וואָס איז קאָנטראָל 5.10, פּאַסיק נוצן פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ?
די אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע אַסעץ פּאָליטיק (AUA) אַפּלייז צו אַלע מיטגלידער פון אַן אָרגאַניזאַציע און אַסעץ אָונד אָדער אַפּערייטאַד דורך די אָרגאַניזאַציע. די AUA אַפּלייז צו אַלע ניצט פון אינפֿאָרמאַציע אַסעץ פֿאַר קיין ציל, אַרייַנגערעכנט געשעפט.
די פאלגענדע זענען ביישפילן פון אינפֿאָרמאַציע אַסעץ:
- ייַזנוואַרג: קאָמפּיוטערס, רירעוודיק דעוויסעס, פאָנעס און פאַקס מאשינען.
- ווייכווארג: אָפּערייטינג סיסטעמען, אַפּלאַקיישאַנז (אַרייַנגערעכנט וועב-באזירט אַפּפּס), יוטילאַטיז, פירמוואַרע און פּראָגראַממינג שפּראַכן.
- דאַטע: סטראַקטשערד דאַטן אין ריליישאַנאַל דאַטאַבייסיז, פלאַך טעקעס און NoSQL דאַטן; אַנסטראַקטשערד דאַטן אַזאַ ווי טעקסט דאָקומענטן, ספּרעדשיץ, בילדער, ווידעא און אַודיאָ טעקעס; רעקאָרדס אין קיין פֿאָרמאַט.
- נעטוואָרקס: ווייערד און וויירליס נעטוואָרקס; טעלאַקאַמיונאַקיישאַנז סיסטעמען; קול איבער IP באַדינונגס.
- באַדינונגס: וואָלקן באַדינונגס, E- בריוו אַקאַונץ און אנדערע כאָוסטיד באַדינונגס.
אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ מיטל ניצן אינפֿאָרמאַציע אַסעץ אין וועגן וואָס טאָן ניט ריזיקירן די אַוויילאַבילאַטי, רילייאַבילאַטי אָדער אָרנטלעכקייַט פון דאַטן, באַדינונגס אָדער רעסורסן. דאָס אויך מיטל צו נוצן זיי אין וועגן וואָס טאָן ניט אָנרירן געזעצן אָדער די פּאַלאַסיז פון די אָרגאַניזאַציע.
באַקומען אַ 81% כעדסטאַרט
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
אַטריביוץ פון קאָנטראָל 5.10
די נייע ISO 27002:2022 נאָרמאַל קומט מיט אַטריביוט טישן וואָס זענען נישט געפֿונען אין די 2013 ווערסיע. אַטריביוץ זענען אַ וועג צו קלאַסיפיצירן קאָנטראָלס.
זיי אויך לאָזן איר צו גלייַכן דיין קאָנטראָל סעלעקציע מיט קאַמאַנלי געוויינט ינדאַסטרי טערמינען און ספּעסאַפאַקיישאַנז. די פאלגענדע קאָנטראָלס זענען בנימצא אין קאָנטראָל 5:10.
| קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
|---|---|---|---|---|
| # פּרעווענטיוו | #מיט זיכערקייט | # באַשיצן | # אַסעץ פאַרוואַלטונג | # גאַווערנאַנס און יקאָוסיסטאַם |
| # אָרנטלעכקייַט | # אינפֿאָרמאַציע שוץ | # שוץ | ||
| # אַוואַילאַביליטי |
וואָס איז דער ציל פון קאָנטראָל 5.10?
די אָווועראַרטשינג אָביעקטיוו פון דעם קאָנטראָל איז צו ענשור אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זענען אַפּראָופּרייטלי פּראָטעקטעד, געוויינט און כאַנדאַלד.
קאָנטראָל 5.10 איז דיזיינד צו ענשור אַז פּאַלאַסיז, פּראָוסידזשערז און טעכניש קאָנטראָלס זענען אין פּלאַץ צו פאַרמיידן ניצערס פון ינאַפּראָופּרייט אַקסעס, ניצן אָדער אַנטפּלעקן אינפֿאָרמאַציע אַסעץ.
דעם קאָנטראָל יימז צו צושטעלן אַ פריימווערק פֿאַר אָרגאַנאַזיישאַנז צו ענשור אַז אינפֿאָרמאַציע און אנדערע אַסעץ זענען אַפּראָופּרייטלי פּראָטעקטעד, געוויינט און כאַנדאַלד. דאָס כולל ינשורינג אַז די פּאַלאַסיז און פּראָוסידזשערז עקסיסטירן אין אַלע לעוועלס אין דער אָרגאַניזאַציע, ווי געזונט ווי ינשורינג אַז די פּאַלאַסיז און פּראָוסידזשערז זענען קאַנסיסטאַנטלי ענפאָרסט.
ימפּלאַמענטינג קאָנטראָל 5.10 ווי אַ טייל פון דיין ISMS מיטל אַז איר האָט שטעלן די פאַרשידן באדערפענישן שייַכות צו ווי דיין פירמע פּראַטעקץ IT אַסעץ אַרייַנגערעכנט:
- דער שוץ פון אינפֿאָרמאַציע אין סטאָרידזש, פּראַסעסינג און דורכפאָר.
- שוץ און צונעמען נוצן פון IT ויסריכט.
- די נוצן פון צונעמען אָטענטאַקיישאַן באַדינונגס צו קאָנטראָלירן אַקסעס צו אינפֿאָרמאַציע סיסטעמען.
- די פּראַסעסינג פון אינפֿאָרמאַציע אין אַן אָרגאַניזאַציע בלויז דורך ניצערס מיט צונעמען דערלויבעניש.
- די אַלאַקיישאַן פון אינפֿאָרמאַציע-פֿאַרבונדענע ריספּאַנסאַבילאַטיז צו ספּעציפיש מענטשן אָדער ראָלעס.
- די בילדונג און טריינינג פון ניצערס וועגן זייער זיכערהייט ריספּאַנסאַבילאַטיז.
קאָמפּליאַנסע טוט נישט האָבן צו זיין קאָמפּליצירט.
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
וואָס איז ינוואַלווד און ווי צו טרעפן די רעקווירעמענץ
אין סדר צו טרעפן די באדערפענישן פֿאַר קאָנטראָל 5.10 אין ISO 27002:2022, עס איז וויכטיק אַז עמפּלוייז און פונדרויסנדיק פּאַרטיעס וואָס נוצן אָדער האָבן אַקסעס צו די אינפֿאָרמאַציע פון דער אָרגאַניזאַציע און אנדערע פֿאַרבונדן אַסעץ זענען אַווער פון די אינפֿאָרמאַציע זיכערהייט באדערפענישן פון דער אָרגאַניזאַציע.
די מענטשן זאָל זיין פאַראַנטוואָרטלעך פֿאַר קיין אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז וואָס זיי נוצן.
אַלעמען ינוואַלווד אין די נוצן אָדער האַנדלינג פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זאָל זיין אַווער פון דער אָרגאַניזאַציע ס פּאָליטיק אויף פּאַסיק נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדענע אַסעץ.
אַלעמען ינוואַלווד אין די נוצן אָדער האַנדלינג פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זאָל זיין אַווער פון דער אָרגאַניזאַציע 'ס פּאָליטיק אויף דער ערלויבט נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ. ווי אַ טייל פון אַ טעמע-ספּעציפיש פּאַסיק נוצן פּאָליטיק, פּערסאַנעל זאָל וויסן פּונקט וואָס זיי זענען געריכט צו טאָן מיט אינפֿאָרמאַציע און אנדערע אַסעץ.
אין באַזונדער, טעמע-ספּעציפיש פּאָליטיק זאָל זאָגן אַז:
a) דערוואַרט און אַנאַקסעפּטאַבאַל ביכייוויערז פון מענטשן פֿון אַן אינפֿאָרמאַציע זיכערהייט פּערספּעקטיוו;
b) דערלויבט און פּראָוכיבאַטאַד נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ;
c) מאָניטאָרינג אַקטיוויטעטן וואָס זענען דורכגעקאָכט דורך די אָרגאַניזאַציע.
אַקסעפּטאַבאַל נוצן פּראָוסידזשערז זאָל זיין געצויגן פֿאַר די פול אינפֿאָרמאַציע לעבן ציקל אין לויט מיט זייַן קלאַסאַפאַקיישאַן און באשלאסן ריסקס. די פאלגענדע זאכן זאָל זיין קאַנסידערד:
a) אַקסעס ריסטריקשאַנז שטיצן שוץ רעקווירעמענץ פֿאַר יעדער מדרגה פון קלאַסאַפאַקיישאַן;
b) וישאַלט פון אַ רעקאָרד פון די אָטערייזד ניצערס פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ;
c) שוץ פון צייַטווייַליק אָדער שטענדיק קאָפּיעס פון אינפֿאָרמאַציע צו אַ מדרגה קאָנסיסטענט מיט די
שוץ פון דער אָריגינעל אינפֿאָרמאַציע;
d) סטאָרידזש פון אַסעץ פֿאַרבונדן מיט אינפֿאָרמאַציע אין לויט מיט מאַניאַפאַקטשערערז 'ספּעסיפיקאַטיאָנס;
e) קלאָר מאַרקינג פון אַלע קאפיעס פון סטאָרידזש מידיאַ (עלעקטראָניש אָדער גשמיות) פֿאַר די ופמערקזאַמקייַט פון די
אָטערייזד באַקומער;
f) דערלויבעניש פון באַזייַטיקונג פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ און שטיצט דילישאַן מעטהאָדס (s).
דיפעראַנסיז צווישן ISO 27002:2013 און ISO 27002:2022
די נייַע 2022 רעוויזיע פון ISO 27002 איז ארויס אויף פעברואר 15, 2022, און איז אַן אַפּגרייד פון ISO 27002:2013.
די קאָנטראָל 5.10 אין ISO 27002:2022 איז נישט אַ נייַע קאָנטראָל, אלא, עס איז אַ קאָמבינאַציע פון קאָנטראָלס 8.1.3 - פּאַסיק נוצן פון אַסעץ און 8.2.3 - האַנדלינג פון אַסעץ אין ISO 27002:2013.
כאָטש די עסאַנס און ימפּלאַמענטיישאַן גיידליינז פון קאָנטראָל 5.10 איז לעפיערעך די זעלבע מיט קאָנטראָלס 8.1.3 און 8.2.3, קאָנטראָל 5.10 האָט צונויפגיסן ביידע די פּאַסיק נוצן פון אַסעץ און די האַנדלינג פון אַסעץ אין איין קאָנטראָל צו לאָזן ימפּרוווד באַניצער-פרייַנדלעך.
אָבער, קאָנטראָל 5.10 אויך צוגעגעבן אַן עקסטרע פונט צו קאָנטראָלירן 8.2.3. דאָס קאָווערס דערלויבעניש פון באַזייַטיקונג פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ און די שטיצט דילישאַן מעטהאָדס (s).
פירן אַלע דיין העסקעם אויף איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס
און תקנות, געבן איר אַ איין
פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
ווער איז אין באַשולדיקונג פון דעם פּראָצעס?
די אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ איז אַ פּאָליטיק וואָס יסטאַבלישיז כּללים צו ענשור געהעריק נוצן פון די פירמע 'ס אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, אַרייַנגערעכנט קאָמפּיוטערס, נעטוואָרקס און סיסטעמען, E- בריוו, טעקעס און סטאָרידזש מידיאַ. די פּאָליטיק איז ביינדינג אויף אַלע עמפּלוייז און קאָנטראַקטאָרס.
דער ציל פון דעם פּאָליטיק איז צו:
- פאַרזיכערן אַז די אינפֿאָרמאַציע פון די פירמע און אנדערע פֿאַרבונדן אַסעץ זענען געניצט בלויז פֿאַר לאַדזשיטאַמאַט געשעפט צוועקן.
- פאַרזיכערן אַז עמפּלוייז נאָכקומען מיט אַלע געזעצן און רעגיאַליישאַנז רילייטינג צו אינפֿאָרמאַציע זיכערהייט.
- באַשיצן די פירמע 'ס אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ פון טרעץ ערידזשאַנייטאַד פון ין אָדער אַרויס די פירמע.
די אינפֿאָרמאַציע סעקוריטי אָפיציר (ISO) איז פאַראַנטוואָרטלעך פֿאַר דעוועלאָפּינג, ימפּלאַמענינג, און מיינטיינינג די אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע אַסעץ.
די ISO וועט זיין פאַראַנטוואָרטלעך פֿאַר אָנפירונג די נוצן פון אינפֿאָרמאַציע רעסורסן איבער דער אָרגאַניזאַציע צו ענשור אַז אינפֿאָרמאַציע איז געניצט אין אַ שטייגער וואָס פּראַטעקץ די זיכערהייט און אָרנטלעכקייַט פון דאַטן, פּראַזערווז די קאַנפאַדענשיאַלאַטי פון פּראַפּרייאַטערי אָדער שפּירעוודיק אינפֿאָרמאַציע, פּראַטעקץ קעגן זידלען און אַנאָטערייזד אַקסעס צו קאַמפּיוטינג. רעסורסן, און ילימאַנייץ ומנייטיק ויסשטעלן אָדער אַכרייַעס צו דער אָרגאַניזאַציע.
וואָס טאָן די ענדערונגען מיינען פֿאַר איר?
די נייַע ISO 27002: 2022 נאָרמאַל איז נישט אַ היפּש אַפּגרייד. ווי אַ רעזולטאַט, איר קען נישט דאַרפֿן צו מאַכן קיין באַטייַטיק ענדערונגען אין די העסקעם מיט די לעצטע ווערסיע פון ISO 27002.
אָבער, ביטע זען אונדזער פירן צו ISO 27002:2022, ווו איר קענען אַנטדעקן מער וועגן ווי די ענדערונגען צו קאָנטראָלירן 5.10 וועט ווירקן דיין געשעפט.
נייַ יסאָ 27002 קאָנטראָלס
ניו קאָנטראָלס
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 5.7 | נייַ | סאַקאָנע סייכל |
| 5.23 | נייַ | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
| 5.30 | נייַ | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 8.9 | נייַ | קאָנפיגוראַטיאָן פאַרוואַלטונג |
| 8.10 | נייַ | אינפֿאָרמאַציע דילישאַן |
| 8.11 | נייַ | דאַטאַ מאַסקינג |
| 8.12 | נייַ | פאַרהיטונג פון דאַטן ליקאַדזש |
| 8.16 | נייַ | מאָניטאָרינג אַקטיוויטעטן |
| 8.23 | נייַ | וועב פֿילטרירונג |
| 8.28 | נייַ | זיכער קאָדירונג |
אָרגאַנאַזיישאַנאַל קאָנטראָלס
מענטשן קאָנטראָלס
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 6.1 | 07.1.1 | זיפּונג |
| 6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
| 6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
| 6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
| 6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
| 6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
| 6.7 | 06.2.2 | ווייַט ארבעטן |
| 6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
גשמיות קאָנטראָלס
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
| 7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
| 7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
| 7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
| 7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
| 7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
| 7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
| 7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
| 7.11 | 11.2.2 | שטיצן יוטילאַטיז |
| 7.12 | 11.2.3 | קאַבלע זיכערהייַט |
| 7.13 | 11.2.4 | ויסריכט וישאַלט |
| 7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |
טעקנאַלאַדזשיקאַל קאָנטראָלס
ווי ISMS.online העלפּס
ווי איר וויסן, ISO 27002 איז אַ וויידלי אנגענומען און געזונט-דערקענט סטאַנדאַרט פֿאַר אינפֿאָרמאַציע זיכערהייט.
עס גיט אַ מאָדעל פֿאַר גרינדן, ימפּלאַמענינג, אַפּערייטינג, מאָניטאָרינג, ריוויוינג, מיינטיינינג און ימפּרוווינג אַ אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם (ISMS).
ווייַל די ISO 27002 סטאַנדאַרט איז אַזוי פולשטענדיק און דיטיילד, ימפּלאַמענינג עס קען זיין אַ צייט-קאַנסומינג פּראָצעס. אבער מיט ISMS.online, איר האָבן אַ איין-האַלטן לייזונג וואָס מאכט די טינגז פיל סימפּלער.
אונדזער וועלט-קלאַס אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם ווייכווארג פּלאַטפאָרמע מאכט עס סופּער גרינג צו פֿאַרשטיין וואָס דאַרף זיין געטאן און ווי צו טאָן דאָס.
מיר נעמען די ווייטיק פון אָנפירונג דיין העסקעם רעקווירעמענץ.
מיט ISMS.online, ISO 27002 ימפּלאַמענטיישאַן איז סימפּלער מיט אונדזער שריט-דורך-שריט טשעקליסט וואָס פירן איר דורך די גאנצע פּראָצעס, פֿון דיפיינינג די פאַרנעם פון דיין ISMS דורך ריזיקירן לעגיטימאַציע און קאָנטראָל ימפּלאַמענטיישאַן.
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
שפרינג צו דער טעמע
באַקומען סערטאַפייד אַרויף צו 5 קס פאַסטער
פשוט פּלאָמבירן די בלאַנקס.
ספר אַ דעמאָ באַקומען אַ ציטירן
