יסאָ קסנומקס: קסנומקס, קאָנטראָל 5.4, מאַנאַגעמענט ריספּאַנסאַבילאַטיז קאָווערס די נויט פֿאַר פאַרוואַלטונג צו ענשור אַז אַלע פּערסאַנעל שטעקן זיך צו אַלע אינפֿאָרמאַציע זיכערהייט טעמע-ספּעציפיש פּאַלאַסיז און פּראָוסידזשערז ווי דיפיינד אין די געגרינדעט אינפֿאָרמאַציע זיכערהייט פּאָליטיק פון דער אָרגאַניזאַציע.
An אינפֿאָרמאַציע זיכערהייט פּאָליטיק איז אַ פאָרמאַל דאָקומענט וואָס גיט פאַרוואַלטונג ריכטונג, גאָולז און פּרינסאַפּאַלז פֿאַר פּראַטעקטינג די אינפֿאָרמאַציע פון אַן אָרגאַניזאַציע. אַן עפעקטיוו אינפֿאָרמאַציע זיכערהייט פּאָליטיק זאָל זיין טיילערד צו די ספּעציפיש באדערפענישן פון אַן אָרגאַניזאַציע און געשטיצט דורך עלטער פאַרוואַלטונג צו ענשור צונעמען אַלאַקיישאַן פון רעסורסן.
די פּאָליטיק קאַמיוניקייץ די אָווועראַרטשינג פּרינסאַפּאַלז אויף ווי פאַרוואַלטונג וואָלט ווי עמפּלוייז צו שעפּן שפּירעוודיק דאַטן און ווי די פירמע וועט באַשיצן זייַן אינפֿאָרמאַציע אַסעץ.
די פּאָליטיק איז אָפט דערייווד פון געזעצן, רעגיאַליישאַנז און בעסטער פּראַקטיסיז וואָס מוזן זיין אַדכירד צו די אָרגאַניזאַציע. אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז זענען יוזשאַוואַלי באשאפן דורך אַן אָרגאַניזאַציע ס עלטער פאַרוואַלטונג, מיט אַרייַנשרייַב פון זייַן IT זיכערהייט שטעקן.
פּאַלאַסיז זאָל אויך אַרייַננעמען אַ פריימווערק פֿאַר דיפיינינג ראָלעס און ריספּאַנסאַבילאַטיז און אַ טיימליין פֿאַר פּעריאָדיש רעצענזיע.
אַטריביוץ זענען אַ וועג צו קאַטאַגערייז פאַרשידענע טייפּס פון קאָנטראָלס. די אַטריביוץ לאָזן איר צו ייַנרייען דיין קאָנטראָלס מיט ינדאַסטרי סטאַנדאַרדס. אין קאָנטראָל 5.4 זיי זענען:
קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
---|---|---|---|---|
# פּרעווענטיוו | # קאַנפאַדענשיאַלאַטי # אָרנטלעכקייַט # אַוואַילאַביליטי | # אידענטיפיצירן | # גאַווערנאַנס | # גאַווערנאַנס און יקאָוסיסטאַם |
ISMS.online וועט שפּאָרן איר צייט און געלט
באַקומען דיין ציטירןקאָנטראָל 5.4 איז דיזיינד צו פאַרזיכערן אַז פאַרוואַלטונג פארשטייט זייער פֿאַראַנטוואָרטלעכקייט אין אינפֿאָרמאַציע זיכערהייט און אַז זיי נעמען סטעפּס צו ענשור אַז אַלע עמפּלוייז זענען אַווער פון און מקיים זייער אינפֿאָרמאַציע זיכערהייט אַבלאַגיישאַנז.
אינפֿאָרמאַציע איז אַ ווערטפול אַסעט און מוזן זיין פּראָטעקטעד פון אָנווער, שעדיקן אָדער מיסיוז. די אָרגאַניזאַציע וועט ענשור אַז צונעמען מיטלען זענען גענומען צו באַשיצן דעם אַסעט. כּדי דאָס זאָל פּאַסירן, פאַרוואַלטונג מוזן ענשור אַז אַלע פּערסאַנעל צולייגן אַלע אינפֿאָרמאַציע זיכערהייט פּאָליטיק, טעמע-ספּעציפיש פּאַלאַסיז און פּראָוסידזשערז פון דער אָרגאַניזאַציע.
קאָנטראָל 5.4 קאָווערס די ציל און ימפּלאַמענטיישאַן גיידאַנס פֿאַר דיפיינינג פאַרוואַלטונג פֿאַראַנטוואָרטלעכקייט מיט די אינפֿאָרמאַציע זיכערהייט אין אַן אָרגאַניזאַציע אין לויט מיט די די פריימווערק פון ISO 27001.
דעם קאָנטראָל איז אַלע וועגן מאכן זיכער אַז פאַרוואַלטונג איז אויף ברעט מיט די אינפֿאָרמאַציע זיכערהייט פּראָגראַם און אַז אַלע עמפּלוייז און קאָנטראַקטאָרס זענען אַווער פון און נאָכגיין די אינפֿאָרמאַציע זיכערהייט פּאָליטיק פון דער אָרגאַניזאַציע. קיינער זאָל קיינמאָל זיין באפרייט פון מאַנדאַטאָרי העסקעם מיט דער אָרגאַניזאַציע ס זיכערהייט פּאַלאַסיז, טעמעס-ספּעציפיש פּאַלאַסיז און פּראָוסידזשערז.
דער שליסל צו טרעפן די רעקווירעמענץ פון דעם קאָנטראָל איז צו ענשור אַז פאַרוואַלטונג איז ביכולת צו צווינגען אַלע באַטייַטיק פּערסאַנעל צו אַדכיר צו די אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, סטאַנדאַרדס און פּראָוסידזשערז פון דער אָרגאַניזאַציע.
דער ערשטער שריט איז פאַרוואַלטונג ביי-אין און שטיצן. פאַרוואַלטונג מוזן באַווייַזן זייַן היסכייַוועס דורך נאָכפאָלגן אַלע פּאַלאַסיז און פּראָוסידזשערז עס שטעלן אין פּלאַץ. פֿאַר בייַשפּיל, אויב איר דאַרפן טוערס צו נעמען יערלעך זיכערהייט וויסיקייַט טריינינג קאָרסאַז, מאַנאַדזשערז זאָל פירן דורך בייַשפּיל און פאַרענדיקן די קאָרסאַז ערשטער.
ווייַטער קומט קאַמיונאַקייטינג די וויכטיקייט פון אינפֿאָרמאַציע זיכערהייט צו אַלעמען אין די פירמע, ראַגאַרדלאַס פון זייער ראָלע. דאָס כולל די באָרד פון דירעקטאָרס, יגזעקיאַטיווז און פאַרוואַלטונג, ווי געזונט ווי עמפּלוייז. אַלעמען מוזן פֿאַרשטיין זייער ראָלע אין מיינטיינינג די זיכערהייט פון שפּירעוודיק דאַטן ווי באדעקט אין די פירמע 'ס ISMS פּראָגראַם.
מיר געבן איר אַ 81% כעדסטאַרט
פון דעם מאָמענט איר קלאָץ אין
ספר דיין דעמאָ
זינט מיגרייטינג מיר האָבן שוין קענען צו רעדוצירן די צייט פארבראכט אויף אַדמיניסטראַציע.
יסאָ 27002:2022 קאָנטראָל 5.4 מאַנאַגעמענט ריספּאַנסאַבילאַטיז איז געווען אַמאָל באקאנט ווי קאָנטראָל 7.2.1 מאַנאַגעמענט ריספּאַנסאַבילאַטיז אין ISO 27002:2013. דאָס איז נישט אַ נייַע קאָנטראָל אָבער אַ מער געזונט ינטערפּריטיישאַן פון די 2013 ווערסיע.
כאָטש קאָנטראָל 5.4 און קאָנטראָל 7.2.1 קאָווערס ברייט די זעלבע זאַך, עס זענען ווייניק דיפעראַנסיז אַז אָרגאַנאַזיישאַנז און געשעפט מאַנאַדזשערז זאָל טאָן. די דיפעראַנסיז זענען באדעקט אין די ימפּלאַמענטיישאַן גיידאַנס פון די קאָנטראָל.
אין ISO 27002: 2013, פאַרוואַלטונג ריספּאַנסאַבילאַטיז קאָווערס ינשורינג אַז עמפּלוייז און קאָנטראַקטאָרס:
a) זענען רעכט בריפט אויף זייער אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז איידער איר באַקומען אַקסעס צו קאַנפאַדענשאַל אינפֿאָרמאַציע אָדער אינפֿאָרמאַציע סיסטעמען;
b) זענען צוגעשטעלט מיט גיידליינז צו שטאַט אינפֿאָרמאַציע זיכערהייט עקספּעקטיישאַנז פון זייער ראָלע אין די
אָרגאַניזאַציע;
c) זענען מאָוטאַווייטאַד צו מקיים די אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז פון דער אָרגאַניזאַציע;
d) דערגרייכן אַ שטאַפּל פון וויסיקייַט אויף אינפֿאָרמאַציע זיכערהייט באַטייַטיק צו זייער ראָלעס און ריספּאַנסאַבילאַטיז אין דער אָרגאַניזאַציע;
e) קאַנפאָרם צו די טערמינען און באדינגונגען פון באַשעפטיקונג, וואָס כולל די אינפֿאָרמאַציע זיכערהייט פּאָליטיק פון דער אָרגאַניזאַציע און צונעמען מעטהאָדס פון אַרבעט;
f) פאָרזעצן צו האָבן די צונעמען סקילז און קוואַלאַפאַקיישאַנז און זענען געבילדעט אויף אַ רעגולער יקער;
g) זענען צוגעשטעלט מיט אַן אַנאָנימע באַנוצערס ריפּאָרטינג קאַנאַל צו באַריכט ווייאַליישאַנז פון אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז אָדער פּראָוסידזשערז ("פייַפן בלאָוינג").
פאַרוואַלטונג זאָל באַווייַזן שטיצן פון אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, פּראָוסידזשערז און קאָנטראָלס, און שפּילן ווי אַ ראָלע מאָדעל.
קאָנטראָל 5.4 איז אַ מער באַניצער-פרייַנדלעך ווערסיע און ריקווייערז אַז פאַרוואַלטונג ריספּאַנסאַבילאַטיז ינשורז אַז עמפּלוייז און קאָנטראַקטאָרס:
a) זענען רעכט בריפינג וועגן זייער אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז איידער זיי באַקומען אַקסעס צו די אינפֿאָרמאַציע פון דער אָרגאַניזאַציע און אנדערע פֿאַרבונדן אַסעץ;
b) זענען צוגעשטעלט מיט גיידליינז וואָס זאָגן די אינפֿאָרמאַציע זיכערהייט עקספּעקטיישאַנז פון זייער ראָלע אין דער אָרגאַניזאַציע;
c) זענען מאַנדייטיד צו מקיים די אינפֿאָרמאַציע זיכערהייט פּאָליטיק און טעמע-ספּעציפיש פּאַלאַסיז פון דער אָרגאַניזאַציע;
d) דערגרייכן אַ מדרגה פון וויסיקייַט פון אינפֿאָרמאַציע זיכערהייט באַטייַטיק צו זייער ראָלעס און ריספּאַנסאַבילאַטיז אין דער אָרגאַניזאַציע;
e) העסקעם מיט די טערמינען און באדינגונגען פון באַשעפטיקונג, קאָנטראַקט אָדער העסקעם, אַרייַנגערעכנט די אינפֿאָרמאַציע זיכערהייט פּאָליטיק פון דער אָרגאַניזאַציע און צונעמען מעטהאָדס פון אַרבעט;
f) פאָרזעצן צו האָבן די צונעמען אינפֿאָרמאַציע זיכערהייט סקילז און קוואַלאַפאַקיישאַנז דורך אָנגאָינג פאַכמאַן בילדונג;
g) אויב מעגלעך, זיי זענען צוגעשטעלט מיט אַ קאַנפאַדענשאַל קאַנאַל פֿאַר ריפּאָרטינג ווייאַליישאַנז פון אינפֿאָרמאַציע זיכערהייט פּאָליטיק, טעמע-ספּעציפיש פּאַלאַסיז אָדער פּראָוסידזשערז פֿאַר אינפֿאָרמאַציע זיכערהייט ("ווהיסטלעבלאָוינג"). דאָס קען לאָזן אַן אַנאָנימע באַנוצערס ריפּאָרטינג, אָדער האָבן פּראַוויזשאַנז צו ענשור אַז וויסן פון די אידענטיטעט פון די רעפּאָרטער איז באקאנט בלויז צו די וואס דאַרפֿן צו האַנדלען מיט אַזאַ ריפּאָרץ;
h) זיי זענען צוגעשטעלט מיט טויגן רעסורסן און פּרויעקט פּלאַנירונג צייט פֿאַר ימפּלאַמענינג די זיכערהייט-פֿאַרבונדענע פּראַסעסאַז און קאָנטראָלס פון דער אָרגאַניזאַציע.
ווי איר קענען זען, ISO 27002: 2022 ספּאַסיפיקלי ריקווייערז אַז אין סדר צו ויספירן די אָרגאַניזאַציע ס זיכערהייט-פֿאַרבונדענע פּראָוסידזשערז און קאָנטראָלס, וואָרקערס און קאָנטראַקטאָרס זענען סאַפּלייד מיט נייטיק רעסורסן ווי געזונט ווי פּרויעקט פּלאַנירונג צייט.
די ווערדינגס אין עטלעכע פון די ימפּלאַמענטיישאַן גיידליינז פון ISO 27002:2013 קעגן ISO 27002:2020 זענען אויך אַפעקטאַד. ווען גיידליינז C פון די 2013 ווערסיע זאגט אַז עמפּלוייז און קאָנטראַקטאָרס זענען "מאָוטאַווייטאַד" צו אַדאַפּט די פירמע 'ס ISMS פּאַלאַסיז, 2022 ניצט די וואָרט "מאַנדייטיד"
דער ענטפער צו דעם קשיא איז גאַנץ פּשוט: די פאַרוואַלטונג! עס איז די פֿאַראַנטוואָרטלעכקייט פון דער פאַרוואַלטונג צו ענשור אַז אַ געהעריק ISMS (אינפארמאציע סעקוריטי מאַנאַגעמענט סיסטעם) איז ימפּלאַמענאַד.
דאָס איז נאָרמאַלי געשטיצט דורך די אַפּוינטמאַנט פון אַ פּאַסיק קוואַלאַפייד און יקספּיריאַנסט אינפֿאָרמאַציע זיכערהייט פאַרוואַלטער, וואָס וועט זיין פאַראַנטוואָרטלעך צו עלטער פאַרוואַלטונג פֿאַר דעוועלאָפּינג, ימפּלאַמענינג, אָנפירונג און קעסיידער ימפּרוווינג די ISMS.
איינער פון די ביגאַסט טשאַלאַנדזשיז אין ימפּלאַמענינג אַ ISO 27001-אַליינד יסמס איז בעכעסקעם אויף שפּיץ פון דיין אינפֿאָרמאַציע זיכערהייט קאָנטראָלס. אונדזער סיסטעם מאכט דאָס גרינג.
מיר פֿאַרשטיין די וויכטיקייט פון פּראַטעקטינג די דאַטן פון דיין אָרגאַניזאַציע און שעם. דערפֿאַר איז אונדזער וואָלקן-באזירט פּלאַטפאָרמע דיזיינד צו פאַרפּאָשעטערן די ימפּלאַמענטיישאַן פון ISO 27001, צושטעלן אַ שטאַרק פריימווערק פון אינפֿאָרמאַציע זיכערהייט קאָנטראָלס און העלפֿן איר דערגרייכן סערטאַפאַקיישאַן מיט מינימאַל רעסורסן און צייט.
מיר האָבן אַרייַנגערעכנט אַ פאַרשיידנקייַט פון באַניצער-פרייַנדלעך פֿעיִקייטן און טאָאָלקיץ אין אונדזער פּלאַטפאָרמע צו שפּאָרן איר צייט און גאַראַנטירן אַז איר קריייץ אַ טאַקע שטאַרק ISMS. מיט ISMS.onlineאיר קענט לייכט באַקומען ISO 27001 סערטאַפאַקיישאַן און דערנאָך פירן עס לייכט.
ספר אַ דעמאָ הייַנט.
ISMS.online איז אַ
איין-האַלטן לייזונג אַז ראַדיקאַללי ספּידז אונדזער ימפּלאַמענטיישאַן.
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
5.7 | נייַ | סאַקאָנע סייכל |
5.23 | נייַ | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
5.30 | נייַ | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
8.9 | נייַ | קאָנפיגוראַטיאָן פאַרוואַלטונג |
8.10 | נייַ | אינפֿאָרמאַציע דילישאַן |
8.11 | נייַ | דאַטאַ מאַסקינג |
8.12 | נייַ | פאַרהיטונג פון דאַטן ליקאַדזש |
8.16 | נייַ | מאָניטאָרינג אַקטיוויטעטן |
8.23 | נייַ | וועב פֿילטרירונג |
8.28 | נייַ | זיכער קאָדירונג |
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
6.1 | 07.1.1 | זיפּונג |
6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
6.7 | 06.2.2 | ווייַט ארבעטן |
6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
7.11 | 11.2.2 | שטיצן יוטילאַטיז |
7.12 | 11.2.3 | קאַבלע זיכערהייַט |
7.13 | 11.2.4 | ויסריכט וישאַלט |
7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |