Annex A הוא נספח הבקרות של תקן ISO/IEC 27001:2022. הוא כולל רשימה של בקרות אבטחת מידע שארגונים יכולים לבחור ליישם בהתאם לסיכונים, לצרכים העסקיים, לדרישות רגולטוריות ולחובות חוזיות.
בגרסת 2022 Annex A כולל 93 בקרות, המחולקות לארבע קבוצות מרכזיות:
- בקרות ארגוניות
- בקרות הקשורות לאנשים
- בקרות פיזיות
- בקרות טכנולוגיות
חשוב להבין כי Annex A אינו רשימת דרישות שחובה ליישם במלואה בכל ארגון.
הבחירה בבקרות צריכה להתבסס על תהליך מסודר של הערכת סיכונים וטיפול בסיכונים.

ארבעת הקבוצות המרכזיות של בקרות ב-ANNEX A
בקרות ארגוניות
הבקרות הארגוניות עוסקות באופן שבו הארגון מנהל את אבטחת המידע ברמת המדיניות, האחריות, התהליכים והפיקוח. הן כוללות, בין היתר, הגדרת תפקידים וסמכויות, ניהול סיכונים, ניהול ספקים, טיפול באירועי אבטחת מידע, שמירה על רציפות עסקית, עמידה בדרישות חוקיות ורגולטוריות וניהול נכסי מידע. מטרתן ליצור מסגרת ניהולית ברורה שמבטיחה שאבטחת מידע אינה נשענת רק על פתרונות טכנולוגיים, אלא משולבת בקבלת ההחלטות ובפעילות השוטפת של הארגון.
בקרות הקשורות לאנשים
הבקרות הקשורות לאנשים מתמקדות בגורם האנושי לאורך כל מחזור ההעסקה. הן כוללות בדיקות רקע, הגדרת חובות וסודיות, הדרכות מודעות, ניהול הרשאות בהתאם לתפקיד, טיפול בשינויי תפקיד וסיום העסקה, וכן התייחסות לעבודה מרחוק ולדיווח על אירועי אבטחה. המטרה היא לצמצם סיכונים הנובעים מטעות אנוש, חוסר מודעות, שימוש לא נכון בהרשאות או ניצול לרעה של גישה למידע ולמערכות.
בקרות פיזיות
הבקרות הפיזיות נועדו להגן על אתרים, מתקנים, חדרי שרתים, ציוד ומידע מפני גישה בלתי מורשית, נזק, גניבה או הפרעה לפעילות. הן כוללות בקרת כניסה, אבטחת אזורים רגישים, פיקוח על מבקרים, הגנה על ציוד, ניהול מדיה, אבטחת תשתיות חשמל ותקשורת והיערכות לאיומים סביבתיים. גם בעידן הענן, לבקרות פיזיות יש חשיבות רבה משום שהן מגינות על נקודות הגישה, הציוד המקומי והתשתיות שעליהן נשענת הפעילות הארגונית.
בקרות טכנולוגיות
הבקרות הטכנולוגיות עוסקות בהגנה הישירה על מערכות, רשתות, יישומים ומידע. הן כוללות ניהול זהויות והרשאות, הצפנה, גיבויים, הגנה מפני נוזקות, ניהול חולשות, ניטור ותיעוד, אבטחת רשתות, פיתוח מאובטח, מניעת דלף מידע וניהול תצורה. מטרתן לצמצם את הסיכון לפגיעה בסודיות, בשלמות ובזמינות המידע, תוך התאמה לאיומים, למערכות ולצרכים העסקיים של הארגון.

מה הקשר בין Annex A ל-Statement of Applicability?
אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע הוא ה-Statement of Applicability, או בקיצור SoA.
במסמך זה הארגון נדרש להציג:
- אילו בקרות מ-Annex A רלוונטיות עבורו
- אילו בקרות נבחרו ליישום
- מהו סטטוס היישום של כל בקרה
- מדוע בקרה מסוימת נכללה או הוחרגה
- היכן נמצאות הראיות ליישום
ה-SoA יוצר חיבור בין סקר הסיכונים, תוכנית הטיפול בסיכונים והבקרות המיושמות בפועל.
למה Annex A חשוב לארגון?
Annex A מספק מסגרת רחבה לניהול סיכוני אבטחת מידע. בין הנושאים שהוא מכסה ניתן למצוא:
- ניהול הרשאות וזהויות
- אבטחת ספקים ושרשרת אספקה
- אבטחת שירותי ענן
- טיפול באירועי אבטחת מידע
- גיבויים והתאוששות
- הגנה מפני דלף מידע
- אבטחת פיתוח ויישומים
- ניהול תצורה ושינויים
- מודעות והדרכות עובדים
- אבטחה פיזית
- ניטור, תיעוד ובקרה
היתרון המרכזי של Annex A הוא בכך שהוא מאפשר לארגון לבנות מערך בקרות מותאם לסיכונים שלו, במקום להסתמך על רשימת פתרונות כללית.

הטעות הנפוצה: להתייחס ל-Annex A כאל Checklist
ארגונים רבים מנסים ליישם את Annex A כרשימת סימון טכנית. גישה זו עלולה ליצור כמות גדולה של מסמכים ונהלים, ללא הוכחה שהבקרות אכן מפחיתות סיכון.
ביקורת אפקטיבית תבחן לא רק האם קיימת מדיניות, אלא גם:
- האם הבקרה מיושמת בפועל
- האם קיימות ראיות תפעוליות
- האם הבקרה מתאימה לסיכון
- האם נמדדת האפקטיביות שלה
- האם מתבצע שיפור בעקבות אירועים, חריגות וממצאי ביקורת
Annex A אינו רק הכנה לביקורת
Annex A הוא כלי מרכזי בתקן ISO 27001, אך הוא אינו עומד בפני עצמו. הערך האמיתי שלו נוצר כאשר הארגון מחבר בין סיכונים, בקרות, אחריות, מדדים וראיות ליישום.
ארגון שמנהל את Annex A בצורה נכונה אינו רק מתכונן לביקורת – הוא בונה מערכת אבטחת מידע מסודרת, ניתנת למדידה ומותאמת למציאות העסקית שלו.

כיצד אינפוגארד יכולה לסייע?
אינפוגארד מסייעת לארגונים בביצוע תקינה ורגולציה, הסמכה לתקני ISO, ביצוע Gap Assessment, עדכון סקר סיכונים, בניית Statement of Applicability, בחינת אפקטיביות בקרות והכנה למבדקי ISO/IEC 27001:2022.
מידע נוסף במאמרים הבאים:
ISO 27001 בשנת 2026 – כל העדכונים והשינויים
Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?


