די לעצט גייד צו ISO 27002

וואָס איז ISO 27002?

ISO/IEC 27002:2022 איז אַן אינפֿאָרמאַציע זיכערהייט סטאַנדאַרט ארויס דורך די ינטערנאַטיאָנאַל ארגאניזאציע פֿאַר סטאַנדערדיזיישאַן (ISO) און די ינטערנאַטיאָנאַל עלעקטראָטעטשניקאַל קאַמישאַן (IEC). יסאָ 27002 האט אַ נאָענט שייכות מיט יסאָ 27001. ברייט גערעדט, עס גיט גיידאַנס פֿאַר ימפּלאַמענינג אַן יסאָ 27001 יסמס.

ISO/IEC 27002 גיט אַ רעפֿערענץ גאַנג פון קאָנטראָלס פון אינפֿאָרמאַציע זיכערהייט, סייבער זיכערהייט און פּריוואַטקייט שוץ, אַרייַנגערעכנט ימפּלאַמענטיישאַן גיידאַנס באזירט אויף ינטערנאַשאַנאַלי דערקענט בעסטער פּראַקטיסיז.

כאָטש ISO 27002 איז נישט אַ סערטאַפאַקיישאַן סטאַנדאַרט אַליין, די נאָכקומען מיט די גיידליינז פון אינפֿאָרמאַציע זיכערהייט, פיזיש זיכערהייט, סייבער זיכערהייט און פּריוואַטקייט פאַרוואַלטונג ברענגט דיין אָרגאַניזאַציע איין שריט נעענטער צו טרעפן די ISO 27001 סערטאַפאַקיישאַן רעקווירעמענץ.

פארוואס איז ISO 27002 וויכטיק?

אויב דיין אָרגאַניזאַציע קאַלעקץ, ניצט אָדער פּראַסעסאַז דאַטן, עס וועט שטענדיק זיין אינפֿאָרמאַציע זיכערהייט ריסקס און טרעץ צו היטן.

צו היטן קעגן די ריסקס, איר זאָל האָבן אַן אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם (ISMS) צו ענשור די קאַנפאַדענשיאַלאַטי, אַוויילאַבילאַטי און אָרנטלעכקייַט פון אַלע אינפֿאָרמאַציע און אינפֿאָרמאַציע אַסעץ.

די הויפּט אַרויסרופן פֿאַר געשעפטן נייַ צו די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סצענע איז די ברייט פאַרנעם. ימפּלאַמענטינג און מיינטיינינג אַן ISMS קאָווערס אַזאַ אַ ברייט ספּעקטרום אַז רובֿ מאַנאַדזשערז טאָן ניט וויסן ווו צו אָנהייבן.

אויב דאָס סאָונדס ווי איר אָדער אויב איר נאָר ווילן צו בלייבן אויף שפּיץ פון דיין אינפֿאָרמאַציע זיכערהייט, אַ גרויס סטאַרטינג פונט איז ימפּלאַמענינג די קאָנטראָלס סאַגדזשעסטיד אין ISO/IEC 27002.

וואָס זענען די Benefits?

דורך ימפּלאַמענינג אינפֿאָרמאַציע זיכערהייט קאָנטראָלס געפֿונען אין ISO 27002, אָרגאַנאַזיישאַנז קענען זיין זיכער אַז זייער אינפֿאָרמאַציע אַסעץ זענען פּראָטעקטעד דורך ינטערנאַשאַנאַלי דערקענט און באוויליקט בעסטער פּראַקטיסיז.

אָרגאַנאַזיישאַנז פון אַלע סיזעס און לעוועלס פון זיכערהייט צייַטיקייַט קענען שניידן די פאלגענדע בענעפיץ פון אַדכיראַנס צו די ISO 27002 קאָוד פון פיר:

• עס גיט אַ ארבעטן פריימווערק פֿאַר די האַכלאָטע פון ​​אינפֿאָרמאַציע זיכערהייט, סייבער זיכערהייט, גשמיות זיכערהייט און אינפֿאָרמאַציע פּריוואַטקייט ישוז.
• קלייאַנץ און געשעפט פּאַרטנערס וועלן זיין מער זיכער און וועלן נעמען אַ positive מיינונג פון אַן אָרגאַניזאַציע וואָס ימפּלאַמאַנץ די רעקאַמענדיד סטאַנדאַרדס און אינפֿאָרמאַציע זיכערהייט קאָנטראָלס.
• זינט די צוגעשטעלט פּאַלאַסיז און פּראָוסידזשערז ייַנרייען זיך מיט ינטערנאַשאַנאַלי דערקענט זיכערהייט רעקווירעמענץ, קוואַפּעריישאַן מיט אינטערנאַציאָנאַלע פּאַרטנערס איז מער סטרייטפאָרווערד.
• העסקעם מיט די סטאַנדאַרט העלפּס אַנטוויקלען אַן אָרגאַניזאַציע ס בעסטער פּראַקטיסיז וואָס וועט פאַרגרעסערן קוילעלדיק פּראָודאַקטיוויטי.
• עס גיט אַ דיפיינד ימפּלאַמענטיישאַן, פאַרוואַלטונג, וישאַלט און אפשאצונג פון אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען.
• אַן ISO-געהאָרכיק אָרגאַניזאַציע וועט האָבן אַ מייַלע אין קאָנטראַקט נאַגאָושייישאַנז און אָנטייל אין גלאבאלע געשעפט אַפּערטונאַטיז.
• דורך נאָכקומען מיט ISO 27002 אינפֿאָרמאַציע זיכערהייט קאָנטראָלס, איר קענען נוץ פון נידעריקער פאַרזיכערונג פּרעמיומס פון פּראַוויידערז.

ימפּלעמענטאַטיאָן גיידאַנס פֿאַר העסקעם מיט די ISO 27001 נאָרמאַל איז וויידלי ריפערד צו אין די ISO 27000 משפּחה פון סטאַנדאַרדס, אַרייַנגערעכנט ISO 27701. ISO 27002 אינפֿאָרמאַציע זיכערהייט קאָנטראָלס קענען זיין מאַפּט קעגן ענלעך סטאַנדאַרדס, למשל NIST, SOC2, CIS, TISAX® און פילע מער.

די ISO 27002:2022 רעוויזיע דערקלערט

ISO/IEC 27002 איז ריווייזד צו דערהייַנטיקן די אינפֿאָרמאַציע זיכערהייט קאָנטראָלס אַזוי אַז זיי פאַרטראַכטנ זיך דיוועלאַפּמאַנץ און קראַנט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז אין פאַרשידן סעקטאָרס פון געשעפטן און גאַווערמאַנץ.

די נייַע ISO 27002 2022 רעוויזיע איז ארויס דעם 15טן פעברואר 2022. פילע סטאַנדאַרדס און זיכערהייט פראַמעוואָרקס זענען שייַכות צו אָדער נוצן די אינפֿאָרמאַציע זיכערהייט קאָנטראָלס פון ISO 27002:2013 און אַזוי די נייַע רעוויזיע וועט אויך פּראַל אויף זיי.

ISO 27002:2013 פאַרנעם

ISO 27002: 2013 איז / איז געווען אַ קאָד פון פיר פֿאַר אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) און דעלוווז אין אַ פיל העכער דעטאַל מדרגה ווי די אַנעקס א קאָנטראָלס פון ISO 27001, מיט זיכערהייט טעקניקס, קאָנטראָל אַבדזשעקטיווז, זיכערהייט רעקווירעמענץ, אַקסעס קאָנטראָל. , אינפֿאָרמאַציע זיכערהייט ריזיקירן באַהאַנדלונג קאָנטראָלס, פּערזענלעך און פּראַפּרייאַטערי אינפֿאָרמאַציע קאָנטראָלס ווי געזונט ווי דזשאַנעריק אינפֿאָרמאַציע זיכערהייט קאָנטראָלס.

דער ערשטיק ציל פון ISO 27002: 2013 איז געווען צו צושטעלן פולשטענדיק אינפֿאָרמאַציע זיכערהייט טעקניקס און אַסעט פאַרוואַלטונג קאָנטראָלס פֿאַר יעדער אָרגאַניזאַציע וואָס דאַרף אַ נייַע אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג פּראָגראַם אָדער ווילן צו פֿאַרבעסערן זייער יגזיסטינג אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז און פּראַקטיסיז.

וואָס איז געביטן אין ISO 27002:2022?

דער ערשטער באַטייַטיק ענדערונג צו די סטאַנדאַרט איז די מאַך אַוועק פון אַ "קאָוד פון פּראַקטיס" און פּאַזישאַנינג עס ווי אַ גאַנג פון אינפֿאָרמאַציע זיכערהייט קאָנטראָלס וואָס קענען שטיין אַליין.

די ריווייזד סטאַנדאַרט גיט אַ מער סטרייטפאָרווערד סטרוקטור וואָס קענען זיין געווענדט איבער אַן אָרגאַניזאַציע. די ריווייזד ווערסיע פון ​​ISO 27002 קענען איצט אויך זיין געוויינט צו פירן אַ ברייטערער ריזיקירן פּראָפיל. דאָס ינקלודז אינפֿאָרמאַציע זיכערהייט און די מער טעכניש אַספּעקץ פון גשמיות זיכערהייט, אַסעט פאַרוואַלטונג, סייבער זיכערהייט און די מענטש ריסאָרס זיכערהייט עלעמענטן וואָס קומען מיט פּריוואַטקייט שוץ.

יסאָ 27002:2022 בראָדאַנד פאַרנעם

דער ערשטער גלייך ענדערונג איז די נאָמען פון די נאָרמאַל.

ביז אַהער, ISO 27002: 2013 איז געווען טייטאַלד "אינפֿאָרמאַציע טעכנאָלאָגיע - זיכערהייט טעקניקס - קאָוד פון פיר פֿאַר אינפֿאָרמאַציע זיכערהייט קאָנטראָלס".

דער סטאַנדאַרט איז איצט גערופֿן "אינפֿאָרמאַציע זיכערהייט, סייבערסעקוריטי און פּריוואַטקייט שוץ - אינפֿאָרמאַציע זיכערהייט קאָנטראָלס" אין די 2022 רעוויזיע.

פארוואס האט עס געביטן?

קאָנסידערינג די מאָדערן העסקעם לאַנדשאַפט, רעגיאַליישאַנז, למשל GDPR, POPIA און APPS און די יוואַלווינג געשעפט קאַנטיניויישאַן און סייבער ריזיקירן שוועריקייטן מיט אָרגאַנאַזיישאַנז - די נויט פֿאַר ISO 27002 צו בראָדאַן די פאַרנעם פון זייַן אינפֿאָרמאַציע זיכערהייט קאָנטראָלס איז געווען אָוווערדו.

די אָביעקטיוו פון די לעצטע רעוויזיע (2022) איז געווען צו פֿאַרבעסערן די כוונה פון די סטאַנדאַרט דורך צושטעלן אַ רעפֿערענץ שטעלן פֿאַר אינפֿאָרמאַציע זיכערהייט קאָנטראָל אַבדזשעקטיווז און בראָדאַן זיין פאַרנעם פֿאַר נוצן אין קאָנטעקסט-ספּעציפיש אינפֿאָרמאַציע זיכערהייט, פּריוואַטקייט און סייבער זיכערהייט ריזיקירן פאַרוואַלטונג.

ווי ISO 27002:2022 דיפערז פֿון ISO 27002:2013

ברייט גערעדט, די נומער פון זיכערהייט קאָנטראָלס אין די נייַע ווערסיע פון ​​ISO 27002:2022 איז דיקריסט פון 114 קאָנטראָלס אין 14 קלאָזיז אין די 2013 אַדישאַן צו 93 קאָנטראָלס אין די 2022 אַדישאַן. די זיכערהייט קאָנטראָלס זענען איצט קאטיגארעזירט אין פיר קאָנטראָל "טעמעס."

קאָנטראָלס דערקלערט

א "קאָנטראָל" איז דיפיינד ווי אַ מאָס וואָס מאַדאַפייז אָדער מיינטיינז ריזיקירן. א אינפֿאָרמאַציע זיכערהייט פּאָליטיק, פֿאַר בייַשפּיל, קענען בלויז האַלטן ריזיקירן, כאָטש העסקעם מיט די אינפֿאָרמאַציע זיכערהייט פּאָליטיק קענען מאָדיפיצירן ריזיקירן. דערצו, עטלעכע קאָנטראָלס באַשרייַבן די זעלבע דזשאַנעריק מאָס אין פאַרשידענע ריזיקירן קאַנטעקסץ.

ספּעציפיש ענדערונגען אין דעטאַל

די קאָנטראָל שטעלט זענען איצט אָרגאַניזירט אין פיר (4) זיכערהייט קאַטעגאָריעס אָדער טעמעס אַנשטאָט פון פערצן (14) קאָנטראָל דאָומיינז. (פריער A5. צו A.18)

די פיר קאַטעגאָריעס אַרייַננעמען:

• אָרגאַנאַזיישאַנאַל
• מען
• פיזיש
• Technological
• 93 קאָנטראָלס אין די נייַע ווערסיע פון ​​27002
• 11 קאָנטראָלס זענען נייַ
• א גאַנץ פון 24 קאָנטראָלס זענען מערדזשד פון צוויי, דריי, אָדער מער זיכערהייט קאָנטראָלס פון די 2013 ווערסיע; און די 58 קאָנטראָלס פון די ISO 27002:2013 זענען ריוויוד און ריווייזד צו ייַנרייען זיך מיט די קראַנט סייבער זיכערהייט און אינפֿאָרמאַציע זיכערהייט סוויווע.
• אַנעקס א, וואָס כולל גיידאַנס פֿאַר די אַפּלאַקיישאַן פון אַטריביוץ.
• אַנעקס ב, וואָס קאָראַספּאַנדז מיט ISO/IEC 27001 2013. עס איז בייסיקלי צוויי טישן טיש וואָס קרייַז-רעפערענצן קאָנטראָל נומערן / אידענטיפיערס פֿאַר יז פון רעפֿערענץ דיטיילינג וואָס איז נייַ און וואָס איז צונויפגיסן.

• א.5.7 סאַקאָנע סייכל
• א.5.23 אינפֿאָרמאַציע זיכערהייט פֿאַר די נוצן פון וואָלקן באַדינונגס
• A.5.30 יקט גרייטקייַט פֿאַר געשעפט קאַנטיניואַטי
• א.7.4 פיזיש זיכערהייט מאָניטאָרינג
• אַ.8.9 קאַנפיגיעריישאַן פאַרוואַלטונג
• א.8.10 אינפֿאָרמאַציע דילישאַן
• א.8.11 דאַטאַ מאַסקינג
• א.8.12 פאַרהיטונג פון דאַטן ליקאַדזש
• א.8.16 מאָניטאָרינג אַקטיוויטעטן
• א.8.23 וועב פֿילטרירונג
• א.8.28 זיכער קאָדירונג

קאָנטראָלירן גיידאַנס באריכטן און דערהייַנטיקונגען

די גיידאַנס אָפּטיילונג פֿאַר יעדער קאָנטראָל איז ריוויוד און דערהייַנטיקט (ווו דארף) צו פאַרטראַכטנ די קראַנט דיוועלאַפּמאַנץ און פּראַקטיסיז.

די שפּראַך געניצט איבער די גיידאַנס הערות איז מער געזונט ווי די פריערדיקע ווערסיע; עס איז איצט אַ געוואקסן דערוואַרטונג פון מאַנדאַטאָרי קאָנטראָלס און אָרגאַנאַזיישאַנז קענען צו זאָגן העסקעם צו אַ גרעסערע גראַד. אין אַדישאַן, יעדער קאָנטראָל איז איצט יקוויפּט מיט אַ 'ציל' ויסזאָגונג און ינטראַדוסיז אַ גאַנג פון "אַטטריביוץ" (זען 4.2) צו יעדער קאָנטראָל.

א געשעפט ימפּלאַמענינג קאָנטראָלס קענען קלייַבן וואָס אָנעס אַפּלייז צו זיי באזירט אויף ריזיקירן, ווי געזונט ווי אַדינג זייער אייגענע אין אַן ISO 27001 געהאָרכיק יסמס (קאָנטעקסט-אָפענגיק באַניץ).

יסאָ 27002 טעמעס און אַטריביוץ

אַטריביוץ זענען אַ מיטל פון קאַטאַגערייזינג קאָנטראָלס. די אַלאַוז איר צו געשווינד ייַנרייען דיין קאָנטראָל סעלעקציע מיט פּראָסט ינדאַסטרי שפּראַך און סטאַנדאַרדס.

די אַטריביוץ ידענטיפיצירן די הויפּט פונקטן:

• קאָנטראָל טיפּ
• InfoSec פּראָפּערטיעס
• סייבער זיכערהייט קאַנסעפּס
• אַפּעריישאַנאַל קייפּאַבילאַטיז
• זיכערהייט דאָומיינז

די נוצן פון אַטריביוץ שטיצט אַרבעט וואָס פילע קאָמפּאַניעס שוין טאָן אין זייער ריזיקירן אַסעסמאַנט און ויסזאָגונג פון אָנווענדלעך (SOA). פֿאַר בייַשפּיל, סייבערסעקוריטי קאַנסעפּס ענלעך צו NIST און CIS קאָנטראָלס קענען זיין אונטערשיידן, און די אַפּעריישאַנאַל קייפּאַבילאַטיז רילייטינג צו אנדערע סטאַנדאַרדס קענען זיין אנערקענט.

יעדער קאָנטראָל האט איצט אַ טיש מיט אַ סכום פון סאַגדזשעסטיד אַטריביוץ און אַנעקס א פון ISO 27002:2022 גיט אַ סכום פון רעקאַמענדיד אַסאָוסייישאַנז.

אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס

אינפֿאָרמאַציע זיכערהייט ינוואַלווז פּראַטעקטינג פאַרשידן אַספּעקץ פון די אינפֿאָרמאַציע, וואָס קענען זיין רעפּריזענטיד דורך די CIA מאָדעל. די אַספּעקץ אַרייַננעמען קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי פון די אינפֿאָרמאַציע. פארשטאנד פון דעם ינייבאַלז די פאָרמאַליישאַן און ימפּלאַמענטיישאַן פון עפעקטיוו אינפֿאָרמאַציע זיכערהייט קאָנטראָלס. די זענען איצט דיפיינד ווי אַטריביוץ אויף אַ פּער קאָנטראָל יקער.

סייבערסעקוריטי קאַנסעפּס

אַטריביוץ פון סייבערסעקוריטי קאַנסעפּס זענען באַקענענ אין די 2022 רעוויזיע פון ​​די סטאַנדאַרט. די אַטריביוט וואַלועס צונויפשטעלנ זיך פון ידענטיפיצירן, באַשיצן, דעטעקט, רעספּאָנד און צוריקקריגן. דאָס אַליינז ISO 27002 מיט די ISO/IEC TS 27110, די NIST Cyber ​​Security Framework (CSF) און אנדערע סטאַנדאַרדס.

1. ידענטיפיצירן - אַנטוויקלען די פארשטאנד פון דער אָרגאַניזאַציע פירן סייבער זיכערהייט ריזיקירן צו סיסטעמען, אַסעץ, דאַטן און קייפּאַבילאַטיז.
2. באַשיצן - אַנטוויקלען און ינסטרומענט סייפגאַרדז צו צושטעלן קריטיש ינפראַסטראַקטשער באַדינונגס.
3. דעטעקט - אַנטוויקלען און ינסטרומענט צונעמען אַקטיוויטעטן צו ידענטיפיצירן די פּאַסירונג פון אַ סייבער זיכערהייט געשעעניש.
4. רעספּאָנד - שאַפֿן און אין פיר די צונעמען אַקטיוויטעטן צו נעמען קאַמף אין ענטפער צו דיטעקטאַד סייבער זיכערהייט געשעענישן.
5. צוריקקריגן - אַנטוויקלען און ינסטרומענט די צונעמען אַקטיוויטעטן צו האַלטן ריזיליאַנס פּלאַנז און צו ומקערן קיין קייפּאַבילאַטיז אָדער באַדינונגס וואָס זענען ימפּערד רעכט צו אַ סייבער זיכערהייט געשעעניש.

אַפּעריישאַנאַל קייפּאַבילאַטיז

אַפּעריישאַנאַל פיייקייט איז אַן אַטריביוט צו זען קאָנטראָלס פֿון דער פּראַקטישנער ס פּערספּעקטיוו פון אינפֿאָרמאַציע זיכערהייט קייפּאַבילאַטיז. 

דאס אַרייַננעמען:
גאַווערנאַנס אַסעט פאַרוואַלטונג, אינפֿאָרמאַציע שוץ, מענטש ריסאָרס זיכערהייט, גשמיות זיכערהייט, סיסטעם און נעץ זיכערהייט, אַפּלאַקיישאַן זיכערהייט, זיכער קאַנפיגיעריישאַן, אידענטיטעט און אַקסעס פאַרוואַלטונג, סאַקאָנע און וואַלנעראַביליטי פאַרוואַלטונג, קאַנטיניויישאַן, סאַפּלייער באציונגען זיכערהייט, לעגאַל און העסקעם, אינפֿאָרמאַציע זיכערהייט געשעעניש פאַרוואַלטונג און אינפֿאָרמאַציע זיכערהייט פארזיכערונג.

זיכערהייט דאָומיינז

זיכערהייט דאָומיינז איז אַן אַטריביוט צו זען קאָנטראָלס פֿון די פּערספּעקטיוו פון פיר אינפֿאָרמאַציע זיכערהייט דאָומיינז: "גאַווערנאַנס און יקאָוסיסטאַם" כולל "אינפֿאָרמאַציע סיסטעם זיכערהייט גאַווערנאַנס & ריסק מאַנאַגעמענט" און "יקאָוסיסטאַם סייבערסעקוריטי פאַרוואַלטונג" (אַרייַנגערעכנט ינערלעך און פונדרויסנדיק סטייקכאָולדערז);

• א קאָנטראָל קען האָבן פאַרשידן אַפּלאַקיישאַנז (למשל באַקאַפּס העלפן באַשיצן קעגן מאַלוואַרע, כאַקס, באַגז, אַקסאַדאַנץ, מעטשאַניקאַל ברייקדאַונז, פירעס אאז"ו ו, און קענען אַרייַננעמען דעפּיאַטיז און מאַלטי-באָקע ריפּלייסמאַנץ פֿאַר קריטיש מענטשן און אָלטערנאַטיוו סאַפּלייערז / קוואלן פון נייטיק אינפֿאָרמאַציע באַדינונגס).
• עס זענען טיפּיקלי עטלעכע קאָנטראָלס פארלאנגט אין קיין געגעבן אַפּלאַקיישאַן אָדער סיטואַציע (למשל, מאַלוואַרע קענען זיין מיטאַגייטיד ניצן באַקאַפּס, וויסיקייַט, אַנטיווירוס, נעץ אַקסעס קאָנטראָלס פּלוס IDS / IPS און מער, בשעת ויסמיידן ינפעקציע איז אַ שטאַרק צוגאַנג אויב געשטארקט מיט פּאַלאַסיז און פּראָוסידזשערז).
• די קאָנטראָלס וואָס מיר אָפט נוצן (למשל באַקאַפּס) זענען נישט אַלע-אָדער-גאָרנישט, קאַנסיסטינג פון אַ נומער פון מער מינערווערטיק עלעמענטן (למשל באַקאַפּ ינוואַלווז סטראַטעגיעס, פּאַלאַסיז און פּראָוסידזשערז, ווייכווארג, ייַזנוואַרג טעסטינג, אינצידענט אָפּזוך, גשמיות שוץ אאז"ו ו).

אַנעקס א דערקלערט

די אַנעקס א טיש דעמאַנסטרייץ די נוצן פון אַטריביוץ, פּראַוויידינג ביישפילן פון ווי צו באַשטימען אַטריביוץ צו קאָנטראָלס, אַזוי קריייטינג פאַרשידענע קוקן (פּער 4.2).

עס איז באמערקט אַז די פֿילטרירונג אָדער סאָרטינג פון די מאַטריץ קענען זיין אַטשיווד דורך ניצן אַ געצייַג אַזאַ ווי אַ פּשוט ספּרעדשיט אָדער אַ דאַטאַבייס, וואָס קענען אַרייַננעמען מער אינפֿאָרמאַציע ווי קאָנטראָל טעקסט, גיידאַנס, אָרגאַניזאַציע-ספּעציפיש ימפּלאַמענטיישאַן גיידאַנס אָדער אַטריביוץ. ISMS.online אויטאָמאַטיש פאַסילאַטייץ די אַסאָוסייישאַנז, מאכן די גאנצע פּראָצעס עפערטלאַס.

אַנעקס ב דערקלערט

אַנעקס ב.1 און ב.2 טישן צושטעלן גרינג צו נאַוויגירן רעפֿערענץ פונקטן וואָס צושטעלן קאַפּויער קאַמפּאַטאַבילאַטי מיט ISO/IEC 27002:2013. דאָס מאכט עס גרינג פֿאַר אָרגאַנאַזיישאַנז ניצן די אַלט פאַרוואַלטונג סטאַנדאַרט וואָס דאַרפֿן צו יבערגאַנג צו ISO 27002:2020, אָדער פֿאַר יז פון רעפֿערענץ צווישן סטאַנדאַרדס וואָס נוצן ISO 27002, למשל ISO 27001, ISO 27701 ענלעך. ווידער, ISMS.online מאַפּס אויטאָמאַטיש די אַלט צו נייַ קאָנטראָל ידענטיפיערס אין אונדזער פּלאַטפאָרמע, און די ווייטיק פון די יבערגאַנג און ימפּלאַמענטיישאַן.

ISO 27001 קעגן ISO 27002

אָרגאַנאַזיישאַנז וואָס ווילן צו ויספאָרשן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען קען האָבן געפֿונען ביידע ISO 27001 און 27002 סטאַנדאַרדס.

ISO 27001 איז דער ערשטיק סטאַנדאַרט אין די 27000 משפּחה. קאָמפּאַניעס קענען באַקומען סערטאַפייד קעגן ISO 27001 אָבער, זיי קענען נישט באַווייַזן קעגן ISO 27002:2022 זינט עס איז אַ שטיצן נאָרמאַל / קאָוד פון פיר.

ISO 27001 אַנעקס א, פֿאַר בייַשפּיל, גיט אַ רשימה פון זיכערהייט קאָנטראָלס, אָבער טוט נישט זאָגן איר ווי צו ינסטרומענט זיי, אלא באַווייַזן ISO 27002.

יסאָ 27002 קאַנווערסלי גיט גיידאַנס אויף ימפּלאַמענינג קאָנטראָלס געניצט אין יסאָ 27001. די גרויס זאַך וועגן יסאָ 27002 איז אַז די קאָנטראָלס זענען נישט מאַנדאַטאָרי; קאָמפּאַניעס קענען באַשליסן צי זיי ווילן צו נוצן זיי אָדער נישט, דיפּענדינג אויף אויב זיי זענען אָנווענדלעך אין דער ערשטער אָרט.

ווי טוט עס ווירקן איר?

עס וועט זיין אַ צייט איידער אָרגאַנאַזיישאַנז זענען פארלאנגט צו אַדאַפּט די ריווייזד ווערסיע פון ​​ISO 27001 פֿאַר זייער סערטאַפאַקיישאַן אַדאַץ (לפּחות איין יאָר נאָך ארויסגעבן, און טיפּיקלי אין קאַנדזשאַנגקשאַן מיט זייער ווייַטער שייַעך-סערטאַפאַקיישאַן ציקל), אַזוי זיי האָבן גענוג צייט צו אַדרעס די ענדערונגען.

לעסאָף, די ענדערונגען זאָל נישט באטייטיק פּראַל אויף אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) און פיייקייט צו ונטערהאַלטן העסקעם.

אָבער, עס קען זיין אַ פּראַל אויף די קוילעלדיק קאָנטראָל פריימווערק פון דער אָרגאַניזאַציע, ספּעציפיש קאָנטראָלס און ווי אַן אָרגאַניזאַציע מאָניטאָרס אָנגאָינג העסקעם.

ווען קאַנווערטינג צו די נייַע סטאַנדאַרט, אָרגאַנאַזיישאַנז דאַרפֿן צו ריאַסעס ווי זייער פראַמעוואָרקס, קאָנטראָלס און פּאַלאַסיז ייַנרייען זיך מיט די נייַע סטרוקטור און דערהייַנטיקט ISO 27001/27002 קאָנטראָלס.

די ISO 27002 2022 רעוויזיע וועט ווירקן אַן אָרגאַניזאַציע ווי גייט:

• אויב איר זענט שוין ISO 27001 2013 סערטאַפייד
• ביסט איר מיטן סערטאַפאַקיישאַן
• אויב איר זענט וועגן צו שייַעך-סערטאַפאַקיישאַן
• אויב איר זענט שוין ISO 27001:2013 סערטאַפייד

אויב דיין אָרגאַניזאַציע איז שוין סערטאַפייד, איר טאָן ניט דאַרפֿן צו טאָן עפּעס איצט; די ריווייזד ISO 27002 2022 נאָרמאַל וועט זיין אָנווענדלעך ביי רינואַל / שייַעך-סערטאַפאַקיישאַן. דעריבער, עס איז אַ סיבה אַז אַלע סערטאַפייד אָרגאַנאַזיישאַנז האָבן צו גרייטן זיך פֿאַר די ריווייזד סטאַנדאַרט ביי ריסערטאַפאַקיישאַן אָדער אויב זיי אַדאַפּט נייַע סעטאַלז פון קאָנטראָלס אָדער סטאַנדאַרדס, למשל ISO 27701 אָדער ענלעך.

ווי קען עס ווירקן דיין (רי) סערטאַפאַקיישאַן?

רעכן אַז אַן אָרגאַניזאַציע איז דערווייַל אין די ISO 27001 2013 סערטאַפאַקיישאַן אָדער שייַעך-סערטאַפאַקיישאַן פּראָצעס. אין דעם פאַל, זיי וועלן זיין דערוואַרט צו ריוויזן זייער ריסק אַססעססמענט און ידענטיפיצירן די נייַע קאָנטראָלס ווי אָנווענדלעך און רעוויסע זייער "סטאַטמענט פון אָנווענדלעך" דורך קאַמפּערינג די ריווייזד אַנעקס א קאָנטראָלס.

זינט עס זענען נייַ קאָנטראָלס, מערדזשד קאָנטראָלס און מאַדאַפייד אָדער נאָך גיידאַנס צו אנדערע קאָנטראָלס, אָרגאַנאַזיישאַנז דאַרפֿן צו אָפּשאַצן די ריווייזד ISO 27002: 2022 נאָרמאַל פֿאַר ימפּלאַמענטיישאַן ענדערונגען.

כאָטש ISO 27001 רעוויזיע 2022 איז נאָך צו זיין ארויס, אַנעקס ב פון ISO 27002 מאַפּס קאָנטראָלס די סטאַנדאַרדס 2013 און 2022 ווערסיעס.

דיין דערקלערונג פון אָנווענדלעך (SOA) זאָל נאָך אָפּשיקן צו אַנעקס א פון ISO 27001, בשעת די קאָנטראָלס מוזן דערמאָנען די ריווייזד ISO 27002:2022 נאָרמאַל, וואָס וועט זיין אַן אָלטערנאַטיוו קאָנטראָל שטעלן.

צי איר דאַרפֿן צו ענדערן דיין דאַקיומענטיישאַן?

נאָכקומען מיט די ענדערונגען זאָל אַרייַננעמען:

• אַ דערהייַנטיקן צו דיין ריזיקירן באַהאַנדלונג פּראָצעס מיט דערהייַנטיקט קאָנטראָלס
• אַ דערהייַנטיקן צו דיין סטאַטעמענט פון אַפּפּליאַביליטי
• דערהייַנטיקן דיין קראַנט פּאַלאַסיז און פּראָוסידזשערז מיט גיידאַנס קעגן יעדער קאָנטראָל אויב נייטיק

ווי קען עס ווירקן דיין ISO 27001:2013

ביז אַ נייַע ISO 27001 2022 סטאַנדאַרט איז ארויס, די קראַנט ISO סערטאַפאַקיישאַן סקימז וועט פאָרזעצן, כאָטש מאַפּינג צו די נייַע ISO 27002 2022 קאָנטראָלס וועט זיין פארלאנגט דורך אַנעקס B1.1 & B1.2 אָבער ISO יקספּיריאַנסט אַדאַטערז וועלן דערקענען די סטרוקטור פון די קאָנטראָלס , דעריבער וועט האָבן מער צו אַרבעטן מיט. אַדאָפּטיאָן פון ISO 27002:2022 קען מאַכן אַ סמודער קאָנטראָלירן.

אַפּקאַמינג ענדערונגען צו ISO 27001

רובֿ אינפֿאָרמאַציע זיכערהייט עקספּערץ דערוואַרטן אַז די ISO 27001 ענדערונגען וועלן זיין מינערווערטיק טעקסטשאַוואַל ענדערונגען מיט אַ מינערווערטיק דערהייַנטיקן פון אַנעקס א צו ייַנרייען די ISO 27002 2022 רעוויזיע.

דער הויפּט טייל פון די ISO 27001, וואָס כולל קלאָזיז 4-10, וועט נישט טוישן. די קלאָזיז אַרייַננעמען פאַרנעם און קאָנטעקסט, אינפֿאָרמאַציע זיכערהייט פּאָליטיק, ריזיקירן פאַרוואַלטונג פֿאַר רעסורסן אַזאַ ווי טריינינג און וויסיקייַט וועגן קאָמוניקאַציע און דאָקומענט קאָנטראָל צו מאָניטאָרינג און מעזשערמאַנט פון אַפּעריישאַנאַל אַקטיוויטעטן דורך אַן ינערלעך קאָנטראָלירן אָפּטיילונג פֿאַר קערעקטיוו אַקשאַנז.

בלויז די קאָנטראָלס ליסטעד אין ISO 27001 אַנעקס א און ISO 27002 וועט זיין דערהייַנטיקט.

ענדערונגען אין ISO 27001:2022 אַנעקס א וועט זיין גאָר אַליינד מיט ענדערונגען אין ISO 27002:2022

זענען קיין אנדערע 27000 סטאַנדאַרדס אַפעקטאַד?

פאַרוואַלטונג סיסטעם סטאַנדאַרדס און פראַמעוואָרקס שייַכות צו און באזירט אויף די ISO/IEC 27002:2013 ווערסיע וועט פילן די ענדערונג.

די ענדערונגען וועלן האָבן אַן נאָך פּראַל ווען זיי קאַסקייד צו פֿאַרבונדענע סטאַנדאַרדס אַזאַ ווי ISO 27017 וואָלקן זיכערהייט, ISO 27701 פּריוואַטקייט און פאַרשידן נאציאנאלע סטאַנדאַרדס וואָס האָבן אנגענומען אָדער ינקאָרפּערייטיד די קראַנט רעקווירעמענץ און גיידאַנס.

דאָס זאָל פּאַסירן ווי די אָפּשאַצונג און דערהייַנטיקן סייקאַלז פֿאַר די סטאַנדאַרדס פאַלן אין די קומענדיק ביסל יאָרן, און נאָך פּראַל קען זיין דערוואַרט פֿאַר היגע סטאַנדאַרדס און פראַמעוואָרקס.

דעמאַנסטרייטינג גוט פיר פֿאַר ISO 27002

גשמיות און ענוויראָנמענטאַל

די גשמיות און ינווייראַנמענאַל אַספּעקץ פון אַן אָרגאַניזאַציע זענען קריטיש אין דיטערמאַנינג זייַן אינפֿאָרמאַציע זיכערהייט. די געהעריק קאָנטראָלס און פּראָוסידזשערז וועט ענשור די גשמיות זיכערקייַט פון אַן אָרגאַניזאַציע אינפֿאָרמאַציע דורך באַגרענעצן אַקסעס צו אַנאָטערייזד פּאַרטיעס און באַשיצן זיי קעגן דאַמידזשיז אַזאַ ווי פירעס און אנדערע דיזאַסטערז.

עטלעכע פון ​​די אינפֿאָרמאַציע זיכערהייט טעקניקס אַרייַננעמען:

• מיטלען מוזן זיין גענומען צו מאָניטאָר און באַגרענעצן די גשמיות אַקסעס צו די לאָקאַל פון די אָרגאַניזאַציע און שטיצן ינפראַסטראַקטשער, אַזאַ ווי לופטקילונג און מאַכט. דאָס וועט פאַרמיידן און ענשור די דיטעקשאַן און קערעקשאַן פון אַנאָטערייזד אַקסעס, וואַנדאַליזאַם, פאַרברעכער שעדיקן און אנדערע טאַמפּערינג וואָס קען פּאַסירן.
• סענסיטיווע געביטן מוזן זיין געגעבן טייל אַקסעס און די רשימה פון אָטערייזד מענטשן פּיריאַדיקלי ריוויוד און באוויליקט (לפּחות אַמאָל אַ יאָר) דורך די פיזיקאַל זיכערהייט דעפּאַרטמענט אָדער די אַדמיניסטראַטיאָן.
• ווידעא רעקאָרדינג, פאָטאָגראַפיע אָדער קיין אנדערע פאָרעם פון דיגיטאַל רעקאָרדינג זאָל זיין פּראָוכיבאַטאַד אין לימיטעד געביטן אַחוץ מיט דער דערלויבעניש פון די באַטייַטיק אויטאָריטעט.
• סערוויילאַנס זאָל זיין שטעלן אַרום די לאָקאַל אין ערטער אַזאַ ווי ענטראַנסאַז, עגזיץ און ריסטריקטיד געביטן. די רעקאָרדירונגען זאָל זיין מאָניטאָרעד ארום די זייגער דורך טריינד פּערסאַנעל און סטאָרד פֿאַר בייַ מינדסטער אַ חודש אין פאַל אַ רעצענזיע איז דארף.
• לימיטעד אַקסעס אין פאָרעם פון אַקסעס קאַרדס זאָל זיין צוגעשטעלט צו לאָזן צייט-לימיטעד אַקסעס צו ווענדאָרס, טרייניז, דריט פּאַרטיעס, קאָנסולטאַנץ און אנדערע פּערסאַנעל אָטענטאַקייטיד צו אַקסעס די געביטן.
• וויזיטערז צו די אָרגאַניזאַציעס זאָל זיין באגלייט דורך אַן אָנגעשטעלטער אין אַלע צייט, אַחוץ ווען זיי נוצן אָופּאַנד געביטן אַזאַ ווי די אָפּטראָג פויער און אָפּטריט.

מענטשלעך רעסאָורסעס

די מיטלען צילן צו ענשור אַז די אינפֿאָרמאַציע פון ​​​​די אָרגאַניזאַציע איז זיכער ווי די עמפּלוייז פון דער אָרגאַניזאַציע.

עטלעכע מענטש ריסאָרס אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס אַרייַננעמען:

• יעדער אָנגעשטעלטער זאָל זיין וואַטטעד איידער באַשעפטיקונג צו באַשטעטיקן זייער אידענטיטעט, זייער פאַכמאַן באַווייַזן און זייער קוילעלדיק אָנפירן. די זאָל ספּעציעל זיין שטרענג אויב זיי זענען צו נעמען טראַסטיד אינפֿאָרמאַציע זיכערהייט שטעלעס אין דער אָרגאַניזאַציע.
• די עמפּלוייז זאָל אַלע שטימען צו אַ ביינדינג ניט-אַנטפּלעקונג אָדער קאַנפאַדענשיאַלאַטי העסקעם. דאָס וועט דיקטירן די מדרגה פון דיסקרעשאַן זיי שעפּן די פערזענלעכע און פּראַפּרייאַטערי אינפֿאָרמאַציע מיט וואָס זיי קומען אין קאָנטאַקט אין די לויף פון זייער באַשעפטיקונג.
• די מענטשנרעכט ריסאָרס אָפּטיילונג מוזן מיטטיילן די פינאַנצן, אַדמיניסטראַטיאָן און אנדערע באַטייַטיק דיפּאַרטמאַנץ ווען אַן אָנגעשטעלטער איז כייערד, סוספּענדעד, פייערד, טראַנספערד, אויף לאַנג-טערמין לאָזן און קיין אנדערע צושטאנדן וואָס קען דאַרפן די טשאַנגינג פון זייער פּערמישאַנז.
• אַמאָל די HR אָפּטיילונג ינפאָרמז די אנדערע דיפּאַרטמאַנץ וועגן די ענדערונג פון אַן אָנגעשטעלטער ס סטאַטוס, דאָס זאָל זיין נאכגעגאנגען דורך די אַדזשאַסטמאַנט פון די באַטייַטיק גשמיות און לאַדזשיקאַל אַקסעס רעכט.
• עמפּלוייז 'מאַנאַדזשערז זאָל נאָכגיין-אַרויף צו ענשור אַלע די שליסלען, אַקסעס קאַרדס, עס ויסריכט, סטאָרידזש דעוויסעס און אַלע אנדערע פירמע אַסעץ זענען אומגעקערט איידער די טערמאַניישאַן פון זייער באַשעפטיקונג.

אַקסעס קאָנטראָל

אַקסעס קאָנטראָל ינוואַלווז די פּאַסווערדז, שליסל קאַרדס אָדער אנדערע זיכערהייט ריסטריקשאַנז דיזיינד צו באַגרענעצן די אַקסעסאַביליטי פון די פירמע 'ס אינפֿאָרמאַציע און סיסטעמען.

עטלעכע פון ​​זיי אַרייַננעמען:

• דער אַקסעס צו פֿירמע נעטוואָרקס, IT סיסטעמען, אינפֿאָרמאַציע און אַפּלאַקיישאַן זאָל זיין קאַנטראָולד באזירט אויף די ראָלע פון ​​די ניצערס אָדער ווי ספּעסיפיעד דורך די באַטייַטיק אינפֿאָרמאַציע אַסעט אָונערז אָדער אָרגאַנאַזיישאַנאַל פּראָוסידזשערז.
• ריסטריקשאַנז מוזן זיין באַשטימט צו פלינק די סיסטעם און / אָדער ויסשליסן באַניצער אַקאַונץ נאָך אַ פּרעדעפינעד נומער פון ניט אַנדערש לאָגין פרווון. די זאָל זיין נאכגעגאנגען צו עלימינירן די ריזיקירן פון אַ פּרווון בריטש.
• אַלע פֿירמע ווערקסטיישאַנז / פּקס זאָל האָבן פּאַראָל-פּראָטעקטעד סקרעענסאַווערס מיט טיימאַוץ פון ווייניקער ווי 10 מינוט פון ינאַקטיוויטי.
• די פּריוולידזשד אַקסעס רעכט אַזאַ ווי פֿאַר די פארלאנגט טאַסקס מיט די אַדמיניסטראַציע, קאַנפיגיעריישאַן, פאַרוואַלטונג, זיכערהייט און מאָניטאָרינג פון די IT סיסטעמען זאָל אויך זיין ריוויוד פּיריאַדיקלי דורך די באַטייַטיק אינפֿאָרמאַציע זיכערהייט גוף.
• די פּאַספראַסעס און פּאַסווערדז מוזן זיין קאָמפּליצירט און לאַנג מיט אַ קאָמבינאַציע פון ​​​​נומעראַלס, אותיות און ספּעציעל אותיות צו מאַכן זיי אוממעגלעך צו טרעפן. די זאָל ניט זיין סטאָרד אין קיין געשריבן אָדער ליינעוודיק פֿאָרמאַט.
• די אָרגאַניזאַציע זאָל דיסייבאַל אַלע שרייבן אַקסעס צו רימווואַבאַל מידיאַ אַזאַ ווי קאָמפּאַקטדיסק / ווי שרייבערס אויף אַלע די פירמע קאָמפּיוטערס סייַדן אָטערייזד פֿאַר ספּעציפיש געשעפט סיבות.

ווייַטער סטעפּס

אין טערמינען פון די ווייַטער סטעפּס, די הויפּט אַקטיוויטעטן צו דורכפירן אַרייַננעמען די פאלגענדע:

• פּערטשאַסינג די דערהייַנטיקט נאָרמאַל.
• איבערבליק די נייַע ISO 27002 נאָרמאַל און די קאָנטראָל ענדערונגען.
• אָנפירן אַ ריזיקירן אַסעסמאַנט / אַנאַליסיס.
• צו פאַרמינערן קיין יידענאַפייד ריסקס, אויסקלייַבן די מערסט צונעמען קאָנטראָלס און דערהייַנטיקן דיין ISMS פּאַלאַסיז, ​​​​סטאַנדאַרדס עטק.
• דערהייַנטיקן דיין סטאַטעמענט פון אַפּפּליאַביליטי (SoA).

דאָס וועט העלפֿן איר באַקומען פאָרויס פון די שפּיל פֿאַר שייַעך-סערטאַפאַקיישאַן אָדער אַדאַפּשאַן פון נאָך ISO 27000 משפּחה סטאַנדאַרדס / פראַמעוואָרקס, למשל ISO 27018, 27017, 27032, וואָס זענען וויידלי דערוואַרט צו זיין דערהייַנטיקט באַלד נאָך די ISO 27001:2022 רעוויזיע.