וואָס איז אַ דערקלערונג פון אָנווענדלעך?
פשוט, אין זיין זוכן צו באַשיצן ווערטפול אינפֿאָרמאַציע אַסעץ און פירן די אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז, די סאָאַ זאגט וואָס ISO 27001 קאָנטראָלס און פּאַלאַסיז זענען געווענדט דורך די אָרגאַניזאַציע. עס בענטשמאַרקס קעגן די אַנעקס א קאָנטראָל שטעלן אין די ISO 27001 נאָרמאַל (דיסקרייבד אויף די צוריק פון דעם ISO סטאַנדאַרדס דאָקומענט ווי רעפֿערענץ קאָנטראָל אַבדזשעקטיווז און קאָנטראָלס).
דער דערקלערונג פון אָנווענדלעך איז געפֿונען אין 6.1.3 פון די הויפּט רעקווירעמענץ פֿאַר ISO 27001, וואָס איז אַ טייל פון די ברייטערער 6.1, פאָוקיסט אויף אַקשאַנז צו אַדרעס ריסקס און אַפּערטונאַטיז.
די סאָאַ איז דעריבער אַ ינטאַגראַל טייל פון די מאַנדאַטאָרי ISO 27001 דאַקיומענטיישאַן וואָס דאַרף זיין דערלאנגט צו אַ פונדרויסנדיק אָדיטער ווען די ISMS איז דורכגעקאָכט אַ פרייַ קאָנטראָלירן, למשל דורך אַ UKAS קאָנטראָלירן סערטאַפאַקיישאַן גוף.
צו וועמען איז ISO 27001 אַפּלייז?
ISO 27001 איז אָנווענדלעך צו אַלע 2 טייפּס און סיזעס פון אָרגאַנאַזיישאַנז, אַרייַנגערעכנט עפנטלעך און פּריוואַט קאָמפּאַניעס, רעגירונג ענטיטיז און ניט-פֿאַר-נוץ אָרגאַנאַזיישאַנז. דער פּראָסט פאָדעם ראַגאַרדלאַס פון אָרגאַניזאַציע גרייס, טיפּ, געאָגראַפי אָדער סעקטאָר איז אַז די אָרגאַניזאַציע איז אַימעד צו באַווייַזן בעסטער פיר אין זיין צוגאַנג צו אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג. בעסטער פיר קענען זיין ינטערפּראַטאַד דיפערענטלי פון קורס.
די ISO סטאַנדאַרט איז אַלע וועגן דעוועלאָפּינג אַ סיסטעם פֿאַר די פאַרוואַלטונג פון אינפֿאָרמאַציע זיכערהייט ריזיקירן. אַזוי דיפּענדינג אויף די אַפּעטיט פון דער אָרגאַניזאַציע פירערשאַפט פֿאַר אינפֿאָרמאַציע ריזיקירן און די פאַרנעם פון אַסעץ צו אַדרעס ריסקס אַרום, די קאָנטראָלס און פּאַלאַסיז געווענדט קען בייַטן באטייטיק פון איין אָרגאַניזאַציע צו אנדערן, אָבער נאָך טרעפן די ISO 27001 קאָנטראָל אַבדזשעקטיווז.
וואָס איז אָבער קלאָר איז אַז די דערגרייה פון ISO 27001 סערטאַפאַקיישאַן דורך אַן אומאָפּהענגיק קאָנטראָלירן פון אַ באוויליקט ISO סערטאַפאַקיישאַן גוף, וועט מיינען אַז די אָרגאַניזאַציע האט ריטשט אַ דערקענט מדרגה פון קאָנטראָל (בעסטער פיר ווי אַ נאָרמאַל) פֿאַר אינפֿאָרמאַציע אַסעץ און פּראַסעסינג פאַסילאַטיז.
ISO 27001 סערטאַפאַקיישאַן גיט אינטערעסירט פּאַרטיעס אַזאַ ווי שטאַרק קאַסטאַמערז און פּראַספּעקס אַ העכער מדרגה פון בטחון ווי זיך דעוועלאָפּעד מעטהאָדס אָדער אָלטערנאַטיוו סטאַנדאַרדס וואָס טאָן ניט פירן די זעלבע פרייַ קאָנטראָלירן אָדער אינטערנאַציאָנאַלע דערקענונג.
ISO 27001 געמאַכט גרינג
א 81% פֿאָרשפּרונג פֿון טאָג איינס
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
פארוואס איז די SOA וויכטיק?
צוזאַמען מיט די פאַרנעם פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (4.3 פון ISO 27001), די סאָאַ גיט אַ קיצער פֿענצטער פון די קאָנטראָלס געניצט דורך די אָרגאַניזאַציע. די סאָאַ איז אַ האַרץ פאָדערונג צו דערגרייכן ISO סערטאַפאַקיישאַן פון די ISMS און צוזאַמען מיט די פאַרנעם וועט זיין איינער פון די ערשטער טינגז וואָס אַן אָדיטער וועט קוקן פֿאַר אין זייער קאָנטראָלירן אַרבעט.
די דאַקיומענטיישאַן וועט זיין בארעכטיגט פֿאַר אָפּשאַצונג בעשאַס די סטאַגע 1 סערטאַפאַקיישאַן קאָנטראָלירן, כאָטש עס וועט זיין דרילד בלויז בעשאַס די סטאַגע 2 קאָנטראָלירן, ווען דער אָדיטאָר וועט פּרובירן עטלעכע פון די ISO 27001 קאָנטראָלס און ענשור אַז זיי ניט בלויז באַשרייַבן, אָבער אַדאַקוואַטלי באַווייַזן. די קאָנטראָל אַבדזשעקטיווז זענען אַטשיווד.
דער אָדיטאָר וועט אָפּשאַצן די אינפֿאָרמאַציע אַסעט ינוואַנטאָרי, באַטראַכטן די ריסקס, זייער אפשאצונג און טריטמאַנץ, און קוקן פֿאַר גשמיות זאָגן אַז די אָרגאַניזאַציע האט צופֿרידן ימפּלאַמענאַד די קאָנטראָלס וואָס זי קליימד צו אַדרעס די ריזיקירן.
די SoA און Scope וועט דעקן די פּראָדוקטן און באַדינונגס פון דער אָרגאַניזאַציע, איר אינפֿאָרמאַציע אַסעץ, פּראַסעסינג פאַסילאַטיז, סיסטעמען אין נוצן, מענטשן ינוואַלווד און די געשעפט פּראַסעסאַז, צי דאָס איז אַ ווירטואַל איין מענטש געשעפט אָדער אַ מולטי-פּלאַץ אינטערנאַציאָנאַלע אָפּעראַציע מיט טויזנטער פון שטעקן.
שטאַרק געבילדעט קאַסטאַמערז מיט באַטייטיק אינפֿאָרמאַציע ריזיקירן (למשל ווייַל פון GDPR אָדער אנדערע געשעפט אינפֿאָרמאַציע אַסעץ) קען וועלן צו זען די פאַרנעם און סאָאַ איידער בייינג פון אַ סאַפּלייער, צו ענשור אַז די ISO סערטאַפאַקיישאַן טאַקע אַדרעס די געביטן פון די געשעפט ינוואַלווד מיט זייער געשעפט. אַסעץ.
עס איז ניט גוט צו האָבן אַן ISO סערטאַפאַקיישאַן מיט אַ פאַרנעם און סאָאַ פֿאַר אַ וק הויפּט אָפיס ווען די פאַקטיש אינפֿאָרמאַציע פּראַסעסינג ריזיקירן איז גענומען אין אַן אָפשאָר בנין מיט רעסורסן אויס פון פאַרנעם! דאָס איז אַקשלי איינער פון די סיבות וואָס די סערטאַפאַקיישאַן ללבער זענען איצט ינקעראַדזשינג סקאָפּעס פון "גאַנץ אָרגאַניזאַציע", וואָס פון קורס קען מיינען אַז אַ פיל ברייטערער און דיפּער ויסזאָגונג פון אָנווענדלעך איז פארלאנגט.
אין קיצער, אַ געזונט דערלאנגט און גרינג צו פֿאַרשטיין סאָאַ ווייזט די שייכות צווישן די אָנווענדלעך און ימפּלאַמענאַד אַנעקס א קאָנטראָלס, געגעבן די ריסקס און אינפֿאָרמאַציע אַסעץ אין פאַרנעם. דאָס וועט געבן אַן אַודיטאָר אָדער אנדערע אינטערעסירט פּאַרטיי אַ ריזיק צוטרוי אַז די אָרגאַניזאַציע נעמט אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג עמעס, ספּעציעל אויב דאָס איז אַלע צוזאַמען אין אַ האָליסטיק אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.
וואָס איז אַנעקס א ISO 27001?
אַנעקס א פון ISO 27001 איז אַ קאַטאַלאָג פון אינפֿאָרמאַציע זיכערהייט קאָנטראָל אַבדזשעקטיווז און קאָנטראָלס וואָס דאַרפֿן צו זיין קאַנסידערד בעשאַס די יסאָ 27001 ימפּלאַמענטיישאַן. די טעכניש טערמין געניצט פֿאַר יסאָ איז וועגן 'גערעכטיקייט' פון די קאָנטראָל, די סאָאַ וועט ווייַזן צי די אַנעקס א קאָנטראָל איז:
- אָנווענדלעך און ימפּלאַמענאַד ווי אַ קאָנטראָל איצט
- אָנווענדלעך אָבער נישט ימפּלאַמענאַד ווי אַ קאָנטראָל (למשל, עס קען זיין אַ טייל פון אַ פֿאַרבעסערונג פֿאַר דער צוקונפֿט און קאַפּטשערד אין 10.2 ווי אַ טייל פון אַ פֿאַרבעסערונג, אָדער די פירערשאַפט איז גרייט צו דערלאָזן די ריזיקירן ווייַל פון זייער אנדערע ימפּלאַמענאַד קאָנטראָל פּרייאָראַטיז)
- ניט אָנווענדלעך (באַמערקונג אַז אויב עפּעס איז גערעכנט ווי ניט אָנווענדלעך, דער אָדיטאָר וועט קוקן צו פֿאַרשטיין וואָס דאָס איז אַזוי אַ דאַקיומענטאַד רעקאָרד זאָל זיין געהאלטן וועגן דעם אויך אין די סאָאַ).
די קאָנטראָלס דאַרפֿן צו זיין ריוויוד און קעסיידער דערהייַנטיקט איבער די 3 יאָר ISO סערטאַפאַקיישאַן לייפסייקאַל. דאָס איז אַ טייל פון דער אָנגאָינג פילאָסאָפיע פֿאַר פֿאַרבעסערונג פון אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג עמבעדיד אין דער נאָרמאַל. געגעבן די ינקריסינג גאַנג פון וווּקס אין סייבער פאַרברעכן, סייבער זיכערהייט אויך באוועגט געשווינד אַזוי עפּעס ווייניקער ווי אַ יערלעך רעצענזיע פון קאָנטראָלס וואָלט פּאַטענטשאַלי פאַרגרעסערן די סאַקאָנע ויסשטעלן פון די אָרגאַניזאַציע.
ווי פילע קאָנטראָלס זענען דאָרט אין ISO:27001?
די ISO 27001:2022 אַנעקס א קאָנטראָלס זענען ריסטראַקטשערד, קאַנסאַלאַדייטאַד און מאַדערנייזד. די 93 קאָנטראָלס (אַראָפּ פֿון 114 אין 2013) זענען איצט קאטיגארעזירט אין פיר שליסל קאָנטראָל גרופּעס, אַנשטאָט פון די 14 דאָומיינז אין די פריערדיקע ווערסיע.
1. אָרגאַנאַזיישאַנאַל קאָנטראָלס (37 קאָנטראָלס)
וואָס עס קאָווערס:
די קאָנטראָלס פאָקוס אויף גאַווערנאַנס, ריזיקירן פאַרוואַלטונג, אַפּעריישאַנאַל זיכערהייט און העסקעם.
פארוואס די קאַטעגאָריע איז געווען מערדזשד און דערהייַנטיקט:
- סימפּליפיעד קאָמפּליאַנסע & ריסק מאַנאַגעמענט - ביז אַהער, העסקעם-פֿאַרבונדענע קאָנטראָלס זענען צעוואָרפן איבער קייפל דאָומיינז (למשל, A.18 - קאָמפּליאַנסע און A.6 - אָרגאַניזאַציע פון אינפֿאָרמאַציע זיכערהייט).
- פאָקוס אויף מאָדערן זיכערהייט גאַווערנאַנס - ריזיקירן אַסעסמאַנט, סאַקאָנע סייכל און סאַפּלייער זיכערהייט זענען איצט יונאַפייד אונטער דעם קאַטעגאָריע צו ייַנרייען זיך מיט יוואַלווינג געשעפט פּראַקטיסיז.
- בעסער ינטעגראַטיאָן מיט ISO 31000 (ריזיקירן מאַנאַגעמענט) - העלפּס אָרגאַנאַזיישאַנז ייַנרייען ריזיקירן אַסעסמאַנט און באַהאַנדלונג מעטאַדאַלאַדזשיז מיט גלאבאלע סטאַנדאַרדס.
שליסל קאָנטראָלס אין דעם קאַטעגאָריע:
- A.5.7 - סאַקאָנע ינטעלליגענסע (ניו) - צוגעגעבן צו אַדרעס פאַקטיש-צייט סאַקאָנע מאָניטאָרינג & ייַנטיילונג סייכל.
- A.5.21 - מאַנאַגעמענט פון אינפֿאָרמאַציע זיכערהייט ינסידענץ (מערדזשד) - קאַנסאַלאַדייץ פרייַערדיק אינצידענט ענטפער און לאָגינג רעקווירעמענץ.
- A.5.31 - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ (מערדזשד) - קאַמביינז A.18.1.1 (ידענטיפיקאַטיאָן פון אָנווענדלעך געסעצ - געבונג און קאַנטראַקטשואַל רעקווירעמענץ) און A.18.1.4 (פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע) פֿאַר אַ איין העסקעם פריימווערק.
2. מענטשן קאָנטראָלס (8 קאָנטראָלס)
וואָס עס קאָווערס:
די קאָנטראָלס אַדרעס מענטש זיכערהייט ריסקס, אַרייַנגערעכנט זיכערהייט וויסיקייַט, טריינינג און אָנגעשטעלטער ריספּאַנסאַבילאַטיז.
פארוואס די קאַטעגאָריע איז געווען מערדזשד און דערהייַנטיקט:
- מענטשן זענען די וויקאַסט לינק - א גרויס פּראָצענט פון זיכערהייט בריטשיז פאַלן רעכט צו מענטש טעות, פישינג אָדער געזעלשאַפטלעך ינזשעניעריע.
- ביז אַהער צעוואָרפן איבער קייפל דאָומיינז - A.7 (Human Resource Security) און A.12 (Operational Security) קאַנטיינד מענטשן-פֿאַרבונדענע קאָנטראָלס, מאכן עס האַרדער צו פירן זיכערהייט וויסיקייַט און טריינינג האָליסטיקלי.
- אַליינז מיט סייבערסעקוריטי וואָרקפאָרסע טראַינינג טרענדס - זיכערהייט וויסיקייַט מגילה איצט ונטערשטרייַכן קעסיידערדיק לערנען, סימיאַלייטיד פישינג אנפאלן און ראָלע-באזירט זיכערהייט טריינינג.
שליסל קאָנטראָלס אין דעם קאַטעגאָריע:
- A.6.3 - אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טראַינינג (מערדזשד) - קאַמביינז A.7.2.2 (אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טראַינינג) מיט עלעמענטן פון A.6.2 (אינטערנאציאנאלע ארגאניזאציע ריספּאַנסאַבילאַטיז) פֿאַר אַ שטארקער פאָקוס אויף קעסיידערדיק אָנגעשטעלטער באַשטעלונג.
- א.6.1 - זיפּונג (דערהייַנטיקט) - געשטארקט צו אַרייַננעמען קאָנטראַקטאָר הינטערגרונט טשעקס און דריט-פּאַרטיי ריזיקירן קאַנסידעריישאַנז.
3. גשמיות קאָנטראָלס (14 קאָנטראָלס)
וואָס עס קאָווערס:
דער אָפּטיילונג פאָוקיסיז אויף גשמיות זיכערהייט מיטלען צו באַשיצן פאַסילאַטיז, דעוויסעס און דאַטן סענטערס.
פארוואס די קאַטעגאָריע איז געווען מערדזשד און דערהייַנטיקט:
- קאַנסאַלאַדיישאַן פון יבעריק פיזיש זיכערהייט קאָנטראָלס - די 2013 ווערסיע האט באַזונדער קאָנטראָלס פֿאַר פאַרשידענע אַספּעקץ פון מעכירעס זיכערהייט, איצט סטרימליינד אין אַ איין קאַטעגאָריע.
- געוואקסן פאָקוס אויף רימאָוט אַרבעט און רירעוודיק זיכערהייַט - מיט כייבריד אַרבעט מאָדעלס ווערן די קלאַל, זיכערהייט קאָנטראָלס איצט אַדרעס אַרבעט-פון-היים זיכערהייט ריסקס.
- IoT און סמאַרט בילדינג זיכערהייט קאָנסידעראַטיאָנס - גשמיות זיכערהייט קאָנטראָלס זענען דערהייַנטיקט צו אַרייַננעמען IoT זיכערהייט ריסקס און אַי-פּאַוערד סערוויילאַנס.
שליסל קאָנטראָלס אין דעם קאַטעגאָריע:
- A.7.4 - גשמיות זיכערהייט מאָניטאָרינג (נייַ) - אַדרעסז זיכערהייט קאַמעראַס, קלוג לאַקס און פאַקטיש-צייט ינטרוזשאַן דיטעקשאַן.
- A.7.5 - ארבעטן אין זיכער געביטן (דערהייַנטיקט) - איצט ינקלודז זיכער רימאָוט ארבעטן רעקווירעמענץ צו פאַרמינערן ריסקס פון כייבריד און ווייַט ווערקפאָרס.
4. טעקנאַלאַדזשיקאַל קאָנטראָלס (34 קאָנטראָלס)
וואָס עס קאָווערס:
די גרופּע פאָוקיסיז אויף IT ינפראַסטראַקטשער זיכערהייט, וואָלקן זיכערהייט, אַקסעס קאָנטראָל און קריפּטאָגראַפי.
פארוואס די קאַטעגאָריע איז געווען מערדזשד און דערהייַנטיקט:
- סייבער טרעט לאַנדשאַפט האט יוואַלווד - די 2013 ווערסיע האט נישט גאָר אַדרעס די מאָדערן סייבער טרעץ, אַרייַנגערעכנט ראַנסאָמוואַרע, וואָלקן-באזירט אנפאלן און אַי-געטריבן כאַקינג.
- העכערונג פון קלאָוד קאַמפּיוטינג & סאַאַס ריסקס - ניו וואָלקן זיכערהייט קאָנטראָל (A.5.23 - אינפֿאָרמאַציע זיכערהייט פֿאַר קלאָוד באַדינונגס) אַדרעסז מולטי-וואָלקן ינווייראַנמאַנץ און שערד פֿאַראַנטוואָרטלעכקייט מאָדעלס.
- דאַטאַ פּראַטעקשאַן און פּריוואַטקייט העסקעם - ניו קאָנטראָלס ווי A.8.11 (דאַטאַ מאַסקינג) און A.8.12 (דאַטאַ ליקאַדזש פּרעווענטיאָן) ייַנרייען זיך מיט GDPR, ISO 27701 און גלאבאלע פּריוואַטקייט רעגיאַליישאַנז.
שליסל קאָנטראָלס אין דעם קאַטעגאָריע:
- A.8.11 - דאַטאַ מאַסקינג (נייַ) - פּראַטעקץ PII און שפּירעוודיק דאַטן ניצן טאָקעניזאַטיאָן און אַנאָנימיזאַטיאָן טעקניקס.
- A.8.12 - פאַרהיטונג פון דאַטן ליקאַדזש (ניו) - ימפּלאַמאַנץ דלפּ פּאַלאַסיז צו פאַרמייַדן אַנאָטערייזד דאַטן טראַנספערס.
- A.8.9 - קאַנפיגיעריישאַן מאַנאַגעמענט (ניו) - אַדרעסז מיסקאַנפיגיעריישאַנז אין וואָלקן & סאַאַס אַפּלאַקיישאַנז, אַ הויפּט סיבה פון דאַטן בריטשיז.
- A.8.23 - וועב פֿילטרירונג (נייַ) - פּראַטעקץ ניצערס פון בייזע וועבסיטעס, פישינג פרווון און מאַלוואַרע-ינפעקטאַד דאַונלאָודז.
- A.8.28 - זיכער קאָודינג (דערהייַנטיקט) - סטרענגטאַנז זיכער ווייכווארג אַנטוויקלונג לייפסייקאַל (SDLC) פּראַקטיסיז צו רעדוצירן ווייכווארג וואַלנעראַביליטיז.
קיצער פון ענדערונגען פֿון ISO 27001:2013
| ISO 27001:2013 (114 קאָנטראָלס) | ISO 27001:2022 (93 קאָנטראָלס) | סיבה פֿאַר טוישן |
|---|---|---|
| 14 קאָנטראָל דאָומיינז | 4 הויפּט קאָנטראָל גרופּעס | סימפּלאַפייז פאַרוואַלטונג און אַליינז מיט מאָדערן סייבערסעקוריטי פראַמעוואָרקס |
| יבעריק העסקעם קאָנטראָלס | יונאַפייד אין A.5.31 | קאַמביינז לעגאַל, רעגולאַטאָרי און קאַנטראַקטשואַל באדערפענישן |
| באַזונדער HR, וויסיקייַט און ינסידענט קאָנטראָלס | קאַנסאַלאַדייטאַד אונטער מענטשן קאָנטראָלס | שטארקער פאָקוס אויף זיכערהייט קולטור און אָנגעשטעלטער וויסיקייַט |
| פעלנדיק מאָדערן סייבערסעקוריטי טרעץ | צוגעגעבן סאַקאָנע סייכל, וואָלקן זיכערהייט און DLP | ווענדט ראַנסאָמוואַרע, וואָלקן ריסקס און מאָדערן באַפאַלן וועקטאָרס |
ISO 27001:2022 קאָנטראָל אַטריביוץ & NIST CSF אַליינמאַנט
ISO 27001:2022 ינטראָודוסט קאָנטראָל אַטראַביוץ צו פאַרבעסערן קלאַסאַפאַקיישאַן און פֿאַרבעסערן אַליינמאַנט מיט סייבערסעקוריטי פראַמעוואָרקס ווי NIST CSF. די אַטריביוץ העלפֿן אָרגאַנאַזיישאַנז מאַפּע זייער קאָנטראָלס צו ברייטערער זיכערהייט דאָומיינז, מאכן עס גרינגער צו ינסטרומענט קרייַז-פראַמעוואָרק העסקעם.
קאָנטראָל אַטריביוץ אין ISO 27001:2022
| אַטריביוט | באַשרייַבונג | NIST CSF מאַפּינג |
|---|---|---|
| קאָנטראָל טיפּע | דיפיינז צי די קאָנטראָל איז פאַרהיטנדיק, דעטעקטיוו אָדער קערעקטיוו | ידענטיפיצירן, באַשיצן, דעטעקט, רעספּאָנד, צוריקקריגן |
| אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | ספּעציפיצירט וואָס CIA טריאַד פּרינציפּ (קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, אַוואַילאַביליטי) די קאָנטראָל פּראַטעקץ | באַשיצן, דעטעקט, צוריקקריגן |
| סייבערסעקוריטי קאַנסעפּס | מאַפּס די קאָנטראָל צו סייבערסעקוריטי קאַנסעפּס ווי גאַווערנאַנס, אידענטיטעט פאַרוואַלטונג, סאַקאָנע דיטעקשאַן, דאַטן זיכערהייט, ריזיליאַנס | כל NIST CSF פאַנגקשאַנז |
| אַפּעריישאַנאַל קייפּאַבילאַטיז | דיפיינז די געגנט פון זיכערהייט עס שטיצט, אַזאַ ווי מאָניטאָרינג, לאָגינג, אינצידענט ענטפער, אַקסעס קאָנטראָל | באַשיצן, דעטעקט, רעספּאָנד |
| זיכערהייַט דאָומיינז | לינקס צו ברייטערער זיכערהייט געביטן אַזאַ ווי נעץ זיכערהייט, דאַטן שוץ, ריזיקירן פאַרוואַלטונג, וואָלקן זיכערהייט | ידענטיפיצירן, באַשיצן, דעטעקט |
ISO 27001:2022 קאָנטראָל מאַפּינג צו NIST CSF
| יסאָ 27001:2022 קאָנטראָל | קאָנטראָל טיפּע | CIA פאַרמאָג | סייבערסעקוריטי באַגריף | אַפּעריישאַנאַל קאַפּאַביליטי | זיכערהייַט פעלד | NIST CSF פונקציע |
|---|---|---|---|---|---|---|
| א.5.7 - סאַקאָנע ינטעלליגענסע | פאַרהיטנדיק | קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט | סאַקאָנע מאָניטאָרינג & דיטעקשאַן | לאָגינג, אַנאַליסיס | ריזיקירן פאַרוואַלטונג | ידענטיפיצירן, דעטעקט |
| A.8.11 - דאַטאַ מאַסקינג | פאַרהיטנדיק | קאַנפאַדענשיאַלאַטי | דאַטאַ פּראַטעקשאַן, פּריוואַטקייט | Data Security | Data Management | באַשיצן |
| A.8.12 - פאַרהיטונג פון דאַטן ליקאַדזש | פאַרהיטנדיק, דעטעקטיוו | קאַנפאַדענשיאַלאַטי | ענדפּוינט סעקוריטי, נעץ זיכערהייַט | מאָניטאָרינג, פאַרהיטונג | וואָלקן און ענדפּוינט זיכערהייט | באַשיצן, דעטעקט |
| A.8.9 - קאַנפיגיעריישאַן מאַנאַגעמענט | פאַרהיטנדיק | אָרנטלעכקייַט, אַוואַילאַביליטי | סעקוריטי כאַרדאַנינג | סיסטעם וישאַלט | נעץ סעקוריטי | באַשיצן |
בענעפיץ פון ניצן קאָנטראָל אַטריביוץ
- ימפּרוווד גאַווערנאַנס & העסקעם - מאכט עס גרינגער צו באַרעכטיקן קאָנטראָלס אין אַדאַץ פֿאַר ISO 27001, NIST און SOC 2.
- ימפּרוווד קרייַז-פראַמעוואָרק אַליינמאַנט - העלפּס מאַפּע קאָנטראָלס אַריבער NIST CSF, CIS 18 און ISO 27701.
- שטארקער ריזיקירן-באזירט צוגאַנג - אָרגאַנאַזיישאַנז קענען פּרייאָראַטייז קאָנטראָלס באזירט אויף ריזיקירן סיבות און זיכערהייט אַבדזשעקטיווז.
- וואָלקן און רימאָוט אַרבעט זיכערהייַט - קאָנטראָל אַטריביוץ הויכפּונקט נייַ ריסקס אין וואָלקן קאַמפּיוטינג, כייבריד ווערקפאָרס און צושטעלן קייט זיכערהייט.
באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן
איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.
וואָס קאָנטראָלס זאָל איך אַרייַננעמען?
די סטעיטמענט פון אַפּליקאַביליטי איז די הויפּט פֿאַרבינדונג צווישן אייער אינפֿאָרמאַציע זיכערהייט ריזיקאָ אַסעסמענט און באַהאַנדלונג אַרבעט, און ווייזט 'וואו' איר האָט אויסגעקליבן צו ימפּלעמענטירן אינפֿאָרמאַציע זיכערהייט קאָנטראָלס פֿון די 93 קאָנטראָל אָביעקטיוון (אַ גוטע סטעיטמענט פון אַפּליקאַביליטי וועט אויך קענען צו דרילן אין צו ווייַזן 'ווי' זיי זענען ימפּלעמענטירט געוואָרן).
כאָטש די אַנעקס א קאָנטראָלס צושטעלן אַ נוציק טשעקליסט פֿאַר באַטראַכטונג, נאָר ימפּלאַמענינג אַלע 93 קאָנטראָלס פֿון די 'דנאָ אַרויף' קען זיין טייַער און פאַרפירן די פונדאַמענטאַל יימז פון די נאָרמאַל. צום באַדויערן, עטלעכע אינפֿאָרמאַציע זיכערהייט קאַנסאַלטאַנץ און פּראַוויידערז פּעדלינג 'גאַנץ ISO 27001 דאַקיומענטיישאַן טאָאָלקיץ' וועט שטיצן דעם צוגאַנג, אָבער דאָס איז די אומרעכט וועג צו טאָן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג.
עס איז אַ סיבה וואָס די האַרץ רעקווירעמענץ אין ISO 27001 פֿון 4.1-10.2 זענען דאָרט. זיי העלפֿן נעמען די אָרגאַניזאַציע אויף די געשעפט און סטראַטעגיע געפירט צוגאַנג ווו איר קוק פון די שפּיץ אַראָפּ. נאָך באַטראַכט די ישוז, די אינטערעסירט פּאַרטיעס, די פאַרנעם און די אינפֿאָרמאַציע אַסעץ, די אָרגאַניזאַציע קענען ידענטיפיצירן די ריסקס, דערנאָך אָפּשאַצן זיי און באַטראַכטן טריטמאַנץ פֿאַר די ריסקס.
די ריסקס אַרום די ווערטפול אינפֿאָרמאַציע און די פּראַסעסינג פאַסילאַטיז, דעוויסעס, מענטשן ינוואַלווד עטק זאָל זיין עוואַלואַטעד מיט די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוואַילאַביליטי (CIA) פון אינפֿאָרמאַציע אין זינען.
די ברייקדאַון פון די סי.איי.עי. איז אויך אַ וויכטיק אַספּעקט פֿאַר די אָדיטאָר צו פֿאַרשטיין און דעמאַנסטרייץ אַז די אָרגאַניזאַציע האט מער האָליסטיקלי באַטראַכט די ריזיקירן. קריטיש, דאָס אויך מיטל אַז די סאָאַ איז דעוועלאָפּעד מיט דעם מער פולשטענדיק צוגאַנג, אלא ווי בלויז איין טייל, למשל, בלויז באַטראַכט די ריזיקירן צו אָנווער פון אינפֿאָרמאַציע פֿון אַ בריטש.
כאָטש די אָרגאַניזאַציע וועט באַטראַכטן די ריסקס פון זייַן אַפּעריישאַנז ווי ארויס פון אויבן, עס איז ווערט דערמאָנען אַז איינער פון די קאָנטראָל געביטן אין אַנעקס א וואָס וועט שטענדיק זיין אָנווענדלעך איז די "קאָנטראָל: A.5.31 - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ. דאָס וועט מיינען אַז איר אויך באַטראַכטן די רעקווירעמענץ פון באַטייַטיק געזעצן, רעגיאַליישאַנז און קאַנטראַקטשואַל באדערפענישן. דאָס איז גיינינג פיל מער פּראַמאַנאַנס ווייַל פון EU GDPR פֿאַר די פּראַסעסינג EU בירגער אינפֿאָרמאַציע און ינקריסינגלי איבער די וועלט אויך מיט אנדערע פּריוואַטקייט סטאַנדאַרדס אַזאַ ווי POPI אין דרום אפריקע, LGPD אין Brazil און די CCPA אין קאַליפאָרניאַ.
אין פארשטאנד די עקספּעקטיישאַנז פון די פּריוואַטקייט רעגיאַליישאַנז, עס אויך יפעקטיוולי דיקטייץ אַז פילע פון די ISO 27001 קאָנטראָלס זענען פארלאנגט, צי איר טראַכטן זיי זענען אָדער נישט. אַזוי אַ קלוג אָדיטאָר וועט דערוואַרטן אַ פארשטאנד פון די אָנווענדלעך געסעצ - געבונג וואָס אַפעקץ דיין אָרגאַניזאַציע און ווי דאָס איז אויך ינפאָרמינג דיין ברירה פון אָנווענדלעך קאָנטראָלס אין די סאָאַ טערעץ.
עטלעכע אינפֿאָרמאַציע זיכערהייט ריסקס קען דאָך זיין גאָר טערמאַנייטיד, טראַנספערד צו אן אנדער פּאַרטיי, באהאנדלט אָדער טאָלעראַטעד. אַלע די אַנעקס א קאָנטראָלס דעריבער העלפֿן איר באַטראַכטן און, ווו צונעמען, ינסטרומענט די אַריבערפירן, מייַכל אָדער דערלאָזן פילאָסאָפיע אַרום די ריסקס. דער סאָאַ דערנאָך ווייזט וואָס זיכערהייט מיטלען פון די אַנעקס א קאָנטראָלס איר נוצן און ווי איר ימפּלאַמענאַד זיי, ד"ה דיין פּאַלאַסיז און פּראָוסידזשערז.
די אַנעקס א קאָנטראָל אַבדזשעקטיווז און קאָנטראָלס ווי ליסטעד אין די ISO 27001 סטאַנדאַרט זענען נישט פּריסקריפּטיוו, אָבער עס איז נייטיק צו באַטראַכטן, און די טערעץ פֿאַר אָנווענדלעך איז יקערדיק פֿאַר אַ פרייַ סערטאַפאַקיישאַן פון אַן ISO סערטאַפאַקיישאַן גוף.
ISO 27002 און די סטאַטעמענט פון אָנווענדלעך
צי אומאָפּהענגיק סערטאַפאַקיישאַן איז אַ ציל אָדער טאָמער פשוט נאָכקומען מיט די קאַמפּלאַמענטשי ISO 27002 גיידאַנס, די אַנעקס א קאָנטראָלס זענען אַ positive יסוד צו בויען אויף פֿאַר קיין אָרגאַניזאַציע וואָס וויל צו פֿאַרבעסערן זייַן אינפֿאָרמאַציע זיכערהייט האַלטנ זיך און מאַכן געשעפט מער סיקיורלי.
ISO 27002, איז דער סאַפּלאַמענטערי סטאַנדאַרט צו ISO 27001, גיט אַ קאָוד פון פיר און נוציק אַוטליין פֿאַר אינפֿאָרמאַציע זיכערהייט קאָנטראָלס און אַזוי גיט אַ זייער גוט קאַטאַלאָג פון קאָנטראָל אַבדזשעקטיווז און קאָנטראָלס פֿאַר די באַהאַנדלונג פון ריסקס, ווי געזונט ווי גיידאַנס ווי צו ינסטרומענט זיי.
וואָס זיכערהייט מיטלען (אנעקס א קאָנטראָלס) איר צעוויקלען צו פירן די ריסקס וועט אַקשלי אָפענגען אויף דיין אָרגאַניזאַציע, זיין ריזיקירן אַפּעטיט און די פאַרנעם ווי געזונט ווי די אָנווענדלעך געסעצ - געבונג. אָבער וועלכער עס איז, עס דאַרף זיין דערלאנגט אין די סטאַטעמענט פון אַפּפּליאַביליטי אויב איר ווילן צו דערגרייכן אַן ISO 27001 סערטאַפאַקיישאַן!
וואָס אינפֿאָרמאַציע דאַרף זיין אַרייַנגערעכנט אין די SoA?
אַזוי לאָזן ס סאַמערייז וואָס אינפֿאָרמאַציע דאַרף זיין אַרייַנגערעכנט ווי אַ מינימום פֿאַר די SoA.
- א רשימה פון די 93 נעקס א קאָנטראָלס
- צי די קאָנטראָל איז ימפּלאַמענאַד אָדער נישט
- גערעכטיקייט פֿאַר זייַן ינקלוזשאַן אָדער יקסקלוזשאַן
- א קורץ באַשרייַבונג אָדער ווי יעדער אָנווענדלעך קאָנטראָל איז ימפּלאַמענאַד, מיט רעפֿערענץ צו די פּאָליטיק און קאָנטראָל וואָס באשרייבט עס אין די רעכט דעטאַל
ווי דערמאנט אויבן, די SoA איז אַ פֿענצטער אין די ISMS פון דער אָרגאַניזאַציע. אויב איר קענט נישט ווייַזן ווי דאָס פֿענצטער אָפּענס אין די טיפקייַט און פארבונדן נאַטור פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם, וואָס קענען מאַכן פּראָבלעמס. ימאַדזשאַן די סיטואַציע ווען דער אַודיטאָר טורנס אַרויף און די ספּרעדשיט וואָס ווייזן די 93 קאָנטראָלס איז געזונט אַוטדייטיד מיט די פאַקטיש פאַרוואַלטונג קאָנטראָלס אין פּלאַץ.
איינער פון די מערסט פּראָסט סיבות פֿאַר פיילינג אַן ISO 27001 קאָנטראָלירן איז ווייַל דער אָדיטאָר איז ניט ביכולת צו מאַכן צוטרוי אין די אַדמיניסטראַציע פון די ISMS און דאַקיומענטיישאַן איז שוואַך געראטן אָדער פעלנדיק. מיט אַ סטאַנדאַלאָנע סאָאַ 'דאָקומענט' אלא ווי ינאַגרייטיד און אָטאַמייטיד דאַקיומענטיישאַן פון אַ סאָאַ ינקריסיז די ריזיקירן.
ווי טאָן איר מאַכן די סטאַטעמענט פון אָנווענדלעך?
ווי לאַנג ווי די סאָאַ האט די רעכט אינפֿאָרמאַציע, איז פּינטלעך און דערהייַנטיקט, איר קענען מאַכן די סאָאַ פֿון פּאַפּיר, ספּרעדשיץ, דאָקומענטן אָדער פאַכמאַן סיסטעמען וואָס אָטאַמייט עס ווי אַ טייל פון זייער ברייטערער GRC (גאַווערנאַנס, רעגולירן און העסקעם) פיייקייט. .
אין אַן אידעאל וועלט דיין סאָאַ וועט קוים טוישן (ניט קלענסטער ווייַל סערטאַפאַקיישאַן ללבער קען באַשולדיקן פֿאַר ווערסיע ענדערונגען פון די סאָאַ). אָבער, וואָס זיצט אונטער די SoA, דאָס הייסט די ביטינג האַרץ פון די ISMS זיך, זאָל זיין דינאַמיש ווי אַ לעבעדיק ברידינג פאַרטרעטונג פון דיין יוואַלווינג אינפֿאָרמאַציע זיכערהייט לאַנדשאַפט.
די סאָאַ דאַרף זיין ריוויוד ווען דיין פּאַלאַסיז און קאָנטראָלס זענען ריוויוד (לפּחות אַניואַלי) אַזוי עס וואָלט נאָך נוץ פון זיין אַן עפעקטיוו פּראָצעס, ווייַל די 114 קאָנטראָלס פֿאַר באַטראַכטונג.
קלאַפּן אַרויף אַ ספּרעדשיט מיט די קאָנטראָלס ווי אַ טשעקליסט איז אַ שטיק פון שטיקל און שיין שנעל צו טאָן. אָבער טאן דאָס מיט בטחון אַז אַלע די פריער אינפֿאָרמאַציע זיכערהייט פּלאַנירונג און ימפּלאַמענטיישאַן אַרבעט אַרום די אַסעץ, ריסקס און קאָנטראָלס איז דורכגעקאָכט אין די רעכט סדר און אויסגעדריקט ווי די קיצער פון SoA איז נישט אַזוי פּשוט. אַ אָדיטאָר וועט וועלן צו זען וואָס זיצט אונטער די פּשוט טאָפּליין פון 114 ראָוז אין אַ ספּרעדשיט.
אין די אַלט טעג, די פּרעזענטירונג פון די SoA ווי אַ 200 בלאַט ווערבאָוס דאָקומענט האט טאַקע מענט אַ פּלאַץ פון אַרבעט ספּעציעל צו האַלטן עס דערהייַנטיקט ווי די פּאַלאַסיז און קאָנטראָלס יוואַלווד. עס זענען איצט פיל בעסער און גרינגער וועגן צו אָטאַמייט די סאָאַ און נוצן די שווער אַרבעט שוין געטאן אין אנדערע פּאַרץ פון די ISMS.
ווי צו שפּאָרן צייט ווען איר שרייַבן דיין סטאַטעמענט פון אַפּפּליאַביליטי
די סאָאַ טיפּיקלי נעמט אַ לאַנג צייַט פֿאַר אַן אָרגאַניזאַציע צו שטעלן צוזאַמען ווייַל פון וואָס ינפאָרמז עס. אויב מיר טראַכטן וועגן די סטעפּס ינוואַלווד אין זייַן שאַפונג, און די אַרבעט דארף פֿאַר דעם, עס איז קליין ווונדער:
- באַטראַכטן די ישוז, אינטערעסירט פּאַרטיעס און פאַרנעם פון די ISMS
- ידענטיפיצירן די אינפֿאָרמאַציע אַסעץ און פּראַסעסינג פאַסילאַטיז און דעוויסעס אין ריזיקירן
- אָפּשאַצן און אַססעסס די ריסקס פֿאַרבונדן מיט די זיכערהייט פון די אינפֿאָרמאַציע ניצן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוואַילאַביליטי
- אָפּשאַצן די ריסקס און דאַן באַשליסן וואָס פון די 114 אַנעקס א קאָנטראָלס זענען דארף
- פֿאַרשטיין און אָפּשאַצן אָנווענדלעך געסעצ - געבונג (און קיין שליסל קאָנטראַקט אַבלאַגיישאַנז פון שטאַרק קאַסטאַמערז) צו הויכפּונקט אנדערע קאָנטראָל געביטן
- באַשליסן ווי צו ינסטרומענט די קאָנטראָל אין טערמינען פון פּאָליטיק, פּראָצעדור, מענטשן, טעכנאָלאָגיע עטק
- דערנאָך שאַפֿן די סאָאַ דאָקומענט זיך מיט די דזשאַסטאַפאַקיישאַנז וועגן די אָנווענדלעך צו זיין קלאָר
- ידעאַללי פֿאַרבינדונג צו די קאָנטראָל דעטאַל, די ריסקס און די אַסעץ צו ווייַזן די ISMS ארבעטן
- און פירן עס אויף אַ אָנגאָינג יקער. די סאָאַ איז איין קליין אָבער זייער וויכטיק טייל פון אַ זייער פולשטענדיק יסמס. געטאן געזונט, דאָס וועט שטעלן די אָרגאַניזאַציע פֿאַר קאָנטראָלירן הצלחה און בטחון בנין פֿאַר קלוג קאַסטאַמערז און אנדערע סטייקכאָולדערז. געשען שלעכט, דאָס וועט כּמעט זיכער צעשטערן און פאַרהאַלטן צייט צו סערטאַפאַקיישאַן און קען מיינען אָנווער פון געשעפט אָדער צוקונפֿט געלעגנהייט פון דורכפאַל צו דערגרייכן אָדער טייַנען סערטאַפאַקיישאַן.
פאַרגיכערן די סאָאַ פּראָצעס מיט ISMS.online
ISMS.online איז אַ פולשטענדיק אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם וואָס צווישן פילע אנדערע טינגז יזיז די אַדמיניסטראַציע און פאַרוואַלטונג פון דיין אינפֿאָרמאַציע אַסעץ, ריסקס, פּאַלאַסיז און קאָנטראָלס, אַלע אויף איין אָרט.
דאָס אויך מיטל אַז די שאַפונג פון די סאָאַ קענען זיין אָטאַמייטיד און דערלאנגט פשוט און יפישאַנטלי. דעריבער, אין אַדישאַן צו אנדערע בענעפיץ ווי קאָסטן ווייניקער צייט צו דערגרייכן ISO 27001 הצלחה, עס ספּידז אויך די ISO Certification נסיעה.
פאָקוס דיין ענערגיע אויף פירן דיין געשעפט ווי איר ווילט, און פאַרברענגען צייט אויף וואָס איר דאַרפֿן צו דערגרייכן פֿאַר הצלחה, זאָרג ווייניקער וועגן ווי צו טאָן דאָס. ISMS.online מאכט עס אַלע אַזוי גרינג צו טאָן דיין אַרבעט, אַרייַנגערעכנט די סאָאַ אין אַ בראָכצאָל פון די קאָס און צייט פון אַלטערנאַטיוועס.
