ין ISO 27001:2022 אַנעקס א: אַ נעענטער קוק אין שליסל קאָנטראָלס

הקדמה צו ISO 27001:2022 אַנעקס א

יסאָ קסנומקס: קסנומקס איז אַן אינטערנאַציאָנאַלע אינפֿאָרמאַציע זיכערהייט סטאַנדאַרט ימפּלאַמענאַד דורך אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS). די אַנעקס א סטאַנדאַרט כּולל 93 זיכערהייט קאָנטראָלס וואָס קענען זיין געווענדט באזירט אויף די באדערפענישן און אַבדזשעקטיווז פון דיין אָרגאַניזאַציע.  

ימפּלאַמענטינג די קאָנטראָלס ינייבאַלז דיין אָרגאַניזאַציע צו אַדרעס פּאָטענציעל ריסקס און דערגרייכן העסקעם מיט די ISO 27001 נאָרמאַל. עס איז אַ פּראָווען צוגאַנג צו ווייַזן דיין קאַסטאַמערז און פּראַספּעקס אַז פּראַטעקטינג זייער דאַטן איז אַ בילכערקייַט פֿאַר דיין געשעפט.  

אין דעם אַרטיקל, מיר וועלן ונטערזוכן אַנעקס א, ויסשליסן קריטיש קאָנטראָלס און דערקלערן וואָס פארשטאנד און ימפּלאַמענינג באַטייַטיק אַנעקס א קאָנטראָלס איז וויטאַל פֿאַר דיין אָרגאַניזאַציע ס ISO 27001 הצלחה. 

יסאָ 27001:2022 אַנעקס א קאַטעגאָריעס

 די קסנומקס ISO 27001:2022 אַנעקס א קאָנטראָלס זענען קלאַסאַפייד אין פיר קאַטעגאָריעס: 

•        אָרגאַנאַזיישאַנאַל קאָנטראָלס
•        מענטשן קאָנטראָלס
•        גשמיות קאָנטראָלס 
•        טעקנאַלאַדזשיקאַל קאָנטראָלס.

אָרגאַנאַזיישאַנאַל קאָנטראָלס

ISO 27001 כּולל 37 אָרגאַנאַזיישאַנאַל קאָנטראָלס. די קאָנטראָלס פאַרבינדן צו דיין אָרגאַניזאַציע ס פּאַלאַסיז, ​​​​פּראָוסידזשערז, סטראַקטשערז און מער, וואָס אַלאַוז איר צו ינסטרומענט עפעקטיוו אינפֿאָרמאַציע זיכערהייט אויף די אָרגאַנאַזיישאַנאַל מדרגה.  

אָרגאַנאַזיישאַנאַל קאָנטראָלס אַרייַננעמען דיין אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, ​​ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט, אַקסעס קאָנטראָל, אַסעט פאַרוואַלטונג און מער. 

מענטשן קאָנטראָלס

ISO 27001 כּולל אַכט מענטשן קאָנטראָלס, פאָוקיסינג אויף קריטיש מיטלען אָרגאַנאַזיישאַנז זאָל נעמען צו ענשור אַז עמפּלוייז באַקומען גענוג אינפֿאָרמאַציע זיכערהייט טריינינג און וויסן זייער ריספּאַנסאַבילאַטיז. 

מענטשן קאָנטראָלס אַרייַננעמען אינפֿאָרמאַציע זיכערהייט בילדונג, וויסיקייַט און טריינינג, ווייַט ארבעטן מיטלען, אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג און מער. 

גשמיות קאָנטראָלס 

די 14 גשמיות קאָנטראָלס אין ISO 27001 אַדרעס די זיכערהייט פון דיין גשמיות סוויווע פון ​​דיין אָרגאַניזאַציע. 

גשמיות קאָנטראָלס אַרייַננעמען זיכערהייט מיטלען פֿאַר ארבעטן אין זיכער געביטן, סטאָרידזש מעדיע פאַרוואַלטונג, קלאָר שרייַבטיש און פאַרשטעלן פּאַלאַסיז און מער. 

טעקנאַלאַדזשיקאַל קאָנטראָלס

עס זענען 34 טעקנאַלאַדזשיקאַל קאָנטראָלס אַוטליינד אין ISO 27001:2022 רילייטינג צו פאַרשידן טעקנאַלאַדזשיקאַל עלעמענטן אַריבער דיין אָרגאַניזאַציע. 

טעקנאַלאַדזשיקאַל קאָנטראָלס אַרייַננעמען זיכער אָטענטאַקיישאַן, פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז, מאָניטאָרינג אַקטיוויטעטן און נוצן פון קריפּטאָגראַפי. 

קריטיש ISO 27001:2022 אַנעקס א קאָנטראָלס

דיין אָרגאַניזאַציע דאַרף ניט דאַווקע ינסטרומענט אַלע 93 קאָנטראָלס, אָבער איר זאָל אויסקלייַבן קאָנטראָלס וואָס זענען באַטייַטיק צו דיין אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז און די ריסקס וואָס איר האָט יידענאַפייד. עטלעכע וויטאַל קאָנטראָלס זענען פארלאנגט פֿאַר רובֿ אויב ניט אַלע אָרגאַנאַזיישאַנז צו זיין געהאָרכיק מיט ISO 27001. 

באַמערקונג אַז די רשימה אונטן איז נישט גאַנץ. דיין אָרגאַניזאַציע זאָל באַטראַכטן יעדער קאָנטראָל באזירט אויף דיין אָווועראַרטשינג אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז. 

א.5.1 פּאַלאַסיז פֿאַר אינפֿאָרמאַציע זיכערהייט

קאָנטראָל A.5.1, פּאַלאַסיז פֿאַר אינפֿאָרמאַציע זיכערהייט, ינשורז קאַנטיניוינג פּאַסיק, אַדאַקוואַסי און יפעקטיוונאַס פון פאַרוואַלטונג שטיצן און ריכטונג פֿאַר דיין אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט און פּריוואַטקייט. 

ימפּלאַמענטאַד הצלחה, דעם קאָנטראָל ינשורז אַז דיין אָרגאַניזאַציע האט אַ סכום פון אינפֿאָרמאַציע זיכערהייט און פּריוואַטקייט פּאַלאַסיז דיזיינד צו מיטטיילן און פירן די נאַטור פון מענטשן אין לויט מיט אינפֿאָרמאַציע זיכערהייט ריסקס.  

פֿאַר בייַשפּיל, דיין אינפֿאָרמאַציע זיכערהייט פּאָליטיק, וואָס איז אַ פאָדערונג פון ISO 27001:2022 פּונקט 5.2, זאָל זיין באוויליקט דורך פאַרוואַלטונג און זאָגן דיין אָרגאַניזאַציע ס צוגאַנג צו אָנפירונג אינפֿאָרמאַציע זיכערהייט. עס זאָל באַטראַכטן דיין געשעפט סטראַטעגיע, רעקווירעמענץ, באַטייַטיק געסעצ - געבונג, רעגיאַליישאַנז און קאַנטראַקץ.  

די פּאָליטיק זאָל: 

• אַרייַננעמען אַ דעפֿיניציע פון ​​אינפֿאָרמאַציע זיכערהייט 

• צושטעלן אַ פריימווערק פֿאַר גרינדן אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז 

• געבן אַן אָנגאָינג היסכייַוועס צו פֿאַרבעסערן די ISMS פון דיין אָרגאַניזאַציע 

• באַשטימען ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג צו דיפיינד ראָלעס. 

שפּיץ פאַרוואַלטונג זאָל אַפּרווו די אינפֿאָרמאַציע זיכערהייט פּאָליטיק און קיין ענדערונגען צו ענשור עפעקטיוו ימפּלאַמענטיישאַן. איר זאָל דעריבער יבערגעבן די פּאָליטיק (און קיין פֿאַרבונדן סאַב-פּאַליסיז, אַזאַ ווי אַקסעס קאָנטראָל און אַסעט פאַרוואַלטונג פּאַלאַסיז) צו באַטייַטיק פּערסאַנעל. 

 א.5.1. רעזולטאטן: אינפֿאָרמאַציע זיכערהייט פּאָליטיק; באַטייַטיק טעמע-ספּעציפיש סאַב-פּאַליסיז, למשל א.5.10 אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, א.8.32 טוישן פאַרוואַלטונג, א.8.13 אינפֿאָרמאַציע באַקאַפּ, אאז"וו 

א.5.15 אַקסעס קאָנטראָל

קאָנטראָל א.5.15, אַקסעס קאָנטראָל ריקווייערז דיין אָרגאַניזאַציע צו פאַרלייגן און ינסטרומענט כּללים צו קאָנטראָלירן פיזיש און לאַדזשיקאַל אַקסעס צו אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ באזירט אויף געשעפט און אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ. דאָס ינשורז בלויז אָטערייזד פּראָופיילז קענען אַקסעס אינפֿאָרמאַציע און אנדערע אַסעץ און פּריווענץ אַנאָטערייזד אַקסעס. 

איר זאָל אַדרעס דעם קאָנטראָל מיט אַן אַקסעס קאָנטראָל פּאָליטיק, וואָס זיצט ווי אַ טעמע-ספּעציפיש פּאָליטיק אונטער דיין אינפֿאָרמאַציע זיכערהייט פּאָליטיק. דיין אַקסעס קאָנטראָל פּאָליטיק זאָל באַטראַכטן:  

• באַשטימען וואָס ענטיטיז דאַרפן וואָס טיפּ פון אַקסעס צו אינפֿאָרמאַציע און אנדערע אַסעץ 

• זיכערהייט פון אַפּלאַקיישאַנז 

• פיזיש אַקסעס, געשטיצט דורך פיזיש פּאָזיציע קאָנטראָלס 

• אינפֿאָרמאַציע דיסעמאַניישאַן און דערלויבעניש און אינפֿאָרמאַציע זיכערהייט לעוועלס און קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע 

• ריסטריקשאַנז צו פּריוולידזשד אַקסעס 

• סעגרעגאַציע פון ​​פליכט 

• באַטייַטיק געסעצ - געבונג, רעגיאַליישאַנז און קאַנטראַקטשואַל אַבלאַגיישאַנז וועגן באַגרענעצונג פון אַקסעס צו דאַטן אָדער באַדינונגס 

• סעגרעגאַציע פון ​​אַקסעס קאָנטראָל פאַנגקשאַנז (אַזאַ ווי אַקסעס בעטן, אַקסעס דערלויבעניש און אַקסעס אַדמיניסטראַציע) 

• פאָרמאַל דערלויבעניש פון אַקסעס ריקוועס 

• פאַרוואַלטונג פון אַקסעס רעכט 

• לאָגינג. 

נויט-צו-וויסן און דאַרפֿן-צו-נוצן פּרינסאַפּאַלז זענען אָפט געניצט אין אַקסעס קאָנטראָל: 

• דאַרפֿן-צו-וויסן ינוואַלווז אַז אַן ענטיטי (אַזאַ ווי אַ יחיד אָדער אָרגאַניזאַציע) בלויז באקומען אַקסעס צו אינפֿאָרמאַציע וואָס די ענטיטי ריקווייערז צו דורכפירן זייַן טאַסקס.  

• דאַרפֿן-צו-נוצן ינוואַלווז אַן ענטיטי בלויז געגעבן אַקסעס צו אינפֿאָרמאַציע טעכנאָלאָגיע ינפראַסטראַקטשער מיט אַ קלאָר נויט.  

די פּרינסאַפּאַלז קענען פירן ווי דיין אָרגאַניזאַציע גיט אַקסעס צו אינפֿאָרמאַציע אַסעץ. איר זאָל אויך באַטראַכטן געשעפט רעקווירעמענץ און ריזיקירן סיבות ווען דיפיינינג וואָס אַקסעס קאָנטראָל כּללים זענען געווענדט און די מדרגה פון גראַנולאַריטי דארף. 

א.5.15 רעזולטאטן: טעמע-ספּעציפיש צוטריט קאָנטראָל פּאָליטיק; אַקסעס קאָנטראָל ימפּלאַמענטיישאַן (למשל מאַנדאַטאָרי אַקסעס קאָנטראָל, דיסקרעשאַנערי אַקסעס קאָנטראָל, ראָלע-באזירט אַקסעס קאָנטראָל אָדער אַטריביוט-באזירט אַקסעס קאָנטראָל). 

A.6.3 אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג

קאָנטראָל A.6.3, אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג, איז אַ יסוד פון דיין אָרגאַניזאַציע ס זיכערהייט האַלטנ זיך. עס ינשורז אַז דיין עמפּלוייז און אינטערעסירט פּאַרטיעס קענען פאַרמייַדן, ידענטיפיצירן און באַריכט פּאָטענציעל אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ.  

די קאָנטראָל ריקווייערז פּערסאַנעל און באַטייַטיק פּאַרטיעס צו באַקומען צונעמען אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג, טריינינג און רעגולער דערהייַנטיקונגען אויף דיין אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט פּאָליטיק און טעמע-ספּעציפיש פּאַלאַסיז און פּראָוסידזשערז ווי אָנווענדלעך צו זייער ראָלעס. 

איר זאָל פאַרלייגן אַן אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג פּראָגראַם אין לויט מיט דיין אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז, און טריינינג זאָל זיין פּיריאַדיקלי. דער פּראָגראַם זאָל מאַכן פּערסאַנעל אַווער פון זייער ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט און אַרייַננעמען אַן צונעמען בילדונג און טריינינג פּלאַן צו העלפֿן שטעקן צו פֿאַרשטיין די ציל פון אינפֿאָרמאַציע זיכערהייט און די פּאָטענציעל פּראַל פון זייער נאַטור אויף דיין געשעפט. 

באַטראַכטן קאַווערינג אַספּעקץ אַזאַ ווי:  

• פאַרוואַלטונג ס היסכייַוועס צו אינפֿאָרמאַציע זיכערהייט איבער דיין אָרגאַניזאַציע 

• פאַמיליעראַטי און העסקעם באדערפענישן וועגן אָנווענדלעך אינפֿאָרמאַציע זיכערהייט כּללים און אַבלאַגיישאַנז 

• פערזענלעכע אַקאַונטאַביליטי פֿאַר אַקשאַנז און ינאַקטיאָנס, און אַלגעמיין ריספּאַנסאַבילאַטיז צו סיקיורינג אָדער פּראַטעקטינג אינפֿאָרמאַציע וואָס געהערט צו דער אָרגאַניזאַציע 

• יקערדיק אינפֿאָרמאַציע זיכערהייט פּראָוסידזשערז אַזאַ ווי געשעעניש ריפּאָרטינג און פּאַראָל זיכערהייט 

• קאָנטאַקט ווייזט און רעסורסן פֿאַר נאָך אינפֿאָרמאַציע און עצה. 

א.6.3 רעזולטאטן: פּעריאָדיש וויסיקייַט טריינינג; פּעריאָדיש בילדונג און טריינינג פּראָגראַם; רעגולער דיסעמאַניישאַן פון באַטייַטיק אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, ​​אַרייַנגערעכנט דערהייַנטיקונגען. 

 A.8.24 נוצן פון קריפּטאָגראַפי

קאָנטראָל A.8.24, נוצן פון קריפּטאָגראַפי ריקווייערז דיין אָרגאַניזאַציע צו דעפינירן און ינסטרומענט כּללים פֿאַר די עפעקטיוו נוצן פון קריפּטאָגראַפי. קריפּטאָגראַפי קענען ווערן גענוצט צו דערגרייכן פאַרשידענע אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז, אַזאַ ווי: 

• קאַנפאַדענשיאַלאַטי, דורך ניצן ענקריפּשאַן צו באַשיצן שפּירעוודיק אָדער קריטיש אינפֿאָרמאַציע 

• אָרנטלעכקייַט אָדער אָטאַנטיסיטי, דורך ניצן דיגיטאַל סיגנאַטשערז אָדער אָנזאָג אָטענטאַקיישאַן קאָודז צו באַשטעטיקן די אָטאַנטיסיטי אָדער אָרנטלעכקייַט פון שפּירעוודיק אָדער קריטיש אינפֿאָרמאַציע 

• ניט-רעפּודייישאַן, דורך ניצן קריפּטאָגראַפיק טעקניקס צו צושטעלן זאָגן פון די פּאַסירונג אָדער ניט-געשעעניש פון אַ געשעעניש אָדער קאַמף 

• אָטענטאַקיישאַן, by ניצן קריפּטאָגראַפיק טעקניקס צו אָטענטאַקייט ניצערס און אנדערע ענטיטיז וואָס בעטן אַקסעס צו דיין סיסטעם, ענטיטיז אָדער רעסורסן. 

דיין אָרגאַניזאַציע זאָל ינסטרומענט אַ טעמע-ספּעציפיש קריפּטאָגראַפי פּאָליטיק, אַרייַנגערעכנט אַלגעמיינע פּרינסאַפּאַלז פֿאַר פּראַטעקטינג אינפֿאָרמאַציע. איר זאָל אויך באַטראַכטן באַטייַטיק לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל באדערפענישן שייַכות צו קריפּטאָגראַפי. קריטיש קאַנסידעריישאַנז פֿאַר דיין קריפּטאָגראַפי פּאָליטיק אַרייַננעמען: 

• ידענטיפיצירן די פארלאנגט מדרגה פון שוץ און קלאַסאַפאַקיישאַן פון די אינפֿאָרמאַציע און דעריבער באַשטעטיקן די טיפּ, שטאַרקייט און קוואַליטעט פון די קריפּטאָגראַפיק אַלגערידאַמז פארלאנגט. 

• דער צוגאַנג צו שליסל פאַרוואַלטונג און שליסל דור, אַרייַנגערעכנט זיכער פּראַסעסאַז פֿאַר דזשענערייטינג, סטאָרינג, אַרטשיווינג, ריטריווינג, דיסטריביוטינג, ריטייערינג און דיסטרויינג קריפּטאָגראַפיק שליסלען 

• ראָלעס און ריספּאַנסאַבילאַטיז פֿאַר ימפּלאַמענינג די כּללים פֿאַר די עפעקטיוו נוצן פון קריפּטאָגראַפי און שליסל פאַרוואַלטונג און דור. 

אין שורה מיט דעם קאָנטראָל, דיין אָרגאַניזאַציע זאָל דעפינירן און נוצן אַ שליסל פאַרוואַלטונג סיסטעם. 

א.8.24 רעזולטאטן: טעמע-ספּעציפיש קריפּטאָגראַפי פּאָליטיק; ימפּלאַמענטיישאַן פון צונעמען קריפּטאָגראַפיק מעטהאָדס; ימפּלאַמענטיישאַן פון שליסל פאַרוואַלטונג סיסטעם.

ריזיקירן אַססעססמענט און באַהאַנדלונג אין ISO 27001:2022 

דיין אָרגאַניזאַציע וועט דאַרפֿן צו דעפינירן און צולייגן אַן אינפֿאָרמאַציע זיכערהייט ריזיקירן אַססעססמענט פּראָצעס צו נאָכקומען מיט ISO 27001:2022 פּונקט 6.1.2, אינפֿאָרמאַציע זיכערהייט ריזיקירן אַסעסמאַנט.  

די אינפֿאָרמאַציע זיכערהייט ריזיקירן אַסעסמאַנט פּראָצעס זאָל: 

• פאַרלייגן און טייַנען אינפֿאָרמאַציע זיכערהייט ריזיקירן קרייטיריאַ, אַרייַנגערעכנט ריזיקירן אַקסעפּטאַנס קרייטיריאַ און קרייטיריאַ פֿאַר פּערפאָרמינג אינפֿאָרמאַציע זיכערהייט ריזיקירן אַסעסמאַנץ. 

• פאַרזיכערן אַז ריפּיטיד אינפֿאָרמאַציע זיכערהייט אַסעסמאַנץ פּראָדוצירן קאָנסיסטענט, גילטיק און פאַרגלייַכלעך רעזולטאַטן. 

• ידענטיפיצירן די אינפֿאָרמאַציע זיכערהייט ריסקס. 

• אַנאַליזירן אינפֿאָרמאַציע זיכערהייט ריסקס, אַרייַנגערעכנט די ליקעליהאָאָד פון ריזיקירן פּאַסירונג, פּאָטענציעל קאַנסאַקווענסאַז פון ריזיקירן פּאַסירונג, און די לעוועלס פון ריזיקירן 

• אָפּשאַצן די ריסקס פון אינפֿאָרמאַציע זיכערהייט דורך קאַמפּערינג די ריזיקירן אַנאַליסיס רעזולטאַטן מיט דיין געגרינדעט ריזיקירן קרייטיריאַ און פּרייאָראַטייז אַנאַלייזד ריסקס פֿאַר באַהאַנדלונג. 

דער פּראָצעס אַלאַוז איר צו בויען אַ סיסטעמאַטיש פריימווערק פֿאַר ריזיקירן אַסעסמאַנט. אַמאָל דאָס איז געגרינדעט, איר זאָל דעפינירן און צולייגן אַן אינפֿאָרמאַציע זיכערהייט ריזיקירן באַהאַנדלונג פּראָצעס אין לויט מיט פּונקט 6.1.3.  

דיין ריזיקירן באַהאַנדלונג פּראָצעס זאָל אַרייַננעמען: 

• סעלעקטינג צונעמען ריזיקירן באַהאַנדלונג אָפּציעס. 

• קאַנסידערינג די ריזיקירן אַסעסמאַנט רעזולטאַטן. 

• דיטערמאַנינג די קאָנטראָלס נייטיק צו ינסטרומענט די ריזיקירן באַהאַנדלונג אָפּציעס געוויזן.  

 דאָ, אַנעקס א סערוועס ווי אַ גיידליינז פֿאַר פולשטענדיק און צונעמען ריזיקירן באַהאַנדלונג. ניצן דיין ריזיקירן אַסעסמאַנט פריימווערק, איר קענען פּרייאָראַטייז און סעלעקטירן קאָנטראָלס באזירט אויף דיין ריזיקירן פּראָפיל און אָרגאַנאַזיישאַנאַל רעקווירעמענץ. דערנאָך, איר זאָל קלייַבן די נויטיק אַנעקס א קאָנטראָלס צו ינסטרומענט צו אַדרעס זיי און ענשור אַז קיין קריטיש קאָנטראָלס זענען אָוווערלוקט.

אַנעקס א: יסאָ 27001:2013 קעגן יסאָ 27001:2022 

די קראַנט ווערסיע פון ​​ISO 27001, באפרייט אין 2022, פֿעיִקייטן אַ ריסטראַקטשערד גאַנג פון אַנעקס א קאָנטראָלס קאַמפּערד מיט די יטעריישאַן פון 2013. ביז אַהער, אַנעקס א קאַמפּרייזד 114 קאָנטראָלס אין 14 קאַטעגאָריעס; איצט אַנעקס א כּולל 93 קאָנטראָלס אין פיר האַרץ קאַטעגאָריעס ווי אַוטליינד: אָרגאַנאַזיישאַנאַל, מענטשן, גשמיות און טעקנאַלאַדזשיקאַל.  

דעם ענדערונג איז בפֿרט רעכט צו קאָנטראָלס זייַענדיק קאַנסאַלאַדייטאַד; אָבער, עס זענען 11 נייַע זיכערהייט קאָנטראָלס צו באַטראַכטן: 

• א.5.7 סאַקאָנע ינטעלליגענסע  

• א.5.23 אינפֿאָרמאַציע זיכערהייט פֿאַר די נוצן פון וואָלקן באַדינונגס  

• A.5.30 יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן 

• א.7.4 פיזיש זיכערהייט מאָניטאָרינג 

• אַ.8.9 קאַנפיגיעריישאַן פאַרוואַלטונג 

• א.8.10 אינפֿאָרמאַציע דילישאַן

• א.8.11 דאַטאַ מאַסקינג

• א.8.12 פאַרהיטונג פון דאַטן ליקאַדזש 

• א.8.16 מאָניטאָרינג אַקטיוויטעטן

• א.8.23 וועב פֿילטרירונג 

• א.8.28 זיכער קאָדירונג 

די 2022 דערהייַנטיקן אויך ינטראַדוסיז פינף נייַ האַרץ אַטריביוץ פֿאַר גרינגער קאַטאַגעריזיישאַן: 

• קאָנטראָל טיפּ (פאַרהיטנדיק, דעטעקטיוו, קערעקטיוו) 

• אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס (קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, אַוויילאַבילאַטי) 

• סייבערסעקוריטי קאַנסעפּס (אידענטיטעט, באַשיצן, דעטעקט, ריספּאַנד, צוריקקריגן) 

• אַפּעריישאַנאַל קייפּאַבילאַטיז (גאַווערנאַנס, אַסעץ פאַרוואַלטונג, אאז"ו ו) 

• זיכערהייט דאָומיינז (גאַווערנאַנס און יקאָוסיסטאַם, שוץ, פאַרטיידיקונג, ריזיליאַנס). 

יבערגאַנג פון ISO 27001:2013 צו ISO 27001:2022 

אויב דיין אָרגאַניזאַציע איז שוין סערטאַפייד צו ISO 27001:2013, די טערמין פֿאַר יבערגאַנג צו די נייַע רעוויזיע איז 31 אקטאבער 2025.  

ביי ISMS.online, מיר זענען שוין העלפּינג קאָמפּאַניעס יבערגאַנג צו ISO 27001:2022. אונדזער קלייאַנץ האָבן אַ 100% הצלחה קורס פון דערגרייכן סערטאַפאַקיישאַן מיט אונדזער אַשורד רעזולטאַטן מעטאַד (ARM).  

צו אָנהייבן, מיר צעטיילן דעם פּראָצעס אין זיבן פּשוט סטעפּס. די שריט-דורך-שריט גיידאַנס איז געבויט אין אונדזער פּלאַטפאָרמע, אַזוי מיר וועט פירן איר דורך יעדער שריט - פֿון אַפּדייטינג דיין ריזיקירן באַהאַנדלונג פּלאַן צו באַווייַזן העסקעם מיט די 2022 נאָרמאַל רעקווירעמענץ. מיר וועלן אויך העלפֿן איר צו האַלטן העסקעם מיט 2013 בשעת יבערגאַנג דיין סערטאַפאַקיישאַן צו 2022, צו ענשור אַז דיין געשעפט איז קאַנסיסטאַנטלי געהאָרכיק.   

אַנעקס א: אַנלאַקינג ISO 27001:2022 הצלחה 

פֿאַר אָרגאַנאַזיישאַנז וואָס זוכן צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן, עס איז וויטאַל צו פֿאַרשטיין אַנעקס א קאָנטראָלס און ינסטרומענט זיי יפעקטיוולי און קלאר. די קאָנטראָלס געבן איר צו פאַרמיידן די פּאַסירונג פון פּאָטענציעל אינפֿאָרמאַציע זיכערהייט ריסקס און אַוטליין פּראַסעסאַז און פּראָוסידזשערז צו ריספּאַנד יפעקטיוולי אויב אַן אינצידענט פאַלן. זיי אויך געבן איר צו בויען אַ געזונט ISMS וואָס וועט יוואַלוו און וואַקסן מיט דיין געשעפט דאַרף. 

יעדער אָרגאַניזאַציע האט פאַרשידענע אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ, אַזוי איר זאָל אָפּשאַצן דיין געשעפט ס ספּעציפיש באדערפענישן און אַבדזשעקטיווז ווען סאַלעקטינג אַנעקס א קאָנטראָלס. איר קען געפֿינען אַז עטלעכע קאָנטראָלס אַדרעס ריסקס וואָס דיין ריזיקירן אַסעסמאַנץ געפֿינען זענען נישט אָנווענדלעך. די ISMS.online פּלאַטפאָרמע קענען פאַרפּאָשעטערן דעם פּראָצעס: געשווינד ידענטיפיצירן און אַדרעס דיין באַטייַטיק אַנעקס א קאָנטראָלס מיט פאַר-אָנגעפילט טעמפּלאַטעס און אונדזער דינאַמיש ריזיקירן פאַרוואַלטונג מאָטאָר.  

אונדזער פּלאַטפאָרמע אויך קאַנעקץ מיט דיין יגזיסטינג סיסטעמען, אַזוי איר וועט געפֿינען אַלץ איר דאַרפֿן פֿאַר הצלחה אין איין אָרט. בעסטער פון אַלע, ניצן אונדזער העאַדסטאַרט אינהאַלט, דיין העסקעם נסיעה איז 81% גאַנץ פֿון דיין ערשטער לאָגין.  

לערנט מער וועגן ווי איר קענט נוצן אונדזער פּראַקטישן, צוטריטלעכן וועג צו דערגרייכן ISO 27001 ערשטן מאָל אין אונדזער "Bewezen וועג צו ISO 27001 הצלחה" ווייסע פּאַפּיר.