קאָנטראָל 5.9 אין די ריווייזד ISO 27002:2022 באשרייבט ווי אַ ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, אַרייַנגערעכנט אָונערז, זאָל זיין דעוועלאָפּעד און מיינטיינד.
אין סדר צו דורכפירן זייַן אַקטיוויטעטן, די אָרגאַניזאַציע דאַרף וויסן וואָס אינפֿאָרמאַציע אַסעץ זי האט צו זיין באַזייַטיקונג.
An ינוואַנטאָרי פון אינפֿאָרמאַציע אַסעץ (IA) איז אַ רשימה פון אַלץ וואָס אַן אָרגאַניזאַציע סטאָרז, פּראַסעסאַז אָדער טראַנסמיטטעד. עס אויך כולל אָרט און זיכערהייט קאָנטראָלס פֿאַר יעדער נומער. דער ציל איז צו ידענטיפיצירן יעדער שטיק פון דאַטן. איר קענען טראַכטן פון עס ווי די פינאַנציעל אַקאַונטינג עקוויוואַלענט פֿאַר דאַטן שוץ.
אַ IA קענען זיין געוויינט צו ידענטיפיצירן גאַפּס אין דיין זיכערהייט פּראָגראַם און מיטטיילן סייבער ריזיקירן אַסעסמאַנץ ווו איר קען האָבן וואַלנעראַביליטיז וואָס קען פירן צו אַ ברעכן. עס קענען אויך זיין געוויינט ווי זאָגן בעשאַס העסקעם אַדאַץ אַז איר האָט דורכגעקאָכט רעכט דיליץ צו ידענטיפיצירן דיין שפּירעוודיק דאַטן, וואָס העלפּס איר ויסמיידן פינעס און פּענאַלטיז.
די ינוואַנטאָרי פון אינפֿאָרמאַציע אַסעץ זאָל אויך אַרייַננעמען דעטאַילס פון ווער אָונז יעדער אַסעט און ווער מאַנידזשיז עס. עס זאָל אויך אַרייַננעמען אינפֿאָרמאַציע וועגן די ווערט פון יעדער נומער אין די ינוואַנטאָרי און ווי קריטיש עס איז צו די הצלחה פון די געשעפט אַפּעריישאַנז פון דער אָרגאַניזאַציע.
עס איז וויכטיק אַז ינוואַנטאָריעס זענען ופּדאַטעד אַזוי אַז זיי פאַרטראַכטנ זיך ענדערונגען אין דער אָרגאַניזאַציע.
מיר זענען פּרייַז-עפעקטיוו און שנעל
אינפֿאָרמאַציע אַסעט פאַרוואַלטונג האט אַ לאַנג געשיכטע אין געשעפט קאַנטיניויישאַן פּלאַנירונג (BCP), ומגליק אָפּזוך (DR) און ינסידענט ענטפער פּלאַנירונג.
דער ערשטער שריט אין קיין פון די פּראַסעסאַז ינוואַלווז ידענטיפיצירן קריטיש סיסטעמען, נעטוואָרקס, דאַטאַבייסיז, אַפּלאַקיישאַנז, דאַטן פלאָוז און אנדערע קאַמפּאָונאַנץ וואָס דאַרפֿן שוץ. אויב איר טאָן ניט וויסן וואָס דאַרף פּראַטעקטינג אָדער ווו עס ריזיידז, איר קענען נישט פּלאַן ווי צו באַשיצן עס!
קאָנטראָלס זענען קלאַסאַפייד מיט אַטריביוץ. ניצן די, איר קענען געשווינד גלייַכן דיין קאָנטראָל סעלעקציע מיט קאַמאַנלי געוויינט ינדאַסטרי טערמינען און ספּעסאַפאַקיישאַנז.
דער טיש קאַמפּלאַמאַנץ אַרבעט וואָס פילע קאַסטאַמערז איצט פירן ווי אַ טייל פון זייער ריזיקירן אַסעסמאַנט און SOA דורך ידענטיפיצירן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, און אַוויילאַבילאַטי - און אנדערע סיבות. אין קאָנטראָל 5.9, די אַטריביוץ זענען:
קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
---|---|---|---|---|
# פּרעווענטיוו | # קאַנפאַדענשיאַלאַטי # אָרנטלעכקייַט # אַוואַילאַביליטי | # אידענטיפיצירן | # אַסעץ פאַרוואַלטונג | #גאַווערנאַנס און יקאָוסיסטאַם # שוץ |
דער ציל פון דעם קאָנטראָל איז צו ידענטיפיצירן די אינפֿאָרמאַציע פון דער אָרגאַניזאַציע און אנדערע פֿאַרבונדן אַסעץ אין סדר צו ופהיטן זייער אינפֿאָרמאַציע זיכערהייט און באַשטימען צונעמען אָונערשיפּ.
קאָנטראָל 5.9 קאָווערס די קאָנטראָל, ציל און ימפּלאַמענטיישאַן גיידאַנס פֿאַר קריייטינג אַן ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אין לויט מיט די ISMS פריימווערק ווי דיפיינד דורך ISO 27001.
די קאָנטראָל דאַרף נעמען אַן ינוואַנטאָרי פון אַלע אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, קלאַסאַפייינג זיי אין פאַרשידענע קאַטעגאָריעס, ידענטיפיצירן זייער אָונערז און דאַקיומענטינג די קאָנטראָלס וואָס זענען אָדער זאָל זיין אין פּלאַץ.
דאָס איז אַ קריטיש שריט צו ענשור אַז אַלע אינפֿאָרמאַציע אַסעץ זענען אַדאַקוואַטלי פּראָטעקטעד.
מיר געבן איר אַ 81% כעדסטאַרט
פון דעם מאָמענט איר קלאָץ אין
ספר דיין דעמאָ
מיר זענען אַזוי צופרידן אַז מיר געפֿונען דעם לייזונג, עס געמאכט אַלץ פּאַסיק צוזאַמען.
צו טרעפן די רעקווירעמענץ פֿאַר די נייַע ISO 27002:2022, איר דאַרפֿן צו ידענטיפיצירן די אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אין דיין אָרגאַניזאַציע. דערנאָך איר זאָל באַשליסן די וויכטיקייט פון די זאכן אין טערמינען פון אינפֿאָרמאַציע זיכערהייט. אויב צונעמען, דאַקיומענטיישאַן זאָל זיין מיינטיינד אין דעדאַקייטאַד אָדער יגזיסטינג ינוואַנטאָריעס.
דער צוגאַנג צו אַנטוויקלען אַן ינוואַנטאָרי וועט בייַטן דיפּענדינג אויף די גרייס און קאַמפּלעקסיטי פון אַן אָרגאַניזאַציע, זיין יגזיסטינג קאָנטראָלס און פּאַלאַסיז און די טייפּס פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ וואָס עס ניצט.
לויט קאָנטראָל 5.9, די ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זאָל זיין פּינטלעך, דערהייַנטיקט, קאָנסיסטענט און אַליינד מיט אנדערע ינוואַנטאָריעס. אָפּציעס פֿאַר ינשורינג די אַקיעראַסי פון אַן ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ אַרייַננעמען:
a) קאַנדאַקטינג רעגולער באריכטן פון יידענאַפייד אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ קעגן די אַסעט ינוואַנטאָרי;
b) אויטאָמאַטיש ענפאָרסינג אַן ינוואַנטאָרי דערהייַנטיקן אין דעם פּראָצעס פון ינסטאָלינג, טשאַנגינג אָדער רימוווינג אַ אַסעט.
דער אָרט פון אַ אַסעט זאָל זיין אַרייַנגערעכנט אין די ינוואַנטאָרי ווי צונעמען.
עטלעכע אָרגאַנאַזיישאַנז קען דאַרפֿן צו האַלטן עטלעכע ינוואַנטאָריעס פֿאַר פאַרשידענע צוועקן. פֿאַר בייַשפּיל, עטלעכע אָרגאַנאַזיישאַנז האָבן דעדאַקייטאַד ינוואַנטאָריעס פֿאַר ווייכווארג לייסאַנסיז אָדער פֿאַר גשמיות ויסריכט אַזאַ ווי לאַפּטאַפּס און טאַבלאַץ.
אנדערע קען האָבן אַ איין ינוואַנטאָרי וואָס כולל אַלע גשמיות ויסריכט, אַרייַנגערעכנט נעץ דעוויסעס אַזאַ ווי ראָוטערס און סוויטשיז. עס איז וויכטיק אַז אַזאַ ינוואַנטאָריעס זענען קעסיידער ריוויוד צו ענשור אַז זיי זענען ופּדאַטעד אַזוי אַז זיי קענען זיין געוויינט צו אַרוישעלפן מיט risk management אַקטיוויטעטן.
מער אינפֿאָרמאַציע וועגן טרעפן די רעקווירעמענץ פֿאַר קאָנטראָל 5.9 קענען זיין געפֿונען אין די נייַע ISO 27002:2022 דאָקומענט.
אין יסאָ 27002: 2022, 57 קאָנטראָלס פון יסאָ 27002: 2013 זענען צונויפגיסן אין 24 קאָנטראָלס. אַזוי איר וועט ניט געפֿינען קאָנטראָל 5.9 ווי ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ אין די 2013 ווערסיע. אלא אין די 2022 ווערסיע, עס איז אַ קאָמבינאַציע פון קאָנטראָל 8.1.1 ינוואַנטאָרי פון אַסעץ און קאָנטראָל 8.1.2 אָונערשיפּ פון אַסעץ.
די כוונה פון קאָנטראָל 8.1.1 ינוואַנטאָרי פון אַסעץ איז צו ענשור אַז אַלע אינפֿאָרמאַציע אַסעץ זענען יידענאַפייד, דאַקיומענטאַד און קעסיידער ריוויוד, און צונעמען פּראַסעסאַז און פּראָוסידזשערז זענען אין פּלאַץ צו מאַכן זיכער אַז די ינוואַנטאָרי איז זיכער.
קאָנטראָל 8.1.2 אָונערשיפּ פון אַסעץ איז פאַראַנטוואָרטלעך פֿאַר ינשורינג אַז אַלע אינפֿאָרמאַציע אַסעץ אונטער זייער קאָנטראָל זענען רעכט יידענאַפייד און אָונד. וויסן ווער אָונז וואָס קענען העלפֿן איר באַשליסן וואָס אַסעץ איר דאַרפֿן צו באַשיצן, און צו וועמען איר דאַרפֿן צו האַלטן פאַראַנטוואָרטלעך.
בשעת ביידע קאָנטראָלס אין ISO 27002:2013 זענען ענלעך צו קאָנטראָל 5.9 אין ISO 27002:2022, די יענער איז בראָדאַנד צו לאָזן אַ מער באַניצער-פרייַנדלעך ינטערפּריטיישאַן. פֿאַר בייַשפּיל, די ימפּלאַמענטיישאַן גיידאַנס פֿאַר אָונערשיפּ פון אַסעץ אין קאָנטראָל 8.1.2 שטאַטן אַז די אַסעט באַזיצער זאָל:
a) ענשור אַז אַסעץ זענען ינוואַנטאָרי;
b) ענשור אַז אַסעץ זענען אַפּראָופּרייטלי קלאַסאַפייד און פּראָטעקטעד;
c) דעפינירן און פּיריאַדיקלי אָפּשאַצן אַקסעס ריסטריקשאַנז און קלאַסאַפאַקיישאַנז צו וויכטיק אַסעץ, גענומען אין חשבון אָנווענדלעך אַקסעס קאָנטראָל פּאַלאַסיז;
d) ענשור געהעריק האַנדלינג ווען די אַסעט איז אויסגעמעקט אָדער חרובֿ.
די 4 פונקטן זענען יקספּאַנדיד אין 9 פונקטן אין די אָונערשיפּ אָפּטיילונג פון קאָנטראָל 5.9.
די אַסעט באַזיצער זאָל זיין פאַראַנטוואָרטלעך פֿאַר די געהעריק פאַרוואַלטונג פון אַ אַסעט איבער די גאנצע אַסעט לעבן ציקל, ינשורינג אַז:
a) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זענען ינוואַנטאָריעד;
b) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ זענען אַפּראָופּרייטלי קלאַסאַפייד און פּראָטעקטעד;
c) די קלאַסאַפאַקיישאַן איז ריוויוד פּיריאַדיקלי;
d) קאַמפּאָונאַנץ וואָס שטיצן טעכנאָלאָגיע אַסעץ זענען ליסטעד און לינגקט, אַזאַ ווי דאַטאַבייס, סטאָרידזש, ווייכווארג קאַמפּאָונאַנץ און סאַב-קאָמפּאָנענטס;
e) רעקווירעמענץ פֿאַר די פּאַסיק נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ (זען 5.10) זענען געגרינדעט;
f) אַקסעס ריסטריקשאַנז שטימען מיט די קלאַסאַפאַקיישאַן און אַז זיי זענען עפעקטיוו און זענען ריוויוד פּיריאַדיקלי;
g) אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ, ווען אויסגעמעקט אָדער דיספּאָוזד, זענען כאַנדאַלד אין אַ זיכער שטייגער און אַוועקגענומען פון די ינוואַנטאָרי;
h) זיי זענען ינוואַלווד אין די לעגיטימאַציע און פאַרוואַלטונג פון ריסקס פֿאַרבונדן מיט זייער אַסעט (s);
i) זיי שטיצן פּערסאַנעל וואס האָבן די ראָלעס און ריספּאַנסאַבילאַטיז פון אָנפירונג זייער אינפֿאָרמאַציע.
צונויפגיסן די צוויי קאָנטראָלס צו פאָרעם איינער אַלאַוז פֿאַר בעסער פארשטאנד דורך די באַניצער.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
זינט מיגרייטינג מיר האָבן שוין קענען צו רעדוצירן די צייט פארבראכט אויף אַדמיניסטראַציע.
די לעצטע ISO 27002 מאָדיפיקאַטיאָנס האָבן קיין ווירקונג אויף דיין קראַנט סערטאַפאַקיישאַן קעגן ISO 27001 סטאַנדאַרדס. ISO 27001 אַפּגריידז זענען די בלויז אָנעס וואָס האָבן אַ השפּעה אויף יגזיסטינג סערטאַפאַקיישאַנז, און אַקרעדיטינג ללבער וועט מיטאַרבעטן מיט די סערטאַפייינג ללבער צו אַנטוויקלען אַ יבערגאַנג ציקל וואָס וועט צושטעלן אָרגאַנאַזיישאַנז מיט ISO 27001 סערטיפיקאַץ גענוג צייט צו אַריבערפירן פון איין ווערסיע צו אנדערן.
דערנאָך, די פאלגענדע סטעפּס זאָל זיין נאכגעגאנגען צו טרעפן די ריווייזד ווערסיע:
נייַע בעסטער פּראַקטיסיז און קוואַלאַטיז פֿאַר קאָנטראָל סעלעקציע וועט זיין בארעכטיגט בעשאַס די יבערגאַנג צייט צו די נייַע נאָרמאַל, וואָס וועט לאָזן אַ מער עפעקטיוו און עפעקטיוו סעלעקציע פּראָצעס.
ווייַל פון דעם, איר זאָל פאָרזעצן צו נוצן אַ ריזיקירן-באזירט צוגאַנג צו ענשור אַז בלויז די די מערסט באַטייַטיק און עפעקטיוו קאָנטראָלס זענען אויסדערוויילט פֿאַר דיין געשעפט.
דו קענסט ניצן ISMS.online צו פירן דיין ISO 27002 ימפּלאַמענטיישאַן, ווייַל עס איז דיזיינד ספּאַסיפיקלי צו אַרוישעלפן אַ פירמע אין ימפּלאַמענינג זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) צו טרעפן די רעקווירעמענץ פון ISO 27002.
די פּלאַטפאָרמע ניצט אַ ריזיקירן-באזירט צוגאַנג קאַמביינד מיט ינדאַסטרי לידינג בעסטער פּראַקטיסיז און טעמפּלאַטעס צו העלפֿן איר ידענטיפיצירן די ריסקס פון דיין אָרגאַניזאַציע און די קאָנטראָלס וואָס זענען דארף צו פירן די ריסקס. דאָס אַלאַוז איר צו סיסטאַמאַטיקלי רעדוצירן דיין ריזיקירן ויסשטעלן און דיין העסקעם קאָס.
ניצן ISMS.online איר קענען:
די ISMS.online פּלאַטפאָרמע איז באזירט אויף Plan-Do-Check-Act (PDCA), אַן יטעראַטיוו פיר-שריט פּראָצעס פֿאַר קעסיידערדיק פֿאַרבעסערונג, און עס אַדרעסז אַלע די רעקווירעמענץ פון ISO 27002:2022. עס איז אַ פּשוט ענין פון קריייטינג אַ פריי פּראָצעס חשבון און נאָכגיין די סטעפּס מיר צושטעלן.
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
5.7 | נייַ | סאַקאָנע סייכל |
5.23 | נייַ | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
5.30 | נייַ | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
8.9 | נייַ | קאָנפיגוראַטיאָן פאַרוואַלטונג |
8.10 | נייַ | אינפֿאָרמאַציע דילישאַן |
8.11 | נייַ | דאַטאַ מאַסקינג |
8.12 | נייַ | פאַרהיטונג פון דאַטן ליקאַדזש |
8.16 | נייַ | מאָניטאָרינג אַקטיוויטעטן |
8.23 | נייַ | וועב פֿילטרירונג |
8.28 | נייַ | זיכער קאָדירונג |
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
6.1 | 07.1.1 | זיפּונג |
6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
6.7 | 06.2.2 | ווייַט ארבעטן |
6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
---|---|---|
7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
7.11 | 11.2.2 | שטיצן יוטילאַטיז |
7.12 | 11.2.3 | קאַבלע זיכערהייַט |
7.13 | 11.2.4 | ויסריכט וישאַלט |
7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |