרגה פון סענסיטיוויטי פון דאַטן קאַנטיינד אויף עקוויפּמענט וואָס איז חרובֿ, עס קען זיין נייטיק צו ענשור גשמיות צעשטערונג און דאָס זאָל זיין געטאן מיט אַ פּראָצעס וואָס קענען זיין גאָר אַודיטעד.
אָפט דריט-פּאַרטיי קאָמפּאַניעס זענען געניצט פֿאַר באַזייַטיקונג און אויב דאָס איז דער פאַל, עס איז יקערדיק צו ענשור אַז די צונעמען מדרגה פון "צעשטערונג באַווייַזן" איז צוגעשטעלט - שטאַרק קאַסטאַמערז קענען דערוואַרטן צו זען דאָס אויך אויב איר האָט האלטן ווערטפול קונה דאַטן און טייל פון דיין קאָנטראַקט מיט זיי ספּעציפיצירט זיכער צעשטערונג.
פֿאַר דעם קאָנטראָל, דער אָדיטאָר וועט קוקן צו זען אַז צונעמען טעקנאַלאַדזשיז, פּאַלאַסיז און פּראַסעסאַז זענען אין פּלאַץ און אַז זאָגן פון צעשטערונג אָדער זיכער מעקן זענען ריכטיק דורכגעקאָכט ווען פארלאנגט (טייד צוריק צו דיקאַמישאַנינג אין דיין אינפֿאָרמאַציע אַסעט ינוואַנטאָרי אויב עס איז אויך באַטייַטיק) .
א.11.2.8 אַנאַטענדיד באַניצער ויסריכט
ווי מיט סיקיורינג אָפאַסיז, יוזערז מוזן ענשור אַז קיין אַנאַטענדיד ויסריכט האט די צונעמען שוץ, אפילו אויב דאָס איז אַ פּאַראָל און שלאָס פאַרשטעלן פֿאַר יקערדיק אינפֿאָרמאַציע זיכערהייט. עס איז סייכל צו באַשיצן ויסריכט ווען איר לאָזן עס אַנאַטענדיד, אָבער דאָס וועט אָפענגען אויף די לעוועלס פון צוטרוי געשטעלט אין דעם אָרט ווו די מיטל איז לינקס (למשל האָטעל בעדרומז, קאָנפֿערענץ ווענוז עטק). אָרגאַנאַזיישאַנאַל לאָקאַל דאַרף אויך זיין קאַנסידערד אויב עס איז אַ ריזיקירן, למשל הויך באַנד פון גאַסט פאַרקער, הייס דעסקינג דורך אָפט טשאַנגינג שטעקן מיט פאַרשידענע ראָלעס.
אויב עקוויפּמענט איז לינקס איבער נאַכט ווו רייניקונג און אנדערע קאָנטראַקטאָרס קען האָבן צוטריט אויס פון נאָרמאַל אָפיס שעה, עס איז וויכטיק צו באַטראַכטן די ריסקס פון גנייווע און טאַמפּערינג און צולייגן פיליק און טויגן קאָנטראָלס. פּאַלאַסיז, פּראָצעס און וויסיקייַט מגילה זאָל זיין אין פּלאַץ צו ענשור אַז יוזערז זענען אַווער פון זייער ריספּאַנסאַבילאַטיז ווען זיי לאָזן ויסריכט אַנאַטענדיד אין דער אָרגאַניזאַציע אָדער אַרויס אויב רירעוודיק.
דער אָדיטאָר וועט זוכן צו זען אַז לייַערס פון קאָנטראָל זענען אין פּלאַץ וואָס זענען צונעמען צו די ריזיקירן לעוועלס און אַז עס איז זאָגן פון העסקעם קאָנטראָלירונג (למשל גיין-אַרום ינספּעקשאַנז נאָך שעה אָדער בעשאַס לאָנטש ברייקס איז אַ פאָלקס איינער פֿאַר אַנסייט אַדאַץ).
א.11.2.9 קלאָר דעסק & סקרין פּאָליטיק
אַפּערייטינג פּראָוסידזשערז פֿאַר צייטונגען און רימווואַבאַל סטאָרידזש מידיאַ און אַ קלאָר פאַרשטעלן פּאָליטיק פֿאַר אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז זאָל בכלל זיין אנגענומען, סייַדן אַלע די אנדערע קאָנטראָלס און ריסקס מיינען אַז זיי זענען נישט פארלאנגט. קלאָר שרייַבטיש און קלאָר פאַרשטעלן פּאַלאַסיז זענען געהאלטן גוט פיר און זענען לעפיערעך פּשוט צו ינסטרומענט, אָבער, אין עטלעכע צייט-שפּירעוודיק אַפּעריישאַנאַל ינווייראַנמאַנץ, זיי קען נישט זיין פּראַקטיש.
אין דעם פאַל, אנדערע קאָנטראָלס דיזיינד צו פירן די ריסקס קענען זיין ימפּלאַמענאַד אַנשטאָט. פֿאַר בייַשפּיל, אויב אַן אָפיס האט אַ שטאַרק מדרגה פון גשמיות אַקסעס קאָנטראָל מיט זייער קליין גאַסט און פונדרויסנדיק קאָנטראַקטאָר פאַרקער, אַזאַ קאָנטראָלס קען זיין דימד ומנייטיק, אָבער, די ריזיקירן פון "ינסייד סאַקאָנע" קען נאָך זיין באַטייַטיק און קען זיין אויף אַנאַקסעפּטאַבאַל לעוועלס. לעסאָף ווי מיט אַלע זיכערהייט קאַנסידעריישאַנז, די דיסיזשאַנז וועגן די ימפּלאַמענטיישאַן אָדער נישט פון קלאָר שרייַבטיש און קלאָר פאַרשטעלן פּאַלאַסיז זאָל זיין באזירט אויף ריזיקירן אַסעסמאַנט.
דער אָדיטאָר וועט קוקן צו זען ווי די דיסיזשאַנז צו ינסטרומענט אָדער נישט קלאָר שרייַבטיש און קלאָר פאַרשטעלן פּאַלאַסיז זענען געמאכט און ריוויוד אין אַ צונעמען אָפטקייַט. אויב אַזאַ פּאַלאַסיז זענען אין פּלאַץ, זיי וועלן קוקן פֿאַר זאָגן פון העסקעם טעסטינג און די ריפּאָרטינג און פאַרוואַלטונג פון קיין בריטשיז.
באַקומען אַ 81% כעדסטאַרט
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
