ISO 27001 - אַנעקס אַ.13: קאָמוניקאַציע זיכערהייט

וואָס איז די אָביעקטיוו פון אַנעקס אַ.13.1?

אַנעקס אַ.13.1 איז וועגן נעץ זיכערהייט פאַרוואַלטונג. די אָביעקטיוו אין דעם אַנעקס איז צו ענשור די שוץ פון אינפֿאָרמאַציע אין נעטוואָרקס און זייַן שטיצן אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז. דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן.

א.13.1.1 נעץ קאָנטראָלס

נעטוואָרקס מוזן זיין געראטן און קאַנטראָולד אין סדר צו באַשיצן אינפֿאָרמאַציע אין סיסטעמען און אַפּלאַקיישאַנז. אין פּשוט טערמינען, די אָרגאַניזאַציע זאָל נוצן צונעמען מעטהאָדס צו ענשור אַז עס פּראַטעקץ קיין אינפֿאָרמאַציע אין זייַן סיסטעמען און אַפּלאַקיישאַנז. די נעץ קאָנטראָלס זאָל באַטראַכטן אַלע אַפּעריישאַנז פון די געשעפט קערפאַלי, זיין אַדאַקוואַטלי און פּראַפּאָרשאַנאַטלי דיזיינד און ימפּלאַמענאַד לויט צו געשעפט רעקווירעמענץ, ריזיקירן אַסעסמאַנט, קלאַסאַפאַקיישאַנז און סעגרעגאַציע רעקווירעמענץ ווי צונעמען.

עטלעכע מעגלעך ביישפילן פון טעכניש קאָנטראָלס פֿאַר באַטראַכטונג קען אַרייַננעמען; קאַנעקשאַן קאָנטראָל און ענדפּוינט וועראַפאַקיישאַן, פירעוואַללס און ינטרוזשאַן דיטעקשאַן / פאַרהיטונג סיסטעמען, אַקסעס קאָנטראָל רשימות און גשמיות, לאַדזשיקאַל אָדער ווירטואַל סעגרעגאַציע. עס איז אויך וויכטיק צו דורכפירן דעם פאַקט אַז ווען קאַנעקטינג צו ציבור נעטוואָרקס אָדער די פון אנדערע אָרגאַנאַזיישאַנז אַרויס אָרגאַנאַזיישאַנאַל קאָנטראָל, צו באַטראַכטן די געוואקסן ריזיקירן לעוועלס און פירן די ריסקס מיט נאָך קאָנטראָלס ווי צונעמען.

איר וועט דאַרפֿן צו האַלטן אין זינען אַז דער אָדיטאָר וועט קוקן צו זען אַז די ימפּלאַמענאַד קאָנטראָלס זענען עפעקטיוו און געראטן אַפּראָופּרייטלי, אַרייַנגערעכנט די נוצן פון פאָרמאַל ענדערונג פאַרוואַלטונג פּראָוסידזשערז.

א.13.1.2 זיכערהייט פון נעטוואָרק באַדינונגס

זיכערהייט מעקאַניזאַמז, סערוויס לעוועלס און פאַרוואַלטונג רעקווירעמענץ פון אַלע נעץ באַדינונגס דאַרפֿן צו זיין יידענאַפייד און אַרייַנגערעכנט אין נעץ באַדינונגס אַגרימאַנץ, צי די סערוויסעס זענען צוגעשטעלט אין-הויז אָדער אַוצאָרסט. אין פּשוט טערמינען, די אָרגאַניזאַציע זאָל אַרייַננעמען אַלע די פאַרשידן זיכערהייט מיטלען עס איז גענומען אין סדר צו באַוואָרענען זייַן נעץ באַדינונגס, אין זייַן נעץ באַדינונגס אַגרימאַנץ. דיין אָדיטאָר וועט וועלן צו זען אַז די פּלאַן און ימפּלאַמענטיישאַן פון נעטוואָרקס נעמט אין חשבון ביידע די געשעפט רעקווירעמענץ און זיכערהייט רעקווירעמענץ, אַטשיווינג אַ וואָג וואָס איז טויגן און פּראַפּאָרשאַנאַל צו ביידע. זיי וועלן קוקן פֿאַר זאָגן פון דעם, צוזאַמען מיט זאָגן פון אַ ריזיקירן אַסעסמאַנט.

א.13.1.3 סעגרעגאַציע אין נעטוואָרקס

גרופּעס פון אינפֿאָרמאַציע באַדינונגס, ניצערס און אינפֿאָרמאַציע סיסטעמען זאָל זיין סעגרעגאַטעד אויף נעטוואָרקס. אויב מעגלעך, באַטראַכטן סעגרעגייטינג דוטיז פון נעץ אַפּעריישאַנז און קאָמפּיוטער / סיסטעם אַפּעריישאַנז, למשל ציבור דאָומיינז, דעפּט רענטגענ אָדער י דאָומיינז. די נעץ פּלאַן און קאָנטראָל מוזן ייַנרייען צו און שטיצן אינפֿאָרמאַציע קלאַסאַפאַקיישאַן פּאַלאַסיז און סעגרעגאַציע רעקווירעמענץ.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.13.2?

אַנעקס אַ.13.2 איז וועגן אינפֿאָרמאַציע אַריבערפירן. די אָביעקטיוו אין דעם אַנעקס איז צו האַלטן די זיכערהייט פון אינפֿאָרמאַציע טראַנספערד אין דער אָרגאַניזאַציע און מיט קיין פונדרויסנדיק ענטיטי, למשל אַ קונה, סאַפּלייער אָדער אנדערע אינטערעסירט פּאַרטיי.

א.13.2.1 אינפֿאָרמאַציע אַריבערפירן פּאַלאַסיז & פּראָוסידזשערז

פאָרמאַל אַריבערפירן פּאַלאַסיז, ​​​​פּראָוסידזשערז און קאָנטראָלס מוזן זיין אין פּלאַץ צו באַשיצן די אַריבערפירן פון אינפֿאָרמאַציע דורך די נוצן פון אַלע טייפּס פון קאָמוניקאַציע פאַסילאַטיז. וועלכער טיפּ פון קאָמוניקאַציע מעכירעס איז אין נוצן, עס איז וויכטיק צו פֿאַרשטיין די זיכערהייט ריסקס ינוואַלווד אין באַציונג צו די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי פון די אינפֿאָרמאַציע און דאָס וועט דאַרפֿן צו נעמען אין חשבון די טיפּ, נאַטור, סומע און סענסיטיוויטי אָדער קלאַסאַפאַקיישאַן פון די אינפֿאָרמאַציע. אינפֿאָרמאַציע איז טראַנספערד. עס איז ספּעציעל וויכטיק צו ינסטרומענט אַזאַ פּאַלאַסיז און פּראָוסידזשערז ווען אינפֿאָרמאַציע איז טראַנספערד פון אָדער אין דער אָרגאַניזאַציע פון ​​דריט פּאַרטיעס. אַנדערש אָבער קאַמפּלאַמענטשי קאָנטראָלס קען זיין פארלאנגט צו באַשיצן אינפֿאָרמאַציע טראַנספערד פון ינטערסעפּשאַן, קאַפּיינג, מאָדיפיקאַטיאָן, מיס-ראָוטינג און צעשטערונג און זאָל זיין באַטראַכט האָליסטיקלי ווען ידענטיפיצירן וואָס קאָנטראָלס זאָל זיין אויסגעקליבן.

א.13.2.2 אַגרימאַנץ אויף אינפֿאָרמאַציע אַריבערפירן

אינפֿאָרמאַציע קען זיין טראַנספערד דיגיטאַל אָדער פיזיקלי און אַגרימאַנץ מוזן אַדרעס די זיכער אַריבערפירן פון געשעפט אינפֿאָרמאַציע צווישן די אָרגאַניזאַציע און קיין פונדרויסנדיק פּאַרטיעס. פאָרמאַל אַריבערפירן פּאַלאַסיז פּראָוסידזשערז און טעכניש קאָנטראָלס זאָל זיין אויסגעקליבן, ימפּלאַמענאַד, אַפּערייטאַד, מאָניטאָרעד, אַודיטעד און ריוויוד צו ענשור אָנגאָינג עפעקטיוו זיכערהייט שוץ. אָפט, קאָמוניקאַציע און אַריבערפירן סיסטעמען און פּראָוסידזשערז זענען שטעלן אין פּלאַץ, אָן אַ פאַקטיש פארשטאנד פון די ריסקס ינוואַלווד וואָס דעריבער קריייץ וואַלנעראַביליטיז און מעגלעך קאָמפּראָמיס. ISO 27002 רירט ימפּלאַמענטיישאַן קאַנסידעריישאַנז אַרייַנגערעכנט באַטראַכטונג פון נאָוטאַפאַקיישאַנז, טרייסאַביליטי, עסקראָו, לעגיטימאַציע סטאַנדאַרדס, קייט פון קאַסטאַדי, קריפּטאָגראַפי, אַקסעס קאָנטראָל און אנדערע.

א.13.2.3 עלעקטראָניש מעסידזשינג

יעדער אינפֿאָרמאַציע וואָס איז ינוואַלווד אין קיין פאָרעם פון עלעקטראָניש מעסידזשינג דאַרף זיין פּראָטעקטעד פּראָטעקטעד. אין פּשוט ווערטער, ווען ניצן עלעקטראָניש מעסידזשינג, עס זאָל זיין פּראָטעקטעד צו ענשור אַז קיין אַנאָטערייזד אַקסעס קענען זיין פארדינט. אויף ווי זיכער זיי זענען. קאָנסידעראַטיאָנס וועט אויך דאַרפֿן צו זיין געמאכט פֿאַר קול & פאַקס קאָמוניקאַציע אַריבערפירן, און גשמיות אַריבערפירן (למשל דורך פּאָוסטאַל סיסטעמען). דאָס זאָל ייַנרייען מיט אַקסעס קאָנטראָלס און אנדערע זיכער אָטענטאַקיישאַן פּאַלאַסיז און קלאָץ-אויף פּראָוסידזשערז.

א.13.2.4 קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ

א גוט קאָנטראָל באשרייבט ווי די רעקווירעמענץ פֿאַר קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ וואָס פאַרטראַכטנ די באדערפענישן פון דער אָרגאַניזאַציע פֿאַר די שוץ פון אינפֿאָרמאַציע מוזן זיין יידענאַפייד, קעסיידער ריוויוד און דאַקיומענטאַד. ווי אַזאַ, די אָרגאַניזאַציע דאַרף צו ענשור אַז קיין אינפֿאָרמאַציע וואָס דאַרף זיין פּראָטעקטעד, איז דורכגעקאָכט דורך די נוצן פון קאַנפאַדענשיאַלאַטי און ניט-אַנטפּלעקונג אַגרימאַנץ.

אַגרעעמענץ זענען יוזשאַוואַלי ספּעציפיש צו דער אָרגאַניזאַציע און זאָל זיין דעוועלאָפּעד מיט זיין קאָנטראָל דאַרף אין זינען נאָך די אַרבעט פון ריזיקירן אַנאַליסיס. נאָרמאַל אַגרימאַנץ פֿאַר קאַנפאַדענשיאַלאַטי און ניט-אַנטפּלעקונג וואָס קען באַרעכטיקן באַטראַכטונג דאָ אַרייַננעמען:

• אַלגעמיינע ניט-אַנטפּלעקונג און קעגנצייַטיק ניט-אַנטפּלעקונג אַגרימאַנץ, למשל ווען ייַנטיילונג שפּירעוודיק אינפֿאָרמאַציע, למשל, וועגן נייַע געשעפט געדאנקען.
• קונה אַגרימאַנץ ניצן נאָרמאַל טערמינען און באדינגונגען - יקספּרעסינג קאַנפאַדענשיאַלאַטי אין דעם קאָנטעקסט פון די נוצן פון פּראָדוקטן סאָלד און קיין קאַמפּלאַמענטשי באַדינונגס אַוטליינד אין אַ פֿאַרבונדענע סדר פאָרעם.
• מיטאַרבעטער / סאַפּלייער / שוטעף אַגרימאַנץ געניצט פֿאַר קליין סאַפּלייערז און פרייַ סערוויס פּראַוויידערז וואָס די אָרגאַניזאַציע נוצן פֿאַר עקספּרעס פון סערוויסעס.
• באַשעפטיקונג פֿאַרבונדענע טערמינען (אַליינד מיט A.7).
• פּריוואַטקייט פּאַלאַסיז, ​​למשל, פֿון E- בריוו פוטער.