קאָנטראָל 5.11 זאגט אַז פּערסאַנעל און אנדערע אינטערעסירט פּאַרטיעס ווי צונעמען זאָל צוריקקומען אַלע די אַסעץ פון די אָרגאַניזאַציע אין זייער פאַרמעגן ביי ענדערונג אָדער טערמאַניישאַן פון זייער באַשעפטיקונג, קאָנטראַקט אָדער העסקעם.
דעם מיטל אַז די אָרגאַניזאַציע מוזן האָבן אַ געשריבן פּאָליטיק וואָס דיפיינז קלאָר כּללים פֿאַר צוריקקומען אַסעץ ביי טערמאַניישאַן. אָרגאַנאַזיישאַנז מוזן אויך האָבן פּערסאַנעל וואָס וועט באַשטעטיקן קאַבאָלע פון אומגעקערט אַסעץ, און ענשור אַז אַסעץ זענען רעכט ינוואַנטאָרי און גערעכנט.
An אינפֿאָרמאַציע אַסעט איז קיין סאָרט פון דאַטן אָדער אינפֿאָרמאַציע וואָס איז ווערט פֿאַר אַן אָרגאַניזאַציע. אינפֿאָרמאַציע אַסעץ קענען אַרייַננעמען פיזיש דאָקומענטן, דיגיטאַל טעקעס און דאַטאַבייסיז, ווייכווארג מגילה, און אפילו ינטאַנגיבלע זאכן ווי האַנדל סיקריץ און אינטעלעקטואַל פאַרמאָג.
אינפֿאָרמאַציע אַסעץ קענען האָבן ווערט אין אַ פאַרשיידנקייַט פון וועגן. זיי קען אַנטהאַלטן פּערסנאַלי ידענטיפיינג אינפֿאָרמאַציע (PII) וועגן קאַסטאַמערז, עמפּלוייז אָדער אנדערע סטייקכאָולדערז וואָס קען זיין געוויינט דורך שלעכט אַקטערז פֿאַר פינאַנציעל געווינען אָדער אידענטיטעט גנייווע. זיי קען אַנטהאַלטן שפּירעוודיק אינפֿאָרמאַציע וועגן דיין פיינאַנסיז, פאָרשונג אָדער אַפּעריישאַנז פון דיין אָרגאַניזאַציע וואָס וואָלט צושטעלן אַ קאַמפּעטיטיוו מייַלע צו דיין קאָמפּעטיטאָרס אויב זיי זענען ביכולת צו באַקומען זייער הענט אויף עס.
דערפאר איז וויכטיג אז שטאב און קאנטראקטארס וועמענס ביזנעס ווערט פארענדיגט מיט אן ארגאניזאציע זענען געצוואונגען צוריקצוגעבן אלע אזעלכע פארמעגן אין זייער פארמעגן.
די נייע ISO 27002:2022 נאָרמאַל כולל אַטריביוט טישן וואָס זענען נישט אַרייַנגערעכנט אין די פריערדיקע 2013 נאָרמאַל. קאָנטראָלס זענען קלאַסאַפייד באזירט אויף זייער אַטריביוץ. איר קענט אויך נוצן די אַטריביוץ צו גלייַכן דיין קאָנטראָל סעלעקציע מיט קאַמאַנלי געוויינט ינדאַסטרי טערמינען און ספּעסאַפאַקיישאַנז.
אַטריביוץ פֿאַר קאָנטראָל 5.11 זענען:
| קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
|---|---|---|---|---|
| # פּרעווענטיוו | # קאַנפאַדענשיאַלאַטי # אָרנטלעכקייַט # אַוואַילאַביליטי | # באַשיצן | # אַסעץ פאַרוואַלטונג | # שוץ |
מיר זענען פּרייַז-עפעקטיוו און שנעל
קאָנטראָל 5.11 איז דיזיינד צו באַשיצן די אַסעץ פון די אָרגאַניזאַציע ווי אַ טייל פון דעם פּראָצעס פון טשאַנגינג אָדער טערמאַנייטינג באַשעפטיקונג, קאָנטראַקט אָדער העסקעם. די כוונה פון דעם קאָנטראָל איז צו פאַרמייַדן אַנאָטערייזד מענטשן פון ריטיינינג אַסעץ (למשל ויסריכט, אינפֿאָרמאַציע, ווייכווארג, אאז"ו ו) וואָס געהערן צו דער אָרגאַניזאַציע.
ווען עמפּלוייז און קאָנטראַקטאָרס פאַרלאָזן דיין אָרגאַניזאַציע, איר מוזן מאַכן זיכער אַז זיי טאָן ניט נעמען קיין שפּירעוודיק דאַטן מיט זיי. איר טאָן דאָס דורך ידענטיפיצירן קיין פּאָטענציעל טרעץ און מאָניטאָרינג די אַקטיוויטעטן פון די באַניצער איידער זייער אָפּפאָר.
די קאָנטראָל איז צו ענשור אַז דער יחיד האט נישט צוטריט צו די IT סיסטעמען און נעטוואָרקס ווען זיי זענען טערמאַנייטיד. אָרגאַנאַזיישאַנז זאָל פאַרלייגן אַ פאָרמאַל טערמאַניישאַן פּראָצעס וואָס ינשורז אַז מענטשן זענען נישט ביכולת צו באַקומען אַקסעס צו קיין IT סיסטעמען נאָך זייער אָפּפאָר פון דער אָרגאַניזאַציע. דאָס קען זיין געטאן דורך ריוואָוקינג אַלע פּערמישאַנז, דיסייבאַל אַקאַונץ און רימוווינג אַקסעס פון בנין לאָקאַל.
פּראָוסידזשערז זאָל זיין אין פּלאַץ צו ענשור אַז עמפּלוייז, קאָנטראַקטאָרס און אנדערע באַטייַטיק פּאַרטיעס צוריקקומען אַלע אָרגאַנאַזיישאַנאַל אַסעץ וואָס זענען ניט מער פארלאנגט פֿאַר געשעפט צוועקן אָדער זענען רעכט צו פאַרבייַטן. אָרגאַנאַזיישאַנז קען אויך וועלן צו דורכפירן אַ לעצט טשעק פון דעם יחיד ס אַרבעט געגנט צו ענשור אַז אַלע שפּירעוודיק אינפֿאָרמאַציע איז אומגעקערט.
פֿאַר בייַשפּיל:
כּדי צו טרעפן די רעקווירעמענץ פֿאַר קאָנטראָל 5.11, דער ענדערונג אָדער טערמאַניישאַן פּראָצעס זאָל זיין פאָרמאַלייזד צו אַרייַננעמען די צוריקקער פון אַלע פריער ארויס פיזיש און עלעקטראָניש אַסעץ אָונד דורך אָדער ענטראַסטיד צו די אָרגאַניזאַציע.
דער פּראָצעס זאָל אויך ענשור אַז אַלע אַקסעס רעכט, אַקאַונץ, דיגיטאַל סערטיפיקאַץ און פּאַסווערדז זענען אַוועקגענומען. די פאָרמאַליזיישאַן איז ספּעציעל וויכטיק אין קאַסעס ווו אַ ענדערונג אָדער טערמאַניישאַן אַקערז אומגעריכט, אַזאַ ווי טויט אָדער רעזאַגניישאַן, אין סדר צו פאַרמייַדן אַנאָטערייזד אַקסעס צו אָרגאַניזאַציע אַסעץ וואָס קען פירן צו אַ דאַטן בריטש.
דער פּראָצעס זאָל ענשור אַז אַלע אַסעץ זענען אַקאַונאַד פֿאַר, און אַז זיי זענען אַלע אומגעקערט / דיספּאָוזד אויף אַ זיכער שטייגער.
לויט קאָנטראָל 5.11 פון ISO 27002:2022, די אָרגאַניזאַציע זאָל קלאר ידענטיפיצירן און דאָקומענט אַלע אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ צו זיין אומגעקערט וואָס קענען אַרייַננעמען:
a) באַניצער ענדפּוינט דעוויסעס;
b) פּאָרטאַטיוו סטאָרידזש דעוויסעס;
c) מומכע ויסריכט;
d) אָטענטאַקיישאַן ייַזנוואַרג (למשל מעטשאַניקאַל שליסלען, גשמיות טאָקענס און סמאַרטקאַרדס) פֿאַר אינפֿאָרמאַציע סיסטעמען, זייטלעך און גשמיות אַרקייווז;
e) פיזיש קאפיעס פון אינפֿאָרמאַציע.
דאָס קענען זיין אַטשיווד דורך אַ פאָרמאַל טשעקליסט מיט אַלע נייטיק זאכן צו זיין אומגעקערט / דיספּאָוזד פון און פאַרענדיקן דורך די באַניצער אויף טערמאַניישאַן, צוזאַמען מיט קיין נויטיק סיגנאַטשערז וואָס באַשטעטיקן אַז די אַסעץ האָבן שוין אומגעקערט / דיספּאָוזד פון הצלחה.
מיר געבן איר אַ 81% כעדסטאַרט
פון דעם מאָמענט איר קלאָץ אין
ספר דיין דעמאָ
די נייַע 2022 רעוויזיע פון ISO 27002 איז ארויס אויף פעברואר 15, 2022, און איז אַן אַפּגרייד פון ISO 27002:2013.
די קאָנטראָל 5.11 אין ISO 27002: 2022 איז נישט אַ נייַע קאָנטראָל, עס איז אַ מאָדיפיקאַטיאָן פון קאָנטראָל 8.1.4 - צוריקקער פון אַסעץ אין ISO 27002:2013.
ביידע קאָנטראָלס זענען יסענשאַלי די זעלבע מיט כּמעט ענלעך שפּראַך און פראַסעאָלאָגי קאַנטיינד אין די ימפּלאַמענטיישאַן גיידליינז. אָבער, קאָנטראָל 5.11 אין ISO 27002:2022 קומט מיט אַן אַטריביוץ טיש וואָס אַלאַוז ניצערס צו גלייַכן די קאָנטראָל מיט וואָס זיי ימפּלאַמענינג. אויך קאָנטראָל 5.11 אין ISO 27002:2022 ליסטעד אַסעץ וואָס קענען פאַלן אונטער וואָס זאָל זיין אומגעקערט אין די סוף פון באַשעפטיקונג אָדער טערמאַניישאַן פון קאָנטראַקט.
דאס אַרייַננעמען:
a) באַניצער ענדפּוינט דעוויסעס;
b) פּאָרטאַטיוו סטאָרידזש דעוויסעס;
c) מומכע ויסריכט;
d) אָטענטאַקיישאַן ייַזנוואַרג (למשל מעטשאַניקאַל שליסלען, גשמיות טאָקענס און סמאַרטקאַרדס) פֿאַר אינפֿאָרמאַציע סיסטעמען, זייטלעך און גשמיות אַרקייווז;
e) פיזיש קאפיעס פון אינפֿאָרמאַציע.
די רשימה איז נישט בנימצא אין די 2013 ווערסיע.
דער דערהייַנטיקט ISO 27002:2022 סטאַנדאַרט איז באזירט אויף די 2013 ווערסיע. דער קאמיטעט וואס האט איבערזיכט דעם סטאנדארט האט נישט געמאכט קיין באדייטנדע דערהייַנטיקונגען אָדער מאָדיפיקאַטיאָנס צו די פריערדיקע ווערסיעס. ווי אַ רעזולטאַט, יעדער אָרגאַניזאַציע וואָס איז איצט געהאָרכיק מיט ISO 27002:2013 איז שוין געהאָרכיק מיט די נייַע סטאַנדאַרט. אויב דיין פירמע פּלאַנז צו האַלטן די ISO 27002 סטאַנדאַרדס, איר וועט נישט דאַרפֿן צו מאַכן פילע באַטייַטיק ענדערונגען אין דיין סיסטעמען און פּראַסעסאַז.
אָבער, איר קענט לערנען מער וועגן ווי די מאָדיפיקאַטיאָנס צו קאָנטראָלירן 5.11 וועט פּראַל דיין אָרגאַניזאַציע אין אונדזער פירער צו ISO 27002:2022.
די ISMS.online פּלאַטפאָרמע איז אַ גרויס געצייַג צו העלפֿן איר ינסטרומענט און פירן אַן ISO 27001/27002 אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם, ראַגאַרדלאַס פון דיין דערפאַרונג מיט די סטאַנדאַרד.
אונדזער סיסטעם וועט פירן איר דורך די סטעפּס צו הצלחה שטעלן דיין ISMS און פירן עס פאָרויס. איר וועט האָבן צוטריט צו אַ ברייט קייט פון רעסורסן, אַרייַנגערעכנט:
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 5.7 | נייַ | סאַקאָנע סייכל |
| 5.23 | נייַ | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
| 5.30 | נייַ | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 8.9 | נייַ | קאָנפיגוראַטיאָן פאַרוואַלטונג |
| 8.10 | נייַ | אינפֿאָרמאַציע דילישאַן |
| 8.11 | נייַ | דאַטאַ מאַסקינג |
| 8.12 | נייַ | פאַרהיטונג פון דאַטן ליקאַדזש |
| 8.16 | נייַ | מאָניטאָרינג אַקטיוויטעטן |
| 8.23 | נייַ | וועב פֿילטרירונג |
| 8.28 | נייַ | זיכער קאָדירונג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 6.1 | 07.1.1 | זיפּונג |
| 6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
| 6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
| 6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
| 6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
| 6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
| 6.7 | 06.2.2 | ווייַט ארבעטן |
| 6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
| 7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
| 7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
| 7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
| 7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
| 7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
| 7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
| 7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
| 7.11 | 11.2.2 | שטיצן יוטילאַטיז |
| 7.12 | 11.2.3 | קאַבלע זיכערהייַט |
| 7.13 | 11.2.4 | ויסריכט וישאַלט |
| 7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |
