קאָנטראָל 5.9, ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ

פארוואס טאָן איך דאַרפֿן אַן ינוואַנטאָרי פון אינפֿאָרמאַציע אַסעץ?

אינפֿאָרמאַציע אַסעט פאַרוואַלטונג האט אַ לאַנג געשיכטע אין געשעפט קאַנטיניויישאַן פּלאַנירונג (BCP), ומגליק אָפּזוך (DR) און ינסידענט ענטפער פּלאַנירונג.

דער ערשטער שריט אין קיין פון די פּראַסעסאַז ינוואַלווז ידענטיפיצירן קריטיש סיסטעמען, נעטוואָרקס, דאַטאַבייסיז, אַפּלאַקיישאַנז, דאַטן פלאָוז און אנדערע קאַמפּאָונאַנץ וואָס דאַרפֿן שוץ. אויב איר טאָן ניט וויסן וואָס דאַרף פּראַטעקטינג אָדער ווו עס ריזיידז, איר קענען נישט פּלאַן ווי צו באַשיצן עס!

אַטריביוץ טיש

קאָנטראָלס זענען קלאַסאַפייד מיט אַטריביוץ. ניצן די, איר קענען געשווינד גלייַכן דיין קאָנטראָל סעלעקציע מיט קאַמאַנלי געוויינט ינדאַסטרי טערמינען און ספּעסאַפאַקיישאַנז.

דער טיש קאַמפּלאַמאַנץ אַרבעט וואָס פילע קאַסטאַמערז איצט פירן ווי אַ טייל פון זייער ריזיקירן אַסעסמאַנט און SOA דורך ידענטיפיצירן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, און אַוויילאַבילאַטי - און אנדערע סיבות. אין קאָנטראָל 5.9, די אַטריביוץ זענען:

וואָס איז דער ציל פון קאָנטראָל 5.9?

דער ציל פון דעם קאָנטראָל איז צו ידענטיפיצירן די אינפֿאָרמאַציע פון ​​דער אָרגאַניזאַציע און אנדערע פֿאַרבונדן אַסעץ אין סדר צו ופהיטן זייער אינפֿאָרמאַציע זיכערהייט און באַשטימען צונעמען אָונערשיפּ.

קאָנטראָל 5.9 קאָווערס די קאָנטראָל, ציל און ימפּלאַמענטיישאַן גיידאַנס פֿאַר קריייטינג אַן ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אין לויט מיט די ISMS פריימווערק ווי דיפיינד דורך ISO 27001.

די קאָנטראָל דאַרף נעמען אַן ינוואַנטאָרי פון אַלע אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, קלאַסאַפייינג זיי אין פאַרשידענע קאַטעגאָריעס, ידענטיפיצירן זייער אָונערז און דאַקיומענטינג די קאָנטראָלס וואָס זענען אָדער זאָל זיין אין פּלאַץ.

דאָס איז אַ קריטיש שריט צו ענשור אַז אַלע אינפֿאָרמאַציע אַסעץ זענען אַדאַקוואַטלי פּראָטעקטעד.

וואָס איז ינוואַלווד און ווי צו טרעפן די רעקווירעמענץ

צו טרעפן די רעקווירעמענץ פֿאַר די נייַע ISO 27002:2022, איר דאַרפֿן צו ידענטיפיצירן די אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אין דיין אָרגאַניזאַציע. דערנאָך איר זאָל באַשליסן די וויכטיקייט פון די זאכן אין טערמינען פון אינפֿאָרמאַציע זיכערהייט. אויב צונעמען, דאַקיומענטיישאַן זאָל זיין מיינטיינד אין דעדאַקייטאַד אָדער יגזיסטינג ינוואַנטאָריעס.

דער צוגאַנג צו אַנטוויקלען אַן ינוואַנטאָרי וועט בייַטן דיפּענדינג אויף די גרייס און קאַמפּלעקסיטי פון אַן אָרגאַניזאַציע, זיין יגזיסטינג קאָנטראָלס און פּאַלאַסיז און די טייפּס פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ וואָס עס ניצט.

לויט קאָנטראָל 5.9, די ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זאָל זיין פּינטלעך, דערהייַנטיקט, קאָנסיסטענט און אַליינד מיט אנדערע ינוואַנטאָריעס. אָפּציעס פֿאַר ינשורינג די אַקיעראַסי פון אַן ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אַרייַננעמען:

a) קאַנדאַקטינג רעגולער באריכטן פון יידענאַפייד אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ קעגן די אַסעט ינוואַנטאָרי;

b) אויטאָמאַטיש ענפאָרסינג אַן ינוואַנטאָרי דערהייַנטיקן אין דעם פּראָצעס פון ינסטאָלינג, טשאַנגינג אָדער רימוווינג אַ אַסעט.

דער אָרט פון אַ אַסעט זאָל זיין אַרייַנגערעכנט אין די ינוואַנטאָרי ווי צונעמען.

עטלעכע אָרגאַנאַזיישאַנז קען דאַרפֿן צו האַלטן עטלעכע ינוואַנטאָריעס פֿאַר פאַרשידענע צוועקן. פֿאַר בייַשפּיל, עטלעכע אָרגאַנאַזיישאַנז האָבן דעדאַקייטאַד ינוואַנטאָריעס פֿאַר ווייכווארג לייסאַנסיז אָדער פֿאַר גשמיות ויסריכט אַזאַ ווי לאַפּטאַפּס און טאַבלאַץ.

אנדערע קען האָבן אַ איין ינוואַנטאָרי וואָס כולל אַלע גשמיות ויסריכט, אַרייַנגערעכנט נעץ דעוויסעס אַזאַ ווי ראָוטערס און סוויטשיז. עס איז וויכטיק אַז אַזאַ ינוואַנטאָריעס זענען קעסיידער ריוויוד צו ענשור אַז זיי זענען ופּדאַטעד אַזוי אַז זיי קענען זיין געוויינט צו אַרוישעלפן מיט risk management אַקטיוויטעטן.

מער אינפֿאָרמאַציע וועגן טרעפן די רעקווירעמענץ פֿאַר קאָנטראָל 5.9 קענען זיין געפֿונען אין די נייַע ISO 27002:2022 דאָקומענט.

דיפעראַנסיז צווישן ISO 27002:2013 און ISO 27002:2022

אין יסאָ 27002: 2022, 57 קאָנטראָלס פון יסאָ 27002: 2013 זענען צונויפגיסן אין 24 קאָנטראָלס. אַזוי איר וועט ניט געפֿינען קאָנטראָל 5.9 ווי ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ אין די 2013 ווערסיע. אלא אין די 2022 ווערסיע, עס איז אַ קאָמבינאַציע פון ​​קאָנטראָל 8.1.1 ינוואַנטאָרי פון אַסעץ און קאָנטראָל 8.1.2 אָונערשיפּ פון אַסעץ.

די כוונה פון קאָנטראָל 8.1.1 ינוואַנטאָרי פון אַסעץ איז צו ענשור אַז אַלע אינפֿאָרמאַציע אַסעץ זענען יידענאַפייד, דאַקיומענטאַד און קעסיידער ריוויוד, און צונעמען פּראַסעסאַז און פּראָוסידזשערז זענען אין פּלאַץ צו מאַכן זיכער אַז די ינוואַנטאָרי איז זיכער.

קאָנטראָל 8.1.2 אָונערשיפּ פון אַסעץ איז פאַראַנטוואָרטלעך פֿאַר ינשורינג אַז אַלע אינפֿאָרמאַציע אַסעץ אונטער זייער קאָנטראָל זענען רעכט יידענאַפייד און אָונד. וויסן ווער אָונז וואָס קענען העלפֿן איר באַשליסן וואָס אַסעץ איר דאַרפֿן צו באַשיצן, און צו וועמען איר דאַרפֿן צו האַלטן פאַראַנטוואָרטלעך.

בשעת ביידע קאָנטראָלס אין ISO 27002:2013 זענען ענלעך צו קאָנטראָל 5.9 אין ISO 27002:2022, די יענער איז בראָדאַנד צו לאָזן אַ מער באַניצער-פרייַנדלעך ינטערפּריטיישאַן. פֿאַר בייַשפּיל, די ימפּלאַמענטיישאַן גיידאַנס פֿאַר אָונערשיפּ פון אַסעץ אין קאָנטראָל 8.1.2 שטאַטן אַז די אַסעט באַזיצער זאָל:

a) ענשור אַז אַסעץ זענען ינוואַנטאָרי;

b) ענשור אַז אַסעץ זענען אַפּראָופּרייטלי קלאַסאַפייד און פּראָטעקטעד;

c) דעפינירן און פּיריאַדיקלי אָפּשאַצן אַקסעס ריסטריקשאַנז און קלאַסאַפאַקיישאַנז צו וויכטיק אַסעץ, גענומען אין חשבון אָנווענדלעך אַקסעס קאָנטראָל פּאַלאַסיז;

d) ענשור געהעריק האַנדלינג ווען די אַסעט איז אויסגעמעקט אָדער חרובֿ.

די 4 פונקטן זענען יקספּאַנדיד אין 9 פונקטן אין די אָונערשיפּ אָפּטיילונג פון קאָנטראָל 5.9.

די אַסעט באַזיצער זאָל זיין פאַראַנטוואָרטלעך פֿאַר די געהעריק פאַרוואַלטונג פון אַ אַסעט איבער די גאנצע אַסעט לעבן ציקל, ינשורינג אַז:

a) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זענען ינוואַנטאָריעד;

b) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זענען אַפּראָופּרייטלי קלאַסאַפייד און פּראָטעקטעד;

c) די קלאַסאַפאַקיישאַן איז ריוויוד פּיריאַדיקלי;

d) קאַמפּאָונאַנץ וואָס שטיצן טעכנאָלאָגיע אַסעץ זענען ליסטעד און לינגקט, אַזאַ ווי דאַטאַבייס, סטאָרידזש, ווייכווארג קאַמפּאָונאַנץ און סאַב-קאָמפּאָנענטס;

e) רעקווירעמענץ פֿאַר די פּאַסיק נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ (זען 5.10) זענען געגרינדעט;

f) אַקסעס ריסטריקשאַנז שטימען מיט די קלאַסאַפאַקיישאַן און אַז זיי זענען עפעקטיוו און זענען ריוויוד פּיריאַדיקלי;

g) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, ווען אויסגעמעקט אָדער דיספּאָוזד, זענען כאַנדאַלד אין אַ זיכער שטייגער און אַוועקגענומען פון די ינוואַנטאָרי;

h) זיי זענען ינוואַלווד אין די לעגיטימאַציע און פאַרוואַלטונג פון ריסקס פֿאַרבונדן מיט זייער אַסעט (s);

i) זיי שטיצן פּערסאַנעל וואס האָבן די ראָלעס און ריספּאַנסאַבילאַטיז פון אָנפירונג זייער אינפֿאָרמאַציע.

צונויפגיסן די צוויי קאָנטראָלס צו פאָרעם איינער אַלאַוז פֿאַר בעסער פארשטאנד דורך די באַניצער.

וואָס טאָן די ענדערונגען מיינען פֿאַר איר?

די לעצטע ISO 27002 מאָדיפיקאַטיאָנס האָבן קיין ווירקונג אויף דיין קראַנט סערטאַפאַקיישאַן קעגן ISO 27001 סטאַנדאַרדס. ISO 27001 אַפּגריידז זענען די בלויז אָנעס וואָס האָבן אַ השפּעה אויף יגזיסטינג סערטאַפאַקיישאַנז, און אַקרעדיטינג ללבער וועט מיטאַרבעטן מיט די סערטאַפייינג ללבער צו אַנטוויקלען אַ יבערגאַנג ציקל וואָס וועט צושטעלן אָרגאַנאַזיישאַנז מיט ISO 27001 סערטיפיקאַץ גענוג צייט צו אַריבערפירן פון איין ווערסיע צו אנדערן.

דערנאָך, די פאלגענדע סטעפּס זאָל זיין נאכגעגאנגען צו טרעפן די ריווייזד ווערסיע:

• פאַרזיכערן אַז דיין פירמע איז אין העסקעם מיט די נייַע פאָדערונג דורך ריוויוינג דיין ריזיקירן רעגיסטרירן און דיין ריזיקירן פאַרוואַלטונג פּראַקטיסיז.
• SoA זאָל זיין ריווייזד צו פאַרטראַכטנ ענדערונגען צו די אַנעקס א.
• דיין פּאַלאַסיז און פּראַסעסאַז זאָל זיין דערהייַנטיקט צו נאָכקומען מיט די נייַע רעגיאַליישאַנז.

נייַע בעסטער פּראַקטיסיז און קוואַלאַטיז פֿאַר קאָנטראָל סעלעקציע וועט זיין בארעכטיגט בעשאַס די יבערגאַנג צייט צו די נייַע נאָרמאַל, וואָס וועט לאָזן אַ מער עפעקטיוו און עפעקטיוו סעלעקציע פּראָצעס.

ווייַל פון דעם, איר זאָל פאָרזעצן צו נוצן אַ ריזיקירן-באזירט צוגאַנג צו ענשור אַז בלויז די די מערסט באַטייַטיק און עפעקטיוו קאָנטראָלס זענען אויסדערוויילט פֿאַר דיין געשעפט.

ווי ISMS.online העלפּס

דו קענסט ניצן ISMS.online צו פירן דיין ISO 27002 ימפּלאַמענטיישאַן, ווייַל עס איז דיזיינד ספּאַסיפיקלי צו אַרוישעלפן אַ פירמע אין ימפּלאַמענינג זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) צו טרעפן די רעקווירעמענץ פון ISO 27002.

די פּלאַטפאָרמע ניצט אַ ריזיקירן-באזירט צוגאַנג קאַמביינד מיט ינדאַסטרי לידינג בעסטער פּראַקטיסיז און טעמפּלאַטעס צו העלפֿן איר ידענטיפיצירן די ריסקס פון דיין אָרגאַניזאַציע און די קאָנטראָלס וואָס זענען דארף צו פירן די ריסקס. דאָס אַלאַוז איר צו סיסטאַמאַטיקלי רעדוצירן דיין ריזיקירן ויסשטעלן און דיין העסקעם קאָס.

ניצן ISMS.online איר קענען:

• געשווינד ינסטרומענט אַן אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם (ISMS).
• לייכט פירן די דאַקיומענטיישאַן פון דיין ISMS.
• סטרימליין העסקעם מיט אַלע באַטייַטיק סטאַנדאַרדס.
• פירן אַלע אַספּעקץ פון אינפֿאָרמאַציע זיכערהייט, פֿון ריזיקירן פאַרוואַלטונג צו טריינינג פֿאַר זיכערהייט וויסיקייַט.
• יפעקטיוולי יבערגעבן איבער דיין אָרגאַניזאַציע מיט אונדזער געבויט-אין קאָמוניקאַציע פאַנגקשאַנאַליטי.

די ISMS.online פּלאַטפאָרמע איז באזירט אויף Plan-Do-Check-Act (PDCA), אַן יטעראַטיוו פיר-שריט פּראָצעס פֿאַר קעסיידערדיק פֿאַרבעסערונג, און עס אַדרעסז אַלע די רעקווירעמענץ פון ISO 27002:2022. עס איז אַ פּשוט ענין פון קריייטינג אַ פריי פּראָצעס חשבון און נאָכגיין די סטעפּס מיר צושטעלן.

באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.