ISO 27001 - אַנעקס אַ.6: אָרגאַניזאַציע פון ​​אינפֿאָרמאַציע זיכערהייט

וואָס איז די אָביעקטיוו פון אַנעקס אַ.6.1?

אַנעקס אַ.6.1 איז וועגן ינערלעך אָרגאַניזאַציע. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו פאַרלייגן אַ פאַרוואַלטונג פריימווערק צו אָנהייבן און קאָנטראָלירן די ימפּלאַמענטיישאַן און אָפּעראַציע פון ​​אינפֿאָרמאַציע זיכערהייט אין דער אָרגאַניזאַציע.

דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן. לאָמיר פֿאַרשטיין די רעקווירעמענץ און וואָס זיי מיינען אין אַ ביסל מער טיף איצט.

א.6.1.1 אינפֿאָרמאַציע זיכערהייט ראָלעס & ריספּאַנסאַבילאַטיז

אַלע אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז דאַרפֿן צו זיין דיפיינד און אַלאַקייטיד. אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז קענען זיין אַלגעמיין (למשל פּראַטעקטינג אינפֿאָרמאַציע) און / אָדער ספּעציפיש (למשל די פֿאַראַנטוואָרטלעכקייט פֿאַר געבן אַ באַזונדער דערלויבעניש).

עס זאָל זיין באַטראַכט די אָונערשיפּ פון אינפֿאָרמאַציע אַסעץ אָדער גרופּעס פון אַסעץ ווען ידענטיפיצירן ריספּאַנסאַבילאַטיז. עטלעכע ביישפילן פון די געשעפט ראָלעס וואָס זענען מסתּמא צו האָבן עטלעכע אינפֿאָרמאַציע זיכערהייט שייכות אַרייַננעמען; דעפּאַרטמענטאַל קעפ; אָונערז פון געשעפט פּראָצעס; פאַרוואַלטער פון פאַסילאַטיז; HR פאַרוואַלטער; און אינערלעכער אַודיטאָר.

דער אָדיטאָר וועט זוכן פֿאַרזיכערונג אַז די אָרגאַניזאַציע האט קלאָר ווער איז פאַראַנטוואָרטלעך פֿאַר וואָס אין אַ טויגן און פּראַפּאָרשאַנאַל שטייגער לויט די גרייס און נאַטור פון דער אָרגאַניזאַציע. פֿאַר קלענערער אָרגאַנאַזיישאַנז, עס איז בכלל אַנריליסטיק צו האָבן פול-צייט ראָלעס פֿאַרבונדן מיט די ראָלעס און ריספּאַנסאַבילאַטיז.

ווי אַזאַ, קלעראַפייינג ספּעציפיש אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז אין יגזיסטינג אַרבעט ראָלעס איז וויכטיק, למשל, דער אָפּעראַטיאָנס דירעקטאָר אָדער סעאָ קען אויך זיין דער עקוויוואַלענט פון די CISO, דער טשיף אינפֿאָרמאַציע זיכערהייט אָפיציר, מיט אָווועראַרטשינג פֿאַראַנטוואָרטלעכקייט פֿאַר אַלע די יסמס. די CTO קען פאַרמאָגן אַלע די טעכנאָלאָגיע פֿאַרבונדענע אינפֿאָרמאַציע אַסעץ עטק.

א.6.1.2 סעגרעגאציע פון ​​פליכטן

קאַנפליקטינג דוטיז און געביטן פון פֿאַראַנטוואָרטלעכקייט מוזן זיין סעגרעגאַטעד אין סדר צו רעדוצירן די אַפּערטונאַטיז פֿאַר אַנאָטערייזד אָדער אַנינטענשאַנאַל מאָדיפיקאַטיאָן אָדער מיסיוז פון קיין פון די אַסעץ פון דער אָרגאַניזאַציע.

די אָרגאַניזאַציע דאַרף זיך פרעגן צי די סעגרעגאַציע פון ​​פליכט איז באַטראַכט און ימפּלאַמענאַד ווו צונעמען אָדער נישט. קלענערער אָרגאַנאַזיישאַנז קען געראַנגל מיט דעם, אָבער דער פּרינציפּ זאָל זיין געווענדט ווי ווייַט ווי מעגלעך און גוט גאַווערנאַנס און קאָנטראָלס שטעלן אין פּלאַץ פֿאַר די העכער ריזיקירן / העכער ווערט אינפֿאָרמאַציע אַסעץ, קאַפּטשערד ווי אַ טייל פון די ריזיקירן אפשאצונג און באַהאַנדלונג.

א.6.1.3 קאָנטאַקט מיט אויטאריטעטן

צוגעפאסט ע קאנטאקט ן מי ט באטרעפנדיק ע אויטאריטעט ן דארפ ן אויםהאלטן . געדענקט ווען איר אַדאַפּט דעם קאָנטראָל צו טראַכטן וועגן די לעגאַל ריספּאַנסאַבילאַטיז פֿאַר קאָנטאַקט אויטאריטעטן אַזאַ ווי די פּאָליצייַ, די אינפֿאָרמאַציע קאַמישאַנער ס אָפפיסע אָדער אנדערע רעגולאַטאָרי ללבער, למשל אַרום GDPR.

באַטראַכטן ווי דער קאָנטאַקט איז צו זיין געמאכט, דורך וועמען, אונטער וואָס צושטאנדן, און די נאַטור פון די אינפֿאָרמאַציע צו זיין צוגעשטעלט.

א.6.1.4 קאָנטאַקט מיט ספּעציעלע אינטערעס גרופּעס

צונעמען קאָנטאַקטן מיט ספּעציעל אינטערעס גרופּעס אָדער אנדערע ספּעשאַלייזד זיכערהייט גרופּעס און פאַכמאַן אַסאָוסייישאַנז מוזן אויך זיין מיינטיינד. ווען איר אַדאַפּט דעם קאָנטראָל צו דיין ספּעציפיש באדערפענישן, געדענקט אַז מיטגלידערשאַפט פון פאַכמאַן ללבער, ינדאַסטרי אָרגאַנאַזיישאַנז, גרופּעס און דיסקוסיע גרופּעס אַלע רעכענען פֿאַר דעם קאָנטראָל.

עס איז וויכטיק צו פֿאַרשטיין די נאַטור פון יעדער פון די גרופּעס און פֿאַר וואָס ציל זיי זענען געגרינדעט (למשל איז עס אַ געשעפט ציל הינטער עס).

א.6.1.5 אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט

אינפֿאָרמאַציע זיכערהייט דאַרף זיין גערעדט אין פּרויעקט פאַרוואַלטונג, ראַגאַרדלאַס פון די טיפּ פון פּרויעקט. אינפֿאָרמאַציע זיכערהייט זאָל זיין ינגריינד אין די שטאָף פון דער אָרגאַניזאַציע און פּרויעקט פאַרוואַלטונג איז אַ שליסל געגנט פֿאַר דעם. מיר רעקאָמענדירן די נוצן פון מוסטער פראַמעוואָרקס פֿאַר פּראַדזשעקס וואָס אַרייַננעמען אַ פּשוט ריפּיטאַבאַל טשעקליסט צו ווייַזן אַז אינפֿאָרמאַציע זיכערהייט איז קאַנסידערד.

דער אָדיטאָר וועט קוקן צו זען אַז אַלע מענטשן ינוואַלווד אין פּראַדזשעקס זענען טאַסקט צו באַטראַכטן אינפֿאָרמאַציע זיכערהייט אין אַלע סטאַגעס פון די פּרויעקט לייפסייק, אַזוי דאָס זאָל אויך זיין באדעקט ווי אַ טייל פון דער בילדונג און וויסיקייַט אין לויט מיט HR Security for A.7.2.2 .

סמאַרט אָרגאַנאַזיישאַנז וועלן אויך ווענדן אַ.6.1.5 מיט פֿאַרבונדענע אַבלאַגיישאַנז פֿאַר פערזענלעכע דאַטן און באַטראַכטן זיכערהייט דורך פּלאַן צוזאַמען מיט דאַטאַ פּראַטעקשאַן ימפּאַקט אַססעססמענץ (DPIA) און ענלעך פּראַסעסאַז צו באַווייַזן העסקעם מיט די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולאַטיאָן (GDPR) און די דאַטאַ פּראַטעקשאַן אקט 2018.

ISMS.online ינקאָרפּערייץ פּשוט, פּראַקטיש פראַמעוואָרקס און טעמפּלאַטעס פֿאַר אינפֿאָרמאַציע זיכערהייט אין פּרויעקט פאַרוואַלטונג, ווי געזונט ווי DPIA און אנדערע פֿאַרבונדענע פערזענלעכע דאַטן אַססעססמאַנץ, למשל לעגיטימאַטע ינטערעס אַססעססמענץ (ליאַס).

וואָס איז די אָביעקטיוו פון אַנעקס אַ.6.2?

אַנעקס אַ.6.2 איז וועגן רירעוודיק דעוויסעס און טעלעוואָרקינג. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו פאַרלייגן אַ פאַרוואַלטונג פריימווערק צו ענשור די זיכערהייט פון טעלעוואָרקינג און נוצן פון רירעוודיק דעוויסעס.

A.6 סימז ווי אַ מאָדנע אָרט צו דעקן אַוועק רירעוודיק דעוויסעס און טעלעוואָרקינג פּאַלאַסיז אָבער עס טוט, און כּמעט אַלץ אין A.6.2 קאַנעקץ זיך מיט אנדערע אַנעקס א קאָנטראָלס, ווייַל פיל פון אַרבעט לעבן כולל רירעוודיק און טעלעוואָרקינג.

טעלעוואָרקינג אין דעם בייַשפּיל אויך כולל היים טוערס און יענע אין סאַטעליט לאָוקיישאַנז וואָס קען נישט דאַרפֿן די זעלבע פיזיש ינפראַסטראַקטשער קאָנטראָלס ווי (זאָגן) די הויפּט אָפפיסע אָבער זענען פונדעסטוועגן ויסשטעלן צו ווערטפול אינפֿאָרמאַציע און פֿאַרבונדענע אַסעץ.

א.6.2.1 מאָביל דיווייס פּאָליטיק

א פּאָליטיק און שטיצן זיכערהייט מיטלען מוזן זיין אנגענומען צו פירן די ריסקס ינטראָודוסט דורך ניצן רירעוודיק פאָנעס און אנדערע רירעוודיק דעוויסעס אַזאַ ווי לאַפּטאַפּס, טאַבלאַץ אאז"ו ו. טעלעפאָן. די נוצן פון רירעוודיק דעוויסעס און טעלעוואָרקינג זענען אין דער זעלביקער צייט אַ ויסגעצייכנט געלעגנהייט פֿאַר פלעקסאַבאַל אַרבעט און אַ פּאָטענציעל זיכערהייט וואַלנעראַביליטי.

BYOD אָדער Bring Your Own Device איז אויך אַ הויפּט טייל פון די באַטראַכטונג. כאָטש עס זענען ריזיק בענעפיץ צו געבן שטעקן צו נוצן זייער אייגענע דעוויסעס, אָן טויגן קאָנטראָלס אין לעבן נוצן און ספּעציעל אַרויסגאַנג, די טרעץ קענען אויך זיין היפּש.

אַן אָרגאַניזאַציע דאַרף זיין זיכער אַז ווען רירעוודיק דעוויסעס זענען געניצט אָדער שטעקן ארבעטן אַוועק-פּלאַץ, די אינפֿאָרמאַציע פון ​​קאַסטאַמערז און אנדערע אינטערעסירט פּאַרטיעס בלייבט פּראָטעקטעד און יידילי אין זייַן קאָנטראָל. דאָס ווערט ינקריסינגלי שווער מיט קאַנסומער וואָלקן סטאָרידזש, אָטאַמייטיד באַקאַפּ און פּערסאַנאַלי אָונד דעוויסעס שערד דורך משפּחה מיטגלידער.

אַן אָרגאַניזאַציע זאָל באַטראַכטן ימפּלאַמענינג אַ "פאַרטיידיקונג אין דעפּט" סטראַטעגיע מיט אַ קאָמבינאַציע פון ​​​​קאָמפּלעמענטאַרי גשמיות, טעכניש און פּאָליטיק קאָנטראָלס. איינער פון די מערסט וויכטיק אַספּעקץ איז בילדונג, טריינינג און וויסיקייַט אַרום די נוצן פון רירעוודיק דעוויסעס אין ציבור ערטער אויך, ויסמיידן די ריזיקירן פון 'פריי' וויפי וואָס קען געשווינד קאָמפּראָמיס אינפֿאָרמאַציע אָדער באַגרענעצן די אַנינווייטיד אַבזערווערז פון קוקן אויף דעם עקראַן אויף דער באַן רייזע היים.

דער אָדיטאָר וועט וועלן צו זען אַז עס זענען קלאָר פּאַלאַסיז און קאָנטראָלס וואָס צושטעלן פארזיכערונג אַז אינפֿאָרמאַציע בלייבט זיכער ווען ארבעטן אַוועק פון אָרגאַנאַזיישאַנאַל פיזיש זייטלעך. פּאַלאַסיז זאָל דעקן די פאלגענדע געביטן:

• רעגיסטראַציע און פאַרוואַלטונג
• גשמיות שוץ
• ריסטריקשאַנז אויף וואָס ווייכווארג קענען זיין אינסטאַלירן, וואָס באַדינונגס און אַפּפּס קענען זיין מוסיף און אַקסעסט, נוצן פון אָטערייזד און אַנאָטערייזד דעוועלאָפּערס
• אַפּערייטינג מיטל דערהייַנטיקונגען און פּאַטטשינג אַפּלאַקיישאַנז
• די אינפֿאָרמאַציע קלאַסאַפאַקיישאַן צוטריטלעך און קיין אנדערע אַסעט אַקסעס קאַנסטריינץ (למשל קיין ינפראַסטראַקטשער קריטיש אַסעט אַקסעס)
• עקספּעקטיישאַנז פֿאַר קריפּטאָגראַפי, מאַלוואַרע און אַנטיווירוס
• קלאָץ אויף, ווייַט דיסייבאַלינג, מעקן, לאַקאַוט און 'געפֿינען מיין מיטל' רעקווירעמענץ
• באַקאַפּ און סטאָרידזש
• משפּחה און אנדערע באַניצער אַקסעס טנאָים (אויב BYOD), למשל צעשיידונג פון אַקאַונץ
• נוצן אין ציבור ערטער
• קאַנעקטיוויטי און טראַסטיד נעטוואָרקס

א.6.2.2 טעלעווערקינג

א פּאָליטיק און שטיצן זיכערהייט מיטלען מוזן אויך זיין ימפּלאַמענאַד צו באַשיצן אינפֿאָרמאַציע אַקסעסט, פּראַסעסט אָדער סטאָרד אין טעלעוואָרקינג זייטלעך. טעלעוואָרקינג רעפערס צו היים-ארבעטן און אנדערע אַוועק-פּלאַץ ארבעטן אַזאַ ווי אויף סאַפּלייער אָדער קונה זייטלעך. פֿאַר טעלעוואָרקינג שטעקן, בילדונג, טריינינג און וויסיקייַט רילייטינג צו פּאָטענציעל ריסקס איז קריטיש.

דער אָדיטאָר וועט דערוואַרטן צו זען דיסיזשאַנז רילייטינג צו רירעוודיק מיטל און טעלעוואָרקינג נוצן און זיכערהייט מיטלען באזירט אויף צונעמען ריזיקירן אַסעסמאַנט, באַלאַנסינג די נויט פֿאַר פלעקסאַבאַל ארבעטן קעגן די פּאָטענציעל טרעץ און וואַלנעראַביליטיז אַזאַ נוצן וואָלט פאָרשטעלן.

טעלעוואָרקינג איז אויך ענג שייַכות צו פילע פון ​​די אנדערע אַנעקס א קאָנטראָל געביטן אין A.6, A.8, A.9, A.10, A.11, A.12 און A.13, אַזוי פאַרבינדן די אַרויף ווי אַ טייל פון די אָפיס און טעלעוואָרקינג צוגאַנג צו ויסמיידן דופּליקיישאַן און גאַפּס. A.7 איז אויך יקערדיק צו באַקומען רעכט פֿאַר זיפּונג און ראַקרוטמאַנט פון טעלעוואָרקערס און פאַרוואַלטונג איבער די לייפסיקלע ווערט אַ שליסל צו אַרייַננעמען אין אַדאַץ און באַווייַזן צו אַדאַטערז אַז טעלעוואָרקערס זענען נישט אַ שוואַך געראטן סאַקאָנע.