כיצד להעריך אולפני משחקים וספקי תוכן באמצעות בקרות ISO 27001

משטח ההתקפה הנסתר בהפקת משחקים במיקור חוץ

הפקת משחקים במיקור חוץ יוצרת מנוף יצירתי עצום, אך כל סטודיו, כלי וספק תוכן חיצוניים מרחיבים בשקט את משטח ההתקפה שלכם, לכן אתם זקוקים לדרך ריאליסטית לראות ולתעדף את הסיכון הנוסף הזה. מפה ברורה של מי נוגע באילו נכסים, דרך אילו כלים וסביבות, מאפשרת לכם למקד את זמנכם המוגבל בקשרים שעלולים לפגוע בפועל במותג, בהכנסות או בתאימות שלכם.

אם אתם בעלי אבטחה, הפקה או ניהול ספקים עבור אולפן משחקים או מוציא לאור, ספר זה נכתב עבורכם. הוא מציע הנחיות כלליות, לא ייעוץ משפטי או רגולטורי; על הארגון שלכם לקבל ייעוץ מקצועי מוסמך לפני קבלת החלטות תאימות. הגישה משקפת דפוסים ש-ISMS.online ראה בעת סיוע לצוותים לבנות תוכניות ספקים תואמות ISO 27001 על פני אולפנים וספקי שירותים מרובים.

מיקור חוץ באמת עובד רק כאשר אמון עובר עם כל נכס ובנייה.

מפה כל נקודת מגע עם ספק

לא ניתן לנהל סיכוני אבטחה מצד אולפני משחקים וספקי תוכן עד שתוכלו לראות כל מקום בו הם נוגעים בקוד, בתוכן ובנתונים שלכם, מה שאומר ללכת הרבה מעבר לשמות חוזים ולמפות זרימות עבודה אמיתיות: מי רואה אילו נכסים, דרך אילו כלים וסביבות, ובאילו מיקומים.

התחילו בשרטוט מפה כנה לחלוטין של שרשרת האספקה האמיתית שלכם. רשמו כל אולפן פיתוח משותף, בית פורט, ספק אמנות ואודיו, ספק אבטחת איכות, פלטפורמת backend או לייב-אפס, כלי אנליטיקה ובית לוקליזציה שקשורים לאחד מ:

קוד מקור או ענפי מנוע של המשחק
בניית מערכות, ערכות פיתוח וכלים פנימיים
נכסי אמנות, קולנוע, סיפור או שיווק שלא פורסמו
סביבות בדיקה עם נתוני שחקן או חשבון בדיקה
שירותי הפקה כגון שידוכים, טלמטריה, תשלומים, נתוני אנטי-רמאות או תמיכת לקוחות

עבור כל מערכת יחסים, תעדו את מה שהם יכולים לראות או לשנות, לא רק את האופן שבו הם מתארים את עבודתם בחוזה. בית אמנות קטן עם גישה לרשת פרטית וירטואלית לתוך בקרת המקור הפנימית שלכם עשוי להוות סיכון רב יותר מספק ענן גדול שבו אתם צורכים רק שירות מנוהל צר.

ויזואלי: תרשים פשוט עם הסטודיו המרכזי שלכם במרכז ו"חישורים" של הספקים המסומנים לפי מה שהם יכולים לראות או לשנות.

דירוג ספקים לפי השפעה ואי ודאות

לאחר שמיפו את מי שנוגע במשחקים שלכם, תקן ISO 27001 עובד בצורה הטובה ביותר כאשר מדרגים את האולפנים והספקים הללו לפי השפעה וחוסר ודאות, כך שתוכלו למקד הערכה מעמיקה יותר היכן שהיא תפחית בפועל את הסיכון. תצוגה פשוטה ומשותפת של ספקים בעלי השפעה גבוהה, השפעה נמוכה וספקים שאינם מובנים היטב שימושית יותר מרשימה ארוכה ושטוחה.

הרצו סקיצת איומים מהירה מול המפה שלכם. שאלו היכן סביר להניח שדליפה, השתלטות על חשבון או פגיעה בצינור יתחילו, וכיצד הם יעברו דרך כלים, סניפים ואישורים משותפים. אינכם זקוקים לסדנת מידול איומים רשמית; אתם זקוקים להבנה משותפת מספקת שתסכים על נושאי האבטחה, הייצור, המשפט והרכש:

אילו ספקים הם בעלי השפעה גבוהה באמת
אשר בעלי השפעה נמוכה אך רבים
אילו מהם אף אחד לא מבין לגמרי

הקשר זה הוא מה ש-ISO 27001 ונספח A צריכים לתמוך בו. בלעדיו, כל רשימת בדיקה תהיה מוגזמת עבור הספקים הלא נכונים או עיוורת למקומות אליהם אתם חשופים ביותר. נספח A הופך אז לשפה המעשית והמשותף לדיון בסיכונים אלה עם צוותים פנימיים וסטודיואים חיצוניים.

אם אתם האדם שאחראי על אבטחת הספקים בסטודיו שלכם, התייחסו למיפוי ולדירוג הראשוניים הללו כאל ספר הפתרונות הבסיסי שלכם ורעננו אותם באופן קבוע ככל שפרויקטים, פלטפורמות ושותפים משתנים.

הזמן הדגמה

שימוש בנספח A של ISO 27001 כשפה משותפת עם אולפנים

תקן ISO 27001:2022 כולל את נספח א', קטלוג של תשעים ושלוש בקרות אבטחת מידע המקובצות לארבעה נושאים, אותם ניתן להפוך לשפה משותפת להערכת אולפני משחקים וספקי תוכן. אם תתייחסו לבקרות אלו כאל תפריט גמיש ולא לרשימת בדיקה נוקשה, תוכלו ליישר קו בין ציפיות פנימיות תחילה ולאחר מכן להרחיב אותן בצורה הוגנת למערכת האקולוגית של הספקים שלכם.

צוותים שיישמו בהצלחה את נספח A במשחקים בדרך כלל משלבים את מבנה התקן עם ניסיון תפעולי שנצבר בעמל רב. ISMS.online, לדוגמה, מסייע לאולפנים לתעד אילו בקרות רלוונטיות במערכת ניהול אבטחת המידע (ISMS) שלהם ולאחר מכן ליישם את ההחלטות הללו באופן עקבי על צוותים פנימיים וספקים.

התייחסו לנספח א' כאל תפריט גמיש, ולא לרשימת בדיקה נוקשה

נספח א' עובד בצורה הטובה ביותר כאשר מחליטים תחילה מה חשוב לכם באופן פנימי, מתעדים את הבקרות הרלוונטיות במערכת ה-ISMS ובהצהרת הישימות (SoA), ולאחר מכן מיישמים את קו הבסיס הזה באופן פרופורציונלי על אולפני משחקים וספקי תוכן במקום לכפות את כל תשעים ושלוש הבקרות על כל ספק. זה שומר על ההערכות ממוקדות בסיכונים אמיתיים וגורם לשיחות עם שותפים להרגיש פחות כמו סימון תיבות.

באופן פנימי, מקמו את נספח א' כתפריט לבחירה המבוסס על סיכון. אינכם מיישמים כל בקרה על כל ספק. במקום זאת, מערכת ה-ISMS שלכם מגדירה אילו בקרות רלוונטיות לעסק שלכם וכיצד הן מיושמות. בחירה זו נרשמת ב-SoA שלכם, שהופכת לעוגן שלכם להערכות ספקים.

אם החלטתם, לדוגמה, שבקרות על ניהול גישה, סיווג מידע, פיתוח מאובטח ויחסי ספקים נמצאות במסגרת הסביבה שלכם, הצעד הטבעי הבא הוא להרחיב את הציפיות הללו לאולפנים ולספקים שמתחברים לסביבה זו. זה שומר על עקביות בשיחות שלכם: מה שנחשב "מספיק טוב" בתוך הסטודיו שלכם חל, באופן יחסי, גם על הצוותים שעובדים לצידכם.

תרגם ערכות נושא של נספח א' לשפת המשחק המקורית

מפיקים, מובילי קריאייטיב ואולפנים קטנים יותר מגיבים הרבה יותר טוב כאשר ארבעת הנושאים של נספח א' - ארגוני, אנשים, פיזי וטכנולוגי - באים לידי ביטוי בשפה המשקפת הפקת משחקים אמיתית ועבודה בלייב-אופס, כך שמתרגמים אותם למונחים שמרגישים טבעיים בהקשר זה ומשתמשים ב-ISO 27001 פשוט כתקן התומך בציפיות אלה.

ארבעת הנושאים של נספח א' אינם משמעותיים במיוחד עבור רוב המפיקים או השותפים החיצוניים. אתם הופכים אותם לשימושיים על ידי תרגוםם לשפה שמרגישה טבעית בהפקת משחקים או בהקשר של לייב-אפס, ולאחר מכן שימוש בתקן ISO 27001 פשוט כתקן העומד מאחורי הציפיות הללו.

כדי להפוך את נספח א' לשימושי מחוץ לצוות האבטחה, יש לנסח מחדש את ארבעת הנושאים כך:

ארגוני: מדיניות, תפקידים, ניהול סיכונים וממשל ספקים
אנשים: בדיקות גיוס, הכשרה, סודיות ותהליכי משמעת
פיזי: אבטחת משרד וסטודיו, הגנת מכשירים, בקרת מבקרים
טכנולוגי: בקרת גישה, רישום, תצורה מאובטחת, פיתוח ותפעול

כשאתם מתדרכים על הייצור או מדברים עם ספקים, השתמשו במונחים אלה תחילה והזכירו את תקן ISO 27001:2022 כתקן המגבה אותם. בדרך זו, נספח A הופך לנקודת ייחוס ניטרלית במקום "מסגרת חיית המחמד של האבטחה" או סט נוסף אקראי של חישוקים שיש לדלג דרכם.

ככל שתצברו ביטחון בשפה משותפת זו, תוכלו להתחיל להשתמש בה כדי לתעדף אילו אזורי בקרה בנספח A צריכים להיות החשובים ביותר עבור סוגים שונים של ספקי משחקים, החל מאולפני פיתוח משותף ועד פלטפורמות backend.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

אזורי הבקרה של נספח א' החשובים ביותר עבור ספקי משחקים

לעיתים רחוקות אתם זקוקים לכל תשעים ושלושה בקרות נספח A כדי להעריך ביעילות אולפן משחקים או ספק; במקום זאת, אתם משתמשים במבנה של נספח A כדי להתמקד בתחומי הבקרה הקרובים ביותר לנכסים ולשירותים החיצוניים הקריטיים ביותר שלכם, כך שתוכלו לומר, לדוגמה, "מכיוון שאתם רואים תוכן שלא פורסם וענף X של המנוע שלנו, בקרות ספציפיות אלו חשובות ביותר".

נספח א' נותן לכם את המבנה; אתם בוחרים את החלקים שמתואמים לאופן שבו משחקים בנויים ומופעלים. אולפנים שעושים את השינוי הזה מגלים לעתים קרובות ששיחות עם ספקים הופכות ברורות יותר ופחות עוינות. במקום להתווכח על הסטנדרט כולו, אתם יכולים להתרכז במספר הקטן של בקרות שמתארות באמת איך נראה "מספיק טוב" עבור העבודה שכל שותף עושה עבורכם.

תעדוף נושאי בקרה סביב IP, שירותים חיים ונתונים

נכסי ושירותי המשחק בעלי הערך הגבוה ביותר שלכם צריכים להוביל את נושאי נספח A שאתם מעדיפים עבור אולפנים וספקים, כך שתתמקדו בבקרות לניהול ספקים, בקרת גישה, טיפול במידע רגיש, אבטחת פיתוח, ניטור פעולות ושמירה על תפקוד השירותים גם בעת אירועים בכל מקום בו ספקים מטפלים בקוד, תוכן או פעולות בזמן אמת.

התחומים החשובים ביותר בנספח א' עבור ספקי משחקים הם אלה הקרובים ביותר לנכסים הקריטיים שלכם. אלה כוללים בקרות לניהול ספקים, בקרת גישה, טיפול במידע רגיש, אבטחת פיתוח, ניטור פעולות ושמירה על תפקוד השירותים גם לאחר תקריות. התמהיל המדויק תלוי במה שכל ספק עושה עבורכם וכיצד הוא מתחבר לכלים ולשירותים שלכם.

ערכות נושא אופייניות בעדיפות גבוהה של Annex A עבור ספקי משחקים כוללות:

קשרי ספקים ושירותי ענן: – להגדיר דרישות אבטחה לספקים, לכלול אותן בחוזים ולנטר את הביצועים לאורך זמן.
בקרת גישה וניהול זהויות: – חשבונות ייחודיים, מינימום הרשאות, אימות חזק, תהליכי הצטרפות/מעבר/עזיבה וסקירות שוטפות של מערכות קריטיות.
סיווג וטיפול במידע: – כללים לתיוג, אחסון, העברה והשמדה של נכסים רגישים כגון תוכן שלא פורסם ונתוני שחקנים.
פיתוח וניהול שינויים מאובטחים: – ציפיות לגבי אופן כתיבת, סקירת, בדיקה וקידום קוד בין סביבות, כולל תורמים חיצוניים.
אבטחת תפעול, רישום וניטור: – הקשחה, שינויים מבוקרים ויומני רישום שנבדקים על מנת שניתן יהיה לזהות ולחקור שימוש לרעה או פגיעה.
המשכיות עסקית וניהול אירועים: – אחריות ברורה וספרי עבודה לגבי מה שקורה כאשר סביבת הספק נכשלת או נפרצה.

תשקללו את הנושאים הללו בצורה שונה עבור קטגוריות ספקים שונות. סטודיו לפיתוח משותף עם גישה מלאה לענפי מנועי פיתוח ראוי לבדיקה מעמיקה של פיתוח מאובטח ובקרת גישה, גם אם הם לעולם לא רואים נתוני ייצור. ספק ניתוח נתונים המעבד טלמטריה של שחקנים בענן דורש תשומת לב רבה יותר להגנה על נתונים, רישום ותגובה לאירועים.

התאמת ציפיות לפי רמת ספק וסוג

ברגע שתדעו אילו נושאי בקרה באמת חשובים וכיצד הם תואמים את הסיכונים הגדולים ביותר שלכם, תוכלו לתרגם אותם לציפיות קונקרטיות לפי רמת ספק וסוג, כך שאולפנים בעלי סיכון גבוה יעמדו בפני בדיקה מעמיקה יותר, בעוד שספקים קטנים יותר בעלי השפעה נמוכה יראו רף קל והוגן יותר. זה מונע עייפות הערכה וגורם לדרישות האבטחה שלכם להרגיש פרופורציונליות ושקופות ברחבי המערכת האקולוגית של משחקים במיקור חוץ.

לאחר שתבינו אילו נושאים של נספח א' תואמים את הסיכונים הגדולים ביותר שלכם, תוכלו לתרגם אותם לציפיות קונקרטיות עבור כל רמת ספק. כך תמנעו בזבוז זמן על ספקים בעלי השפעה נמוכה, תוך הבטחה שהשותפים הנוגעים בנכסים הרגישים ביותר שלכם יעמדו ברף גבוה וברור יותר.

קחו את הזמן לכתוב, בשפה פשוטה, אילו אזורי בקרה הם:

לא ניתן למשא ומתן: עבור כל שותף שנוגע ב-IP או בשחקנים שלך
חשוב לספקים בסיכון גבוה: , היכן שאתם מצפים ליישור חזק
"טוב שיש": היכן שהם קיימים אך אינם תנאי הכרחי

זה הופך לעמוד השדרה של רשימת הבדיקה להערכה ולעמדת המשא ומתן שלכם. כאשר סטודיו או ספק שירותים מבינים אילו בקרות חיוניות ומדוע, תוכלו לנהל שיחות פרודוקטיביות יותר על אופן פעולתם הנוכחית ומה עשוי להידרש להשתנות.

התייחסו למטריצת בקרה זו כאל מסמך חי. אם אתם אחראים על אבטחת הספקים או על אישור משפטי, חזרו אליה לפחות אחת לרבעון, שכן פלטפורמות חדשות, מודלים של מונטיזציה ותקנות משנים את פרופיל הסיכון של קטגוריות ספקים שונות.

הפיכת נספח א' לשאלון ספקים ורשימת תיוג

לאחר שתדעו אילו בקרות ISO 27001 חשובות ביותר, תזדקקו לדרך פשוטה וחוזרת על עצמה לשאול אולפני משחקים וספקי תוכן עליהן בשפה שהם יכולים לענות בכנות. שאלון ורשימת תיוג המותאמים לנספח א' הופכים יעדי בקרה מופשטים לשאלות קונקרטיות וראיות שאנשים שאינם מומחים יכולים לעבוד איתן.

צוותים שעושים זאת היטב בדרך כלל מתבססים על סט שאלות ליבה תמציתי שניתן להרחיב עבור ספקים בסיכון גבוה יותר. פלטפורמות כמו ISMS.online עוזרות לתקנן זאת לזרימות עבודה מובנות, כך שתשובות, ראיות וציונים יהיו עקביים וניתנים לביקורת על פני ספקים רבים.

עצבו סט שאלות פשוט, המותאם לנספח א'

שאלון טוב לאולפנים ולספקי תוכן מתחיל ממה שאתם רוצים שיהיה נכון, לאחר מכן עובד אחורה לפרקטיקה נצפית ולבסוף לשאלות שאנשים אמיתיים יכולים לענות עליהן, כך ששאלה תמציתית ומובנית המותאמת היטב לנושאי נספח א' ולקו הבסיס שלכם קלה יותר לספקים להשלים ולצוותים שלכם להשיג ציון ללא מעקבים אינסופיים או הבטחות מעורפלות.

סט שאלות תמציתי ומובנית קל יותר לספקים לענות עליו ולצוותים שלכם לקבל ציון. אתם מתחילים ממטרת הבקרה, חושבים על ראיות נצפות, ואז מנסחים את השאלות בשפה שמישהו בסטודיו או בספק יכול להבין ולענות עליה בכנות, גם אם הוא אינו מומחה אבטחה.

שיטה פשוטה עובדת היטב:

שלב 1: כתבו את מטרת הבקרה במילים שלכם

ציין את מה שאתה רוצה שיהיה נכון בשפה פשוטה. לדוגמה: "רק אנשים מורשים יכולים לגשת למאגרי המקורות שלנו, והגישה שלהם תואמת את תפקידם."

שלב 2: רשימת פרקטיקות או חפצים נצפים

זהה את סוגי ההוכחות שיעניקו לך ביטחון. מדיניות, תיאורי תהליכים, רשימות גישה, דיאגרמות ודוגמאות של יומני רישום - כולם שימושיים. אינך מנסה לבצע ביקורת מקיפה על הספק; אתה רק רוצה מספיק ראיות כדי לראות האם הנוהג שלו תואם את הציפיות שלך.

שלב 3: כתבו מספר שאלות ממוקדות

צרו שאלה אחת עד שלוש לכל בקרה שמישהו מהספק יוכל לענות עליה. שלבו שאלות סגורות עם תשובות מדורגות (לצורך ניקוד) ומספר קטן של שאלות פתוחות בהן אתם זקוקים להקשר. הימנעו מז'רגון: שאלו "מי יכול לאשר גישה לקוד שלנו?" במקום "תארו את מסגרת ניהול הגישה הפריבילגית שלכם".

קבצו שאלות לסעיפים התואמים את אופן החשיבה של הצוותים הפנימיים שלכם, כגון:

פרופיל החברה וממשלה
ניהול אבטחת מידע (מדיניות, סיכונים, תפקידים)
אבטחת אנשים ומשאבי אנוש
אבטחה פיזית ואבטחת סטודיו
בקרות טכניות (גישה, רישום, תצורה)
קוד ובניית אבטחת צינור
טיפול בתוכן וב-IP
הגנת מידע ופרטיות
תגובה לאירועים והמשכיות עסקית

הבהירו מראש שהסמכה מועילה אך אינה מספיקה. סטודיו ששולח לכם תעודה עדיין צריך להראות שהחלקים הרלוונטיים בהיקף העבודה שלו מכסים את העבודה שהוא יעשה עבורכם. לעומת זאת, ספק אמנות או אודיו קטן יותר ללא תעודה עדיין עשוי להחזיק בבקרות הגיוניות ופשוט להזדקק לשאלון קל וממוקד.

ספקי שכבות ובניית לוגיקת ניקוד ודילוג

לוגיקה של דילוגים וחלוקה לרמות מבטיחים שאתם מכבדים את זמנם של אנשים על ידי שאילת שאלות שרלוונטיות בפועל לתפקידו ולרמת הסיכון של הספק, ובכך שומרים על התהליך בר ביצוע גם כשהוא מתרחב, תוך יישום עקבי של עקרונות ISO 27001 על פני כל בסיס הסטודיואים והספקים שלכם.

אפילו שאלון כתוב היטב יכול להפוך לעבודה מיותרת אם כל ספק צריך לענות על כל שאלה. חלוקה לרמות וליגיון דילוגים שומרים על התהליך בר ביצוע ועוזרים לכם למקד את תשומת הלב במקום החשוב ביותר, תוך יישום עקבי של עקרונות ISO 27001.

כדי לשמור על תהליך פרופורציונלי:

הגדירו מראש שכבות ספקים (לדוגמה, קריטיות, חשובות וסיכון נמוך) בהתבסס על מיפוי משטחי ההתקפה הקודמים שלכם
להקצות לכל רמה עומק שונה של שאלות וראיות; ספקים בעלי סיכון נמוך עשויים לענות רק על קבוצה קצרה של שאלות ליבה
קידוד לוגיקת דילוג לתוך השאלון כך שספקים יוצגו רק שאלות שרלוונטיות למה שהם עושים בפועל עבורכם

לבסוף, הגדירו רובריקה פשוטה לניקוד כך שסוקרים שונים יפרשו את התשובות באופן עקבי. סולם של ארבע נקודות, מ"לא קיים" דרך "מתוכנן" ו"קיים חלקית" ועד "קיים, נבדק ומוכח" עובד היטב ומתיישב באופן טבעי עם המיקוד של נספח א' בבקרות מיושמות ויעילות.

כשתתחילו לסקור תשובות, תראו במהירות דפוסים הקשורים ישירות לאופן שבו ספקים מתחברים למנועי המחקר שלכם, בונים צינורות עבודה וזרימות עבודה של תוכן - וזה המקום שבו יש לעגן את נספח א' בפועל. אם אתם האחראים על ניהול התהליך הזה, התייחסו למחזור הראשון שלכם כפיילוט, שפרו את מערך השאלות והניקוד שלכם, ואז נעל אותו כספר הפעולות הסטנדרטי שלכם.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

החלת בקרות על מנועי פיתוח, צינורות בניה וזרימות עבודה של תוכן

נספח א' זוכה לאמון מצד מהנדסים וצוותי תוכן רק כאשר ניתן להראות כיצד הבקרות, המנוסחות באופן כללי, מעצבות את שיטות העבודה בעולם האמיתי במנועי המשחק, במאגרים, בצנרת הבנייה, בכלי התוכן ובסביבות הענן שבהם משתמשים האולפנים והספקים שלכם בפועל, על ידי תרגום ציפיות מופשטות לכללים קונקרטיים כיצד הם ניגשים, משנים ומארחים את הדברים שחשובים למשחקים שלכם.

נספח א' מתאר בקרות באופן כללי, אך הספקים שלכם נמצאים במנועי אחסון, מאגרים, צינורות בנייה, כלי תוכן וסביבות ענן. כדי להפוך את תקן ISO 27001 למשמעותי עבורם, עליכם לתרגם בקרות מופשטות לציפיות קונקרטיות לגבי האופן שבו הם ניגשים, משנים ומארחים את הדברים שחשובים למשחקים שלכם.

אולפנים שמנהלים את התרגום הזה היטב מתחילים לעתים קרובות בהתמקדות בכמה פרויקטים דגל ובשותפים בסיכון גבוה, ואז מכלילים את הדפוסים. ISMS.online יכול לעזור כאן על ידי קשירת הצהרות בקרה וראיות למערכות וזרימות עבודה ספציפיות במקום להשאיר אותן כטקסט מדיניות כללי.

מיפוי בקרות של נספח א' על גבי קוד וצינורות בנייה

עבור ספקים עם גישה לקוד ולמערכות הבנייה שלכם, בקרות נספח A צריכות להיקרא כמו היגיינה הנדסית הגיונית ולא בירוקרטיה חיצונית, תוך מיפוי ברור של שיטות עבודה יומיומיות במנועי הבנייה, הענפים וכלי הבנייה שבהם הם משתמשים, כך שתוכלו לראות זהויות ייחודיות, הפרדת תפקידים ברורה, בקרת שינויים מוגדרת ויומני רישום שיסייעו בפועל בחקירה.

עבור אולפני פיתוח משותף, שותפי פורט או ספקי כלים שמתחברים לבסיס הקוד ולמערכות הבנייה שלכם, בקרות נספח A מתאימות בצורה ברורה לפרקטיקות הנדסיות יומיומיות. על ידי ניסוח שאלות במונחים של מנועי פיתוח, ענפים וכלי בנייה, אתם מקלים על מובילים טכניים להבין מה נראה "מספיק טוב".

עבור צינורות קוד ובנייה, בדקו כיצד הפקדים מתיישבים עם שרשרת הכלים שלכם:

בקרת גישה וזהות: – חשבונות ייחודיים לכל אדם ושירות, אימות חזק והרשאות מבוססות תפקידים במאגרים, לוחות פרויקטים ומערכות בנייה
בקרת שינויים: – אסטרטגיות הסתעפות מוגדרות בבירור, דרישות סקירת קוד, הסתעפות מוגנות ואישורי בנייה ושחרור
תצורה מאובטחת: – סוכני בנייה מוקשים ומתוקנים, הגדרות סטנדרטיות של צינורות והסרת כלים ושירותים מיותרים
רישום וניטור: – רישומי גישה ופעולות מפתח במאגרים ובכלי בנייה, עם תהליך לסקירת פעילות חריגה
הַפרָדָה: – הפרדה ברורה בין סביבות פיתוח, בדיקה וייצור, ובין סביבות עבודה של ספקים לתשתית הליבה שלכם

כשאתם מעריכים ספק, בקשו ממנו להראות כיצד נהלים אלה חלים בכל מקום בו הם נוגעים בקוד או בצנרת שלכם. אתם לא מבקשים ממנו לעצב מחדש את הערימה שלו מאפס; אתם בודקים שהחלקים שמקיימים אינטראקציה עם הנכסים שלכם עומדים בקו בסיס מינימלי מוסכם.

התאם את אותה חשיבה לזרימות עבודה של תוכן וענן

צינורות תוכן וסביבות ענן טומנים בחובם סוגים שונים של סיכונים, אך אותם רעיונות בנספח א' עדיין רלוונטיים לאחר שמבטאים אותם במונחים של הכלים, המיקומים והאנשים המעורבים: זרימות עבודה נרחבות של אמנות, אודיו ולוקליזציה על פני מערכות ביתיות ושירותי שיתוף קבצים, וסיכון מרוכז בפלטפורמות ניתוח ותשתיות מבוססות ענן, שבהן תצורה וניטור חזקים חשובים ביותר.

צינורות תוכן וסביבות ענן מציגים סיכונים שונים אך קשורים. זרימות עבודה של אמנות, אודיו ולוקליזציה מתפרשות לעתים קרובות על פני כלים, הגדרות ביתיות ושירותי שיתוף קבצים, בעוד שפלטפורמות אנליטיקה ומערכות צד-שרת המתארחות בענן מרכזות את הסיכון במספר קטן יותר של מערכות חזקות. נספח א' עדיין חל; אתם פשוט מבטאים את אותם רעיונות בקרה בדרכים מעט שונות.

עבור זרימות עבודה של תוכן, התאם חשיבה דומה ל:

ספריות נכסים מפלחות עם גישה המבוססת על פרויקט ותפקיד
לשלוט באפשרויות הייצוא ולהשתמש בנכסים טרום-הפצה עם סימן מים או ערפול במידת האפשר.
דורשים כלי שיתוף פעולה מאושרים עם בקרות גישה כפויות במקום שיתוף קבצים אד-הוק או חשבונות ענן אישיים
קביעת כללים ברורים לעבודה מהבית, במיוחד סביב עותקים מקומיים, מכשירים משותפים ופרטיות סביבת עבודה פיזית

ענן מוסיף שכבה נוספת. אולפנים וספקי שירותים רבים יעבדו באופן עצמאי; חלקם עשויים לעבוד בסביבה שאתם מארחים עבורם. בכל מקרה, עליכם להיות מפורשים לגבי מי אחראי על:

הגדרת ניהול זהויות וגישה
בחירת אזורים ואפשרויות זמינות
הקשחה ותיקון של מכונות וירטואליות, קונטיינרים ושירותים מנוהלים
הגדרת רישום, שמירה והתראות

אתם לא מבצעים ביקורת על כל הערימה שלהם, אבל אתם צריכים מספיק ביטחון שהחלקים בסביבה שלהם שמטפלים בנכסים שלכם פועלים לפי קו הבסיס המוסכם של הבקרה. בפועל, זה מתורגם לשילוב של פריטי שאלון, ראיות ממוקדות (לדוגמה, צילום מסך אנונימי של הגדרות גישה) ועבור ספקים בסיכון גבוה יותר, הזכות לדון או לאמת הגדרות לעומק רב יותר.

ברגע שיהיו לכם ציפיות קונקרטיות לגבי האופן שבו בקרות חלות על כלים ותהליכי עבודה אמיתיים, תוכלו להיות הרבה יותר ספציפיים לגבי הראיות שאתם צריכים וכיצד אתם מדרגים אותן.

ראיות, ניקוד וממשל עבור סיכון סטודיו וספק

כשמעריכים אולפני משחקים וספקי תוכן, שאלונים ללא ראיות, ניקוד וממשל רק יוצרים ניירת; כדי להפוך את ההערכות המבוססות על נספח א' למשמעותיות, אתם זקוקים לציפיות ברורות מהראיות לפי רמות הספק, כללי ניקוד פשוטים ולולאת ממשל שהופכת תשובות להחלטות ולמעקב.

שאלון ללא ראיות הוא בסך הכל אוסף של טענות. כדי שההערכות שלכם, המבוססות על נספח א', יהיו משמעותיות, עליכם להיות ברורים לגבי מה שאתם מצפים מהספקים להראות לכם, כיצד אתם מדרגים את הראיות הללו וכיצד התוצאות ניזונות מהחלטות ממשלתיות אמיתיות לגבי עם מי אתם עובדים ובאילו תנאים.

אולפנים שמתייחסים לזה ברצינות בדרך כלל מגדירים סט מינימלי של ראיות לכל רמה ומסכימים מראש מה קורה כאשר הדירוג של ספק יורד מתחת לרף. זה מפחית ויכוחים מאוחר יותר וגורם לרכש, אבטחה ומשפט להרגיש כמו צוות אחד במקום שלושה שומרי סף מתחרים.

הגדר ציפיות לראיות לפי רמת ספק

ציפיות הראיות צריכות להתאים לסיכון, לכן אתם מבקשים יותר מספקים קריטיים המטפלים בקוד, שירותים חיים או נתוני שחקנים מאשר מספקים קטנים המטפלים בנכסים שטוחים, ואם אתם מתעדים את הציפיות הללו מראש, הספקים יודעים מה עומד לקרות והבודקים הפנימיים שלכם יישארו עקביים.

ציפיות לראיות צריכות להתאים לסיכון. אולפנים ביקורתיים וספקי שירותים חיים מצדיקים בדיקה מעמיקה יותר מספקים בעלי סיכון נמוך המטפלים רק בנכסי שיווק עם סימן מים. קביעת ציפיות מראש מקלה על חייהם של הספקים ומפחיתה ויכוחים בהמשך התהליך.

התחילו בהגדרת מיקוד מינימלי של ראיות לכל רמת ספק. לדוגמה:

ספקים קריטיים: – להדגים את היקף מערכות ה-ISMS שלהם, מדיניות בקרת גישה, גישת טיפול באירועים ואימות חזק במערכות מפתח.
ספקים חשובים אך לא קריטיים: – להסביר כיצד הם מנהלים את הגישה לנכסים שלכם, היכן מאוחסנים נכסים אלה ולאשר אמצעי הגנה בסיסיים כגון גיבויים.
ספקים בעלי סיכון נמוך: – תארו כיצד הם מאחסנים ומשתפים את הקבצים שלכם וציינו כל אישור או מדיניות קיימים שכבר חלים.

טבלה קומפקטית יכולה לעזור לכם להשוות רמות במבט חטוף. היא מסכמת את הציפיות המינימליות, לא כל מסמך אפשרי שאתם עשויים לראות.

רמת ספק	עבודה אופיינית	התמקדות מינימלית בראיות
קריטי	קוד, שירותים חיים, נתוני שחקנים	היקף ISMS, מדיניות, דיאגרמות, אירועים
חָשׁוּב	נכסים רגישים, כלים פנימיים	גישה, מיקומי אחסון, גיבויים
סיכון נמוך	חומרים שטוחים או דמויי חומרים ציבוריים	גישת אחסון ושיתוף

בקבלת החלטות יומיומיות, טבלה זו עוזרת לכם להסביר לבעלי העניין מדוע אתם מבקשים מספק קטן שתי תשובות קצרות, בעוד שאתם דורשים משותף פיתוח משותף גדול לשתף דיאגרמות, מדיניות ודוגמאות לאירועים.

שלבו ציוני שאלונים ורמת ביטחון בראיות למודל דירוג פשוט. תנו משקל רב יותר לבקרות במקרים בהם כשל יחשוף ישירות קוד מקור, תוכן שלא פורסם, שירותי הפקה או נתוני שחקנים. חשבו את רמת הסיכון הכוללת, אך התבוננו גם בדפוסים: ספק עם בקרות טכניות חזקות אך ללא תהליך תקריות עשוי להיות מקובל עם תנאים; ספק עם מדיניות טובה אך נוהלי גישה חלשים במאגרים עשוי להזדקק לתיקון זה לפני תחילת העבודה.

הפיכת דירוגים לניהול, תיקון והערכה מחדש

ציוני הערכה הופכים שימושיים רק כאשר הם מעצבים החלטות, לכן עליכם לקשור דירוגים לספים ברורים, תנאים ומעקב המגדירים מה משמעות הציונים השונים, כיצד אתם מטפלים בתוצאות של "ללכת עם התנאים" וכיצד ביצועי הספקים מזינים חוזים, החלטות פרויקטים ועבודה עתידית עבור המשחקים שאתם שולחים יחד.

הערכות חשובות רק אם הן מעצבות החלטות. ניהול ממשל הוא המקום שבו מגדירים את משמעות הציונים השונים, כיצד מטפלים בתוצאות של "ללכת עם התנאים" וכיצד ביצועי הספקים מזינים חוזים, החלטות פרויקטים ועבודה עתידית.

להחליט מראש:

אילו רמות סיכון מקובלות עבור אילו סוגי עבודה
מה המשמעות של "ללכת עם תנאים" בפועל, כגון הפעלת אימות רב-גורמי בבקרת מקור בתוך פרק זמן מוגדר או צמצום היקף הגישה לענפים ספציפיים
כיצד תוצאות משתלבות בסעיפי חוזה, כגון לוחות זמנים של אבטחה, רמות שירות, זכויות ביקורת וזכויות סיום
מי אחראי על מעקב אחר תיקון והערכה מחדש

שלבו נקודות בדיקה אלו במחזור חיי הספק שלכם: במהלך תהליך האיתור, כחלק מבקשות להצעות מחיר, לפני חתימת חוזה, באבני דרך מרכזיות בפרויקט ובחידוש. חזרו על הערכות מלאות בקצב מוגדר עבור ספקים קריטיים וכאשר משהו חשוב משתנה, כגון מעבר לפלטפורמה חדשה או הרחבה משמעותית של היקף הפרויקט.

אם תתייחסו לשלבים אלה כחלק קבוע מהאופן שבו אתם בוחרים ומנהלים אולפנים וספקים, ולא כתרגיל תאימות שנתי, הגישה שלכם המבוססת על נספח א' תרגיש הרבה יותר כמו תמיכה בהפקה מאשר מכשול בפניה. אם תפעילו תהליך זה מפלטפורמת ISMS ייעודית, תרוויחו גם יכולת מעקב כאשר מבקרים או חברי דירקטוריון שואלים כיצד החלטתם ששותף מסוים בטוח מספיק.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

עבודה עם שותפים "המותאמים ל-ISO 27001" ושיפור לאורך זמן

כאשר אולפן משחקים או ספק תוכן טוען שהוא "תואם לתקן ISO 27001", עליכם להתייחס לכך כאל איתות שימושי לבדיקה, ולא כפסק דין לקבלה או דחייה בפני עצמו, מכיוון שתווית זו יכולה לכסות כל דבר, החל מ-ISMS מנוהל היטב אך לא מאושר ועד לקומץ תבניות שאולות, ונספח א' עוזר לכם לתרגם את הטענה לפרקטיקה ניתנת לצפייה, ובמידת הצורך, לתוכנית שיפור ריאלית.

תפגשו ספקים רבים שאומרים שהם "עומדים בתקן ISO 27001" או "עובדים לקראת הסמכה". ביטויים אלה יכולים לכסות מגוון רחב, החל ממערכת ניהול מידע (ISMS) מנוהלת היטב אך לא מוסמכת ועד לקומץ תבניות שאולות ושיטות עבודה אד-הוק. נספח א' נותן לכם דרך לבחון את הטענות הללו באופן קונסטרוקטיבי ולהפוך אותן למפת דרכים לשיפור משותף במקום פשוט לעבור או להיכשל.

אולפנים וספקים שמשקיעים באמת בהתאמה בדרך כלל יקבלו בברכה שאלות ממוקדות וציפיות ברורות. אלו הנשענים על התווית כטקסט שיווקי יתקשו להסביר את היקף, הסיכונים ובחירות הבקרה במונחים מעשיים.

התייחסו ל"תואם לתקן ISO 27001" כנקודת התחלה, לא כפסק דין

"תואם לתקן ISO 27001" פירושו לעתים קרובות "אנחנו מבינים את התקן והתחלנו לעשות משהו", ולכן המטרה שלכם היא להבין איך זה נראה בפועל במערכות ובזרימות העבודה שייגעו במשחקים שלכם, ועד כמה הם קרובים לרמת הבקרה המובנית והמבוססת סיכונים שאתם מצפים לה.

כאשר סטודיו או ספק טוענים שהם תואמים לתקן ISO 27001, זה בדרך כלל סימן שהם מכירים בתקן ונקטו לפחות כמה צעדים לקראת אבטחה מובנית. תפקידכם הוא להבין מה המשמעות בפועל עבור המערכות וזרימות העבודה שייגעו בנכסים שלכם, ועד כמה הם קרובים לרמת השליטה שאתם מצפים לה.

התייחסו לטענות אלו כנקודת התחלה, לא כאישור. בקשו מהם להסביר, במונחים מעשיים:

מהו היקף אבטחת המידע שלהם
כיצד הם מזהים ומעריכים סיכונים
כיצד הם בוחרים ומיישמים בקרות
כיצד הם מנטרים בקרות ומשתפרים עם הזמן

לאחר מכן, השתמשו בשאלון המבוסס על נספח א' כדי לבדוק האם תשובות אלו משתקפות בשיטות העבודה שלהם עבור המערכות והתהליכים החשובים לכם. אם ישנם פערים בבקרות קריטיות, אינכם חייבים לעזוב מיד; תוכלו להסכים על תוכנית תיקון עם אבני דרך ריאליות ותנאים ברורים לעבודה שאתם נותנים להם.

השתמשו בממצאי נספח א' כדי לקדם תיקון ריאלי

נספח א' הוא החזק ביותר כאשר הוא מאפשר לכם לעבור מ"זה מרגיש חלש" ל"הנה בדיוק מה שצריך להשתנות, ומתי", כך שעל ידי קישור ממצאים לבקרות ספציפיות סביב גישה, טיפול באירועים או פיתוח, תוכלו להפוך חששות מעורפלים לשינויים ולוחות זמנים ספציפיים וניתנים למשא ומתן, המגנים על שני הצדדים ושומרים על עבודת המשחקים במיקור חוץ במסלול הנכון.

נספח א' עוזר לכם לעבור מדאגות מעורפלות לשינויים ספציפיים הניתנים למשא ומתן. במקום לומר "האבטחה שלכם חלשה", תוכלו לומר "אנו זקוקים לבקרת גישה חזקה יותר על מאגרי המקור שלכם" או "אנו זקוקים ליותר בהירות לגבי אופן התגובה שלכם לאירועים הקשורים לנתונים שלנו", ולקבוע ציפיות ולוחות זמנים מדידים.

כמו כן, תיתקלו בפשרות. חלק מהבקרות יהיו בלתי ניתנות למשא ומתן בכל מקום שבו נמצאים נתוני ה-IP או השחקן שלכם בסכנה, ללא קשר לגודל או לתקציב של הספק. אחרות ניתנות לפתרון באמצעות אמצעים מפצים, כגון היקף הדוק יותר, ניטור נוסף מצדכם או התחייבויות חוזיות מחמירות יותר. תעדו את ההחלטות הללו ובחנו אותן מחדש ככל שהתיאבון שלכם לסיכון, הסביבה הרגולטורית ונוף השותפים משתנים.

עם הזמן, תוכלו להשתמש בדפוסים מההערכות שלכם כדי לחדד את התוכנית שלכם. אספו את פערי הבקרה, השיפורים ונושאי האירועים הנפוצים ביותר בקרב הספקים שלכם. השתמשו בתובנות אלו כדי להתאים את קווי הבסיס שלכם, לעדכן שאלונים, לחדד את משקלי הניקוד ולעדכן את ההשקעות הפנימיות.

ככל שתתבגרו במחזור הזה, נספח א' יפסיק להיות רק רשימת בקרה ויהפוך למסגרת מעשית לשיפור מתמיד בכל המערכת האקולוגית של מיקור חוץ. אם אתם אחראים על אבטחת הספקים בארגון שלכם, התייחסו ללולאת שיפור זו כחלק מהתכנון השוטף של הצוות שלכם ולא כמחשבה שלאחר מעשה.

הזמן הדגמה עם ISMS.online עוד היום

ISMS.online עוזר לכם להפוך את כל ההנחיות הללו לתוכנית אבטחת ספקים מעשית, התואמת לתקן ISO 27001, שמתאימה לאופן שבו אולפני משחקים וספקי תוכן עובדים בפועל. כך שהערכת אולפני משחקים וספקי תוכן לפי ISO 27001:2022 הופכת פחות לאילוץ כל אחד לעבור את אותה ביקורת ויותר להפעלת תהליך עקבי מבוסס סיכונים, שמתחיל ממשטח התקיפה האמיתי שלכם במיקור חוץ, משתמש בנספח A כשפה משותפת ומיישם בקרות, ראיות וממשל פרופורציונליים על מערכות היחסים החשובות ביותר.

כאשר משלבים את כל החלקים הללו יחד, הערכת אולפני משחקים וספקי תוכן לפי תקן ISO 27001:2022 הופכת פחות לאילוץ כל אחד לעבור את אותה ביקורת ויותר לניהול תהליך עקבי מבוסס סיכונים. מתחילים ממשטח התקיפה האמיתי של מיקור החוץ, משתמשים בנספח A כשפה משותפת, ולאחר מכן מיישמים בקרות, ראיות וממשל פרופורציונליים על מערכות היחסים החשובות ביותר.

בניית תוכנית אבטחת ספקים מודעת למשחק, ניתנת לחזרה

תוכנית מעשית מעניקה לכם תמונה ברורה של הסיכון שלכם במיקור חוץ ודרך מובנית לקבלת החלטות, במקום ערימת שאלונים לא קשורים. משמעות הדבר היא מפה עדכנית ומודעת למשחק של הספקים שלכם, קווי בסיס בקרה המותאמים לנספח א' עבור שכבות שונות, ותהליך עבודה של הערכה שאנשים ברחבי הסטודיו שלכם יכולים להבין ולהשתמש בו.

בדרך כלל תכוונו שיהיה לכם:

מפה עדכנית ומודע למשחק של משטח ההתקפה החיצוני שלך
בסיס בקרה מתועד, המותאם לנספח א', עבור שכבות ספקים שונות
שאלון ורשימת בדיקה לראיות שאנשים שאינם מומחים יכולים למלא וסוקרים יכולים לתת ציון
מודל דירוג פשוט שהופך תשובות מפורטות להחלטות ברורות של "ללכת", "ללכת עם תנאים" או "לא ללכת"
לולאת ממשל המקשרת ממצאים לחוזים, תיקונים והערכה מחדש

צוותים רבים מנהלים את השלבים המוקדמים באמצעות גיליונות אלקטרוניים ותיקיות משותפות. תחזוקה זו הופכת במהירות לקשה ככל שמספר הספקים עולה, ההערכות חוזרות על עצמן ויש צורך לעשות שימוש חוזר בראיות לצורך ביקורות או דיווחים של הדירקטוריון. בשלב זה, פלטפורמת ISMS שכבר מבינה את ISO 27001 ותומכת בהערכות ספקים יכולה לחסוך הרבה עבודה ידנית ולספק לכם נתיב ביקורת עבור בעלי עניין פנימיים וחיצוניים.

התחילו בקטן, למדו מהר והפכו את אבטחת הספק לחלק מהאופן שבו אתם שולחים משחקים

אתם לא צריכים תהליך מושלם ברמה ארגונית מהיום הראשון; אתם צריכים משהו קטן, ממוקד וניתן לחזרה, שתוכלו לשפר. על ידי ניסוי הגישה שלכם עם כמה אולפנים וספקים בסיכון גבוה, תוכלו ללמוד במהירות ולבנות תמיכה פנימית לפני שאתם מתרחבים לשאר המערכת האקולוגית שלכם.

דרך פרקטית להתחיל היא:

סווגו את הספקים המובילים שלכם למספר רמות מבוססות סיכון
להפעיל סבב ראשון של הערכות המותאמות לנספח א' על הרשימה הקצרה הזו
כוונן את השאלון, ציפיות הראיות ומודל הניקוד בהתבסס על התוצאות

משם, תוכלו להרחיב בהדרגה את הגישה לספקים נוספים, לשלב נקודות ביקורת להערכה בתהליכי רכישה וחידוש, ולהדק את הקשרים בין תוצאות ההערכה להחלטות הייצור. ככל שתתייחסו לאבטחת הספקים כחלק מהאופן שבו אתם מתכננים, בונים ומפעילים משחקים - ולא כמשימת תאימות לאחר מעשה - כך ISO 27001 ירגיש טבעי יותר עבור הצוותים והשותפים שלכם.

בסופו של דבר, המטרה פשוטה: דרך אחת מובנית וחוזרת על עצמה להבין, להשוות ולשפר את מצב האבטחה של האולפנים והספקים שאתם סומכים עליהם כדי לספק ולהפעיל את המשחקים שלכם. כאשר משיגים זאת, ISO 27001 מפסיק להיות מכשול לעבור ויהפוך לחלק מהתשתית היצירתית המאפשרת לכם לבנות עולמות שאפתניים בביטחון.

אם אתם רוצים שאבטחת ספקים התואמת לתקן ISO 27001 תרגיש כחלק מתהליך הייצור שלכם ולא כנטל נוסף, בחרו ב-ISMS.online כשאתם זקוקים למבנה, נראות ומעקב ביקורת בכל הסטודיואים והספקים שלכם.

הזמן הדגמה

שאלות נפוצות

כיצד אוכל להסביר בשקופית אחת הערכות ספקים המבוססות על תקן ISO 27001 לבעלי עניין שאינם קשורים לאבטחה?

הסבר את הערכות הספקים המבוססות על ISO 27001 כ... דרך פשוטה להרחיק דליפות, הפסקות חשמל ובעיות נתונים מהמשחק שלך על ידי בחירת שותפים בטוחים יותר, לא כשיעור סטנדרטי.

עיגון הכל בשלושה סיכונים מוכרים

בעלי עניין שאינם בתחום הביטחוני כבר מודאגים מרשימה קצרה של תוצאות:

דליפות: – ביטים, מבנים או גרפיקה שלא פורסמו לפני ההשקה
הפסקות: – תאריכי השקה מועדים מועדים, שירותים חיים יורדים, ציוני ביקורות יורדים
בעיית נתונים: – שאלות קשות מצד פלטפורמות, לקוחות או רגולטורים לגבי אופן הטיפול בנתוני שחקנים

פתחו את השקופית שלכם בשורה אחת שקושרת את הסיכונים הללו יחד:

הערכת הספקים שלנו היא כיצד אנו מפחיתים את הסיכוי לדליפות, הפסקות חשמל ובעיות נתונים כשאנו עובדים עם שותפים.

כעת הגשתם לתקן ISO 27001 ככלי להגנה מהדורות, מוניטין והכנסות, וזה מה שכבר אכפת ליצרנים, לשיווק ולפיננסים.

תרגמו את נושאי ISO 27001 לארבע בדיקות יומיומיות

במקום להזכיר את נספח א' או מספרי הסעיפים, הציגו תצוגה זעירה של שתי עמודות שנשמעת כמו שפת סטודיו:

מה אנחנו בודקים	מה זה באמת אומר על המשחק הזה
מי יכול להיכנס	מי יכול לגעת במאגרים שלנו, לבנות מערכות, כלים ותוכן
כיצד מטפלים בעבודה	היכן מאוחסנים ומשתפים קבצים, צילומי מסך ומסמכים
כיצד מטפלים באירועים	באיזו מהירות שותפים מזהים, בולמים ומודיעים לנו על בעיות
כיצד מתנהגים הספקים שלהם	כיצד הם מנהלים את קבלני המשנה ושירותי הענן שלהם

לאחר מכן תוכל לומר:

השאלון שלנו מורכב מארבעת הרעיונות הללו, שהופכים לשאלות פשוטות ובדיקת ראיות מהירה עבור כל שותף.

עכשיו ה מערכת ניהול אבטחת מידע (ISMS) מאחורי הקלעים נראה כמו שכל ישר מובנה, לא פרויקט חביב.

הראו החלטה ברורה, לא את הצנרת

רוב המנהיגים רוצים לדעת שלושה דברים: האם נוכל להשתמש בשותף הזה? באילו תנאים? מה בכל זאת יכול להשתבש? השתמש בתצוגת רמזור פשוטה:

גרין: – בטוח להיקף זה
Amber: – ניתן לשימוש עם תנאים ברורים (לדוגמה: גישת קריאה בלבד, ניטור נוסף, אבני דרך לשיפור)
אדום: לא מתאים כרגע לעבודה כזו

מתחת לכל צבע, הוסף שורה קצרה אחת לכל ספק:

במה הם חזקים
מה עוד יכול להשתבש
מה אתה ממליץ (למשל "לשימוש לאמנות בלבד; אין גישה לקוד או לבנייה")

באופן זה, ההערכה שלך, התואמת לתקן ISO 27001, הופכת סיוע לקבלת החלטות המגן על שיגורים, לא רשימת בדיקה שמאטה אותם.

שימוש חוזר בוויזואליה יחידה עבור כל ישיבת היגוי

שקופית אחת נקייה משמאל לימין עובדת היטב:

תוצאה (דליפה / הפסקת חשמל / בעיית נתונים) → סיכון למשחק הזה או לשחקנים → מה אנחנו בודקים (מי נכנס, איך העבודה מטופלת, תקריות, הספקים שלהם) → 3-5 שאלות פשוטות לכל ספק → ירוק / ענבר / אדום + הצעדים הבאים

אם תנהלו את הבדיקות, השאלות והספים הללו בתוך מערכת ניהול אבטחת מידע כמו ISMS.online, תוכלו ליצור את השקופית הזו בכל פעם שמישהו שואל "האם השותפים שלנו בטוחים מספיק עבור מהדורה זו?". עם הזמן אתם הופכים לאדם שהופך בשקט "טפסי אבטחה" ל... החלטות ספקים מהירות ובטוחות יותר עבור כל משחק.

אילו סוגי ספקי משחקים יש לתת עדיפות לצורך הערכת ISO 27001 נספח A?

עליך לתעדף ספקים לצורך הערכת ISO 27001 נספח A על ידי כמה נזק פשרה אצל אותו שותף עלולה לגרום למשחק או לשחקנים שלך, לא לפי מספר כוח האדם שלהם או שיעור העבודה היומי שלהם.

צור מודל תלת-שכבתי שכולם יוכלו לזכור

חלוקה פשוטה ומבוססת השפעה מסייעת לאבטחה, לייצור ולרכש להישאר מתואמים:

שלב 1 – שותפים קריטיים:

אולפני פיתוח משותף עם גישה למקור או לבנייה, פלטפורמות לייב-אפס, ספקי backend ואנליטיקה, תשלומים, מערכות אנטי-צ'יט, אימות ותמיכה בשחקנים. חולשה כאן יכולה לעצור השקה או להשפיע ישירות על השחקנים.

שלב 2 – שותפים חשובים:

ספקי אמנות, אודיו, לוקליזציה, אבטחת איכות וכלים המטפלים בנכסים רגישים, כלים פנימיים או סביבות בדיקה אך אינם יכולים להפעיל קוד בכוחות עצמם.

שלב 3 – שותפים בעלי השפעה נמוכה יותר:

סוכנויות וספקים שרואים רק חומרי שיווק מאושרים, נכסים עם סימן מים כבד או מערכי נתונים אנונימיים.

ברגע שההיררכיה הזו מוסכמת, קל הרבה יותר להצדיק מדוע סטודיו לפיתוח משותף ברמה 1 עונה על יותר שאלות הנגזרות מנספח A מאשר סוכנות טריילרים ברמה 3.

התאמת עומק נספח A לשכבה

לאחר מכן אתם מדרגים את ההערכות שלכם במקום להשתמש בשאלון ענק אחד לכולם:

שלב 1 - הערכה מעמיקה:

דגש חזק על בקרת גישה, פיתוח מאובטח, תפעול, רישום, ניטור, תגובה לאירועים, המשכיות עסקית וכיצד הם מנהלים את הספקים שלהם.

שלב 2 – הערכה ממוקדת:

תשומת לב לטיפול במידע, עבודה מרחוק ואבטחה פיזית, בקרות גישה בסיסיות וכיצד הן שומרות על הפרדה בין החומר שלך ללקוחות אחרים.

דרגה 3 - בסיס קל משקל:

אישור קצר על היכן נמצאים הקבצים שלך, מי יכול לראות אותם וכיצד הם נמחקים לאחר סיום העבודה.

הכלל הפשוט הזה - יותר השפעה, יותר עומק ISO 27001 – קל להסביר בפגישות אור ירוק ומפת דרכים.

הפכו את הרמות לשפה משותפת ברחבי הסטודיו

כאשר מפיקים מבינים שאולפן פיתוח משותף הוא ברמה 1 משום שהוא יכול לשלוח קוד, בעוד שסוכנות שיווק היא ברמה 3 משום שהוא נוגע רק בצילומים שאושרו, הם בדרך כלל מפסיקים להתווכח על כך ש"האבטחה קשה יותר עבור חלק מהספקים".

אם אתם מחזיקים את הרמות הללו ואת הבדיקות התואמות של נספח A במערכת ניהול משולבת (IMS) של נספח L כגון ISMS.online, תיוג ספק כרמות 1, 2 או 3 יכול למשוך אוטומטית את השאלות ובקשות הראיות הנכונות. זה מפנה לכם זמן רב יותר בסיוע לשותפים מרכזיים להשתפר ופחות זמן בבנייה מחדש של טפסים.

כיצד ניתן להפוך את בקרות נספח A של ISO 27001 לשאלות שספקי משחקים יכולים לענות עליהן בפועל?

אתם הופכים את נספח A של ISO 27001 לשימושי על ידי הפיכת כל בקרה ל מטרה בת שורה אחת, קומץ התנהגויות נצפות וכמה שאלות קצרות בשפה פשוטה.

כתוב מחדש כל בקרה כיעד ברור במונחים של סטודיו

התחילו בתרגום הטקסט הרשמי למשהו שעמיתיכם עשויים לומר בפועל. לדוגמה:

מאת: "הגישה למידע ולפונקציות מערכת היישומים תוגבל בהתאם למדיניות בקרת הגישה."
אל: "רק האנשים הנכונים יכולים להגיע לסניפי המקור שלנו, לבנות מערכות ותוכן שלא פורסם, ואנחנו מסירים גישה במהירות כשהם כבר לא צריכים אותה."

קבצו את המטרות הללו לתחומים ידידותיים למשחק כגון:

ממשל ובעלות
אנשים, מכשירים ומשרדים
קוד, בניות ופיונליים
תוכן ו-IP
נתוני שחקנים ועסקיים
תקריות והתאוששות

מערכות ה-ISMS שלכם (לדוגמה ISMS.online) יכולות לשמור על עקיבות חזרה לכל בקרת נספח A בזמן שהצוותים שלכם עובדים עם ניסוח פשוט יותר.

החליטו אילו התנהגויות אתם באמת יכולים לראות

עבור כל מטרה, רשום שלוש עד חמש אותות בהתנהגות יומיומית, לדוגמה:

כניסות אישיות במקום חשבונות משותפים
אימות רב-גורמי במאגרים ובכלים קריטיים
תהליכי הצטרפות/מעבר/עזיבה מתועדים
ביקורות גישה תקופתיות עם ראיות לכך שחשבונות מוסרים

עדשה זו שומרת על הדיון מעוגן בדברים שניתן לבדוק, במקום בטענות מעורפלות על "בגרות".

הפכו התנהגויות לשאלות קצרות וישירות

ברגע שמכירים את ההתנהגויות, ניסוח שאלות הופך להיות הרבה יותר קל:

"איך אתם מנהלים חשבונות אישיים עבור המאגרים וכלי הבנייה שלנו?"
"האם אימות רב-גורמי נאכף על כל מי שיש לו גישה לקוד שלנו או לתוכן שלא פורסם?"
"באיזו תדירות אתם בודקים ומסירים גישה עבור עובדים וקבלנים שכבר אינם זקוקים לה?"

הימנעו מז'רגון סטנדרטי, מספרי סעיפים או הפניות ל"נספח א'" בשאלות עצמן. אלה שייכים מאחורי הקלעים של מערכת ה-ISMS שלכם, לא מול סטודיו קטן של ספק או מנהל אמנות שממלא את הטופס שלכם.

השתמש בסולם ניקוד פשוט אחד בין השותפים

סולם משותף של 0-3 או 0-5 שומר על עקביות בניקוד:

0 - לא במקום
1 – חלקית במקום
2 – קיים אך ללא ראיות
3 – קיים ומוכח

אספו דוגמאות קצרות לכל רמה כך ששני בודקים עם תשובות דומות יגיעו לציונים דומים. כאשר מאגר השאלות והניקוד של נספח א' נמצאים בפלטפורמה כמו ISMS.online, תוכלו לעשות בהם שימוש חוזר בפרויקטים ובמיקומים שונים, מה שהופך את הערכות הספקים למהירות, ברורות וקלות יותר להגנה.

אילו ראיות עליי לבקש מספק כדי לאמת את עמידתו בתקן ISO 27001 מבלי להכביד עליו?

בקשו מהספקים סט קטן וממוקד של מסמכים או צילומי מסך המוכיחים שבקרות מפתח פועלות בחיים האמיתיים, מותאמים לסטטוס ההסמכה שלהם ולרמת הסיכון שלהם, במקום להעביר חצי מה-ISMS שלהם.

השתמש בסטטוס ההסמכה כנקודת ההתחלה שלך

התחל עם המקום שבו נמצא הספק כיום:

אם הם בעלי הסמכת ISO 27001:

בקשו את האישור הנוכחי שלהם, אשרו שההיקף מכסה את השירותים והמיקומים עליהם אתם מסתמכים, ואם הם מסכימים, סיכום קצר של כל ממצאי מעקב או הסמכה מחדש אחרונים. זה מאפשר לכם להסתמך על העבודה שכבר מבצע גוף ההסמכה שלהם.

אם הם טוענים שהם "מתואמים" או פועלים לקראת הסמכה:

בקשו מדיניות אבטחת מידע קצרה, תיאור של אופן שליטה בגישה לנכסים שלכם, תרשים או סקירה של היכן נמצאים הנתונים והתוכן שלכם, ודוגמה או שתיים אנונימיות כיצד טיפלו באירוע או בשחזור בשנה האחרונה.

אם הם מפעילים קוד או שירותים חיים עבורך:

הוסף מספר קטן של צילומי מסך אנונימיים או קטעי תצורה המראים מי יכול לגשת למאגרים, מערכות בנייה וסביבות חיות, האם נאכף אימות רב-גורמי, ואילו רישום וניטור מכסים מערכות הנוגעות למשחק שלך.

מקם את זה כ ראיות לכך שהפרקטיקה היומיומית שלהם תואמת את ציפיות ISO 27001, לא כניסיון להעתיק את כל ה-ISMS שלהם.

קנה מידה של עומק הראיות לרמת הספק והסבר את ההבדל

קשר את הסכום שאתה מבקש לדרגות הפנימיות שלך:

ספקי Tier 1: פרטים נוספים על תצורה, תיאורי תהליכים ודוגמאות לאירועים.
ספקי דרגה 2: קבוצה מצומצמת יותר המתמקדת באחסון, טיפול ומחיקה של החומר שלך.
ספקי Tier 3: כמה תשובות ברורות לגבי היכן נמצאים קבצים, מי יכול לראות אותם וכיצד הם נמחקים בסוף.

ניתן לתעד זאת במטריצה פשוטה ולשתף אותה במהלך הקליטה, כך שהשותפים ידעו למה לצפות ומדוע. אם תנהלו את הציפיות, סוגי הראיות ומיפויי נספח A במערכת ניהול משולבת כמו ISMS.online, הצוות שלכם יוכל לראות במבט חטוף אילו בקרות מכוסות, היכן נותרו פערים ואילו מעקבים עדיין פתוחים.

כיצד ניתן לדרג ולהשוות אולפני משחקים שונים באמצעות קריטריונים התואמים לתקן ISO 27001?

אתה משווה אולפני משחקים בצורה הוגנת על ידי הפיכת התשובות והראיות שלהם ל ציונים משוקללים המשקפים את הסיכונים הספציפיים של העבודה שהם עושים עבורך, ולאחר מכן מתרגמים את הציונים הללו להחלטות ברורות של קבלה/תנאי/דחייה.

השתמש בסולם ניקוד עקבי על פני אזורי בקרה

התחל עם מודל פשוט וניתן לחזור עליו:

0 - לא במקום
1 – חלקית במקום
2 – קיים אך ללא ראיות
3 – קיים ומוכח

צרפו דוגמאות קצרות לכל רמה (לדוגמה, "3 = MFA נאכף בכל המאגרים המארחים את הקוד שלכם, עם צילומי מסך או קטעי מדיניות כהוכחה"). שמירת ציון זה במערכת ה-ISMS שלכם עוזרת למעריכים לתת ציון בצורה עקבית.

שקללו את הנושאים החשובים ביותר עבור כל סוג שותף

בני זוג שונים חושפים אותך לסוגים שונים של נזק:

אולפני פיתוח משותף: – לשים משקל רב יותר על גישה למאגרים, צינורות בנייה ופריסה, נהלי פיתוח מאובטחים והגנה על תוכן וקניין רוחני.
ספקי אמנות, אודיו ולוקליזציה: – להדגיש טיפול במידע, בקרות עבודה מרחוק, אבטחת מכשירים והגנה על המשרד הפיזי.
ספקי פעולות לייב ושרתים אחוריים: – לתעדף רישום, ניטור, תגובה לאירועים והמשכיות עסקית.

הכפל ציונים באזורים בעלי השפעה גבוהה במשקלים גבוהים יותר, כך שפקד חסר שבו אולפן מושרש עמוק במשחק שלך משפיע על הסכום הכולל הרבה יותר מאשר פער קטן סביב אזור בעל השפעה נמוכה.

הפכו ציונים להחלטות שבעלי העניין שלכם יכולים לפעול לפיהן

הגדירו שלושה פסים ברורים:

מקובל: – בטוח לשימוש עבור ההיקף המבוקש.
מקובל בתנאים: – מתאים אם תוסיפו אמצעי הגנה כגון גישת קריאה בלבד, הפרדה, ניטור הדוק יותר או אבני דרך לשיפור.
לא מקובל: – מסוכן מדי לסוג העבודה או הגישה המבוקשת.

עבור כל סטודיו, סכמו בשתיים או שלוש שורות:

נקודות החוזק העיקריות שלהם
הפערים החשובים ביותר
הפעולה שאתה מציע

כאשר אתם עוקבים אחר הציונים המשוקללים הללו במערכת ניהול אבטחת המידע שלכם לאורך זמן, תוכלו לראות דפוסים לפי זיכיון, פלטפורמה או אזור. זה עוזר לכם לטעון בעד עבודת הקשחה משותפת, כגון צינור בנייה מאובטח סטנדרטי או קו בסיס מינימלי לעבודה מרחוק עבור כל שותפי הפיתוח המשותף, במקום לרדוף אחר אותם תיקונים סטודיו אחד בכל פעם.

כיצד עליי להתייחס לספקים שטוענים שהם "עומדים בתקן ISO 27001" אך אין להם תעודה?

התייחסו ל"תואם לתקן ISO 27001" כאל אות שימושי לחקירה, לא ראיה בפני עצמה, והרץ את ההערכה הרגילה שלך המבוססת על נספח א' כדי לראות עד כמה התביעה מגיעה בפועל.

שאלו באופן קונקרטי מה המשמעות של "מסודר" בעולמם

התחילו עם כמה שאלות פתוחות שכופות פרטים ספציפיים:

"האם יש לכם מערכת ניהול אבטחת מידע עם היקף מוגדר?"
"באיזו תדירות אתם מבצעים הערכות סיכונים רשמיות, וכיצד אתם מתעדים אותן?"
"אילו אזורי בקרה בנספח א' יש בעלים ששמם נקוב, וכיצד אתם עוקבים אחר שינויים?"
"איך נראה השיפור שלך לעומת שנה טיפוסית?"

שותפים אשר באמת מיישמים את עצמם לפי תקן ISO 27001 יכולים בדרך כלל לענות עם היקפים, לוחות זמנים, בעלי התקן ודוגמאות לשינויים אחרונים. אלו המשתמשים בביטוי זה כאמצעי שיווקי נוטים להסתמך על כמה מדיניות כללית.

יש ליישם את הערכת נספח א' הרגילה שלך, בהתאם לתפקידם

הפעילו את אותו שאלון, בקשות ניקוד וראיות שהייתם משתמשים בהן עבור כל ספק דומה:

אם הם מציגים ביצועים חזקים בתחומים מרכזיים כגון ניהול גישה, טיפול במידע, תגובה לאירועים וניהול ספקים, ייתכן שתשתמשו בהם בהיקף מוגדר בבירור תוך תיעוד שהם עדיין לא מוסמכים באופן עצמאי.
אם הם מראים כוונה אך גם פערים גלויים, ניתן לצמצם את היקפם, להגדיר אבני דרך לשיפור בחוזה ולקבוע תאריך סופי לסקירה.
אם היסודות חלשים, במיוחד עבור תפקיד בעל השפעה גבוהה, ייתכן שיהיה בטוח יותר לסרב או לדחוף את מעורבותם לרמת סיכון נמוכה יותר.

הנקודה החשובה היא ש יישור קו אולי מגביר את העניין שלך, אבל זה לא מוריד את ספיךהחלטות עדיין נשענות על אותם קריטריונים התואמים לתקן ISO 27001 שאתם מיישמים על שותפים מוסמכים.

רשמו כיצד הגעת להחלטה כדי שתהיה רלוונטית מאוחר יותר

לכידת ארבעה אלמנטים:

למה התכוון הספק ב"מיושר", במילותיו שלו
כיצד הם הציגו את התוצאות בהתאם לנושאים המרכזיים שלך בנספח א'
ההחלטה שקיבלתם (ללכת, ללכת עם תנאים או לא ללכת) והסיבות שלכם
כל שיפור, מועדים ובדיקות מעקב שסוכמו

כאשר אתם מאחסנים רשומה זו במערכת ניהול אבטחת המידע שלכם, כגון ISMS.online, קל להראות לפלטפורמות, לרגולטורים ולבעלי עניין פנימיים שביצעת שיפוט מובנה מבוסס סיכונים במקום קבלת תווית כפשוטהמשמעות הדבר היא גם שאם אותו ספק חוזר מאוחר יותר ומבקש תפקיד גדול יותר, תתחילו מההערכה האחרונה שלכם במקום מאפס.