ISO 27001 – נספח A.15: קשרי ספקים

מהי המטרה של נספח A.15.1?

נספח A.15.1 עוסק באבטחת מידע ביחסי ספקים. המטרה כאן היא הגנה על הנכסים היקרים של הארגון הנגישים לספקים או מושפעים מהם.

אנו גם ממליצים לך לשקול גם כאן קשרי מפתח אחרים, למשל שותפים אם הם לא ספקים אבל יש להם גם השפעה על הנכסים שלך שאולי לא פשוט מכוסים בחוזה בלבד.

A.15.1.1 מדיניות אבטחת מידע עבור קשרי ספקים

משתמשים בספקים משתי סיבות עיקריות; האחת: אתה רוצה שהם יעשו עבודה שבחרת לא לעשות בעצמך, או; שני: אתה לא יכול בקלות לעשות את העבודה בצורה טובה או חסכונית כמו הספקים.

יש הרבה דברים חשובים שיש לקחת בחשבון בגישה לבחירת ספקים וניהולם, אבל מידה אחת לא מתאימה לכולם וחלק מהספקים יהיו חשובים יותר מאחרים. ככאלה הבקרות והמדיניות שלך אמורות לשקף גם את זה ופילוח של שרשרת האספקה ​​הוא הגיוני; אנו דוגלים בארבע קטגוריות של ספקים המבוססות על הערך והסיכון ביחסים. אלה נעים בין אלה שהם קריטיים לעסקים ועד לספקים אחרים שאין להם השפעה מהותית על הארגון שלך.

חלק מהספקים הם גם חזקים יותר מהלקוחות שלהם (דמיין שאתה אומר לאמזון מה לעשות אם אתה משתמש בשירותי ה-AWS שלהם לאירוח), כך שאין טעם להחזיק בקרות ומדיניות שהספקים לא יעמדו בהם. לכן הסתמכות על המדיניות, הבקרות וההסכמים הסטנדרטיים שלהם היא סבירה יותר - כלומר בחירת הספק וניהול הסיכונים הופכים חשובים עוד יותר.

על מנת לנקוט בגישה מקדימה יותר לאבטחת מידע בשרשרת האספקה ​​עם הספקים האסטרטגיים יותר (בעל ערך גבוה / סיכון גבוה יותר), ארגונים צריכים גם להימנע מסיכון בינארי של 'ציית או תמות' מהעברת שיטות עבודה כגון חוזים איומים המונעים שיתוף פעולה טוב. במקום זאת, אנו ממליצים להם לפתח קשרי עבודה קרובים יותר עם אותם ספקים שבהם מידע ונכסים בעלי ערך ירך נמצאים בסיכון, או שהם מוסיפים למידע שלך נכסים בצורה כלשהי (חיובית). סביר להניח שהדבר יוביל לשיפור יחסי העבודה, ולכן גם יביא לתוצאות עסקיות טובות יותר.

מדיניות טובה מתארת ​​את פילוח הספקים, הבחירה, הניהול, היציאה, כיצד נשלטים נכסי מידע סביב ספקים על מנת להפחית את הסיכונים הנלווים, אך עדיין לאפשר את השגת היעדים והיעדים העסקיים. ארגונים חכמים יעטפו את מדיניות אבטחת המידע שלהם לספקים למסגרת יחסים רחבה יותר וימנעו מלהתמקד רק באבטחה כשלעצמה, תוך הסתכלות גם על ההיבטים האחרים.

ארגון עשוי לרצות שספקים יגשו ויתרום לנכסי מידע מסוימים בעלי ערך גבוה (למשל פיתוח קוד תוכנה, מידע שכר חשבונאי). לכן הם יצטרכו לקבל הסכמים ברורים לגבי איזו גישה בדיוק הם מאפשרים להם, כדי שיוכלו לשלוט באבטחה סביבו. זה חשוב במיוחד עם יותר ויותר שירותי ניהול, עיבוד וטכנולוגיה של מידע במיקור חוץ. זה אומר שיש מקום להראות ניהול של מערכת היחסים קורה; חוזים, אנשי קשר, תקריות, פעילות מערכת יחסים וניהול סיכונים וכו'. כאשר הספק גם מעורב באופן אינטימי בארגון, אך ייתכן שאין לו ISMS מוסמך משלו, אז הבטחת שצוות הספק מושכל ומודע לאבטחה, מאומן על המדיניות שלך וכו' שווה גם להפגין תאימות מסביב.

A.15.1.2 התייחסות לאבטחה במסגרת הסכמי ספקים

כל דרישות אבטחת המידע הרלוונטיות חייבות להתקיים עם כל ספק שיש לו גישה או יכול להשפיע על המידע של הארגון (או הנכסים המעבדים אותו). שוב, זה לא אמור להיות אחד המתאים לכולם - קחו גישה מבוססת סיכונים סביב סוגי הספקים השונים המעורבים והעבודה שהם עושים. עבודה עם ספקים שכבר עונים על רוב צרכי אבטחת המידע של הארגונים שלך עבור השירותים שהם מספקים לך ויש להם רקורד טוב של טיפול בבעיות אבטחת מידע בצורה אחראית היא רעיון טוב מאוד - שכן זה יקל הרבה יותר על כל התהליכים הללו.

במילים פשוטות, חפש ספקים שכבר השיגו בעצמם הסמכה עצמאית של ISO 27001 או שווה ערך. כמו כן, חשוב לוודא שהספקים מעודכנים ומעורבים בכל שינוי ב-ISMS או מעורבים ספציפית סביב החלקים המשפיעים על השירותים שלהם. המבקר שלך ירצה לראות זאת הוכחה - לכן, על ידי רישום של זה בפרויקטים של העלאת הספק שלך או בביקורות שנתיות זה יהיה קל לעשות זאת.

דברים שיש לכלול בהיקף האספקה ​​ובהסכמים כוללים בדרך כלל: העבודה והיקפה; מידע בסיכון וסיווג; דרישות משפטיות ורגולטוריות כגון ציות ל-GDPR ו/או חקיקה רלוונטית אחרת; דיווח וסקירות; אי חשיפה; IPR; ניהול אירועים; מדיניות ספציפית שיש לעמוד בה אם היא חשובה להסכם; חובות על קבלני משנה; הקרנה על הצוות וכו'.

חוזה סטנדרטי טוב יעסוק בנקודות אלה, אך כאמור, לפעמים זה לא יידרש, ויכול להיות מוגזם עבור סוג האספקה, או שלא ניתן יהיה לאלץ ספק לפעול לפי הרעיון שלך לגבי השיטות הטובות. . היו פרגמטיים ומרוכזים בסיכון בגישה. מטרת בקרה זו מתקשרת גם עם נספח A.13.2.4 שבו הסכמי סודיות ואי גילוי הם המוקד העיקרי.

A.15.1.3 שרשרת אספקת טכנולוגיית מידע ותקשורת

בקרה טובה מתבססת על A.15.1.2 ומתמקדת בספקי ה-ICT שעשויים להזדקק למשהו בנוסף או במקום הגישה הסטנדרטית. ISO 27002 דוגל בתחומים רבים ליישום ולמרות שכל אלה טובים, יש צורך גם בפרגמטיות מסוימת. הארגון צריך להכיר שוב בגודלו בהשוואה לחלק מהספקים הגדולים מאוד שלעתים הוא יעבוד איתם (למשל מרכזי נתונים ושירותי אירוח, בנקים וכו'), ולכן עלול להגביל את יכולתו להשפיע על שיטות עבודה בהמשך שרשרת האספקה. על הארגון לשקול היטב אילו סיכונים עשויים להיות בהתבסס על סוג שירותי טכנולוגיית המידע והתקשורת הניתנים. לדוגמה, אם הספק הוא ספק של שירותים קריטיים לתשתית, ויש לו גישה למידע רגיש (למשל קוד מקור לשירות תוכנת הדגל), עליו להבטיח שקיימת הגנה גדולה יותר מאשר אם הספק פשוט נחשף למידע זמין לציבור (למשל אתר פשוט).

מהי המטרה של נספח A.15.2?

נספח A.15.2 עוסק בניהול פיתוח שירותי ספקים. המטרה בבקרה נספח א' זה היא להבטיח שרמה מוסכמת של אבטחת מידע ומתן שירות נשמרת בהתאם להסכמי ספקים.

A.15.2.1 ניטור וסקירה של שירותי ספקים
בקרה טובה מתבססת על A15.1 ומתארת ​​כיצד ארגונים עוקבים, בודקים ומבקרים באופן קבוע את מתן שירות הספקים שלהם. ביצוע סקירות וניטור נעשה בצורה הטובה ביותר על סמך המידע שנמצא בסיכון - מכיוון שגישה בגודל אחד לא תתאים לכולם. הארגון צריך לשאוף לבצע את הביקורות שלו בהתאם לפילוח המוצע של ספקים על מנת לייעל את המשאבים שלהם ולוודא שהם ממקדים את המאמצים בניטור וביקורת היכן שתהיה לו ההשפעה הגדולה ביותר. כמו ב-A15.1, לפעמים יש צורך בפרגמטיות - אתה לא בהכרח הולך לקבל ביקורת, סקירת יחסי אנוש ושיפורי שירות ייעודיים עם AWS אם אתה ארגון קטן מאוד. עם זאת, אתה יכול לבדוק (נניח) שדוחות SOC II המתפרסמים מדי שנה ואישורי האבטחה נשארים מתאימים למטרה שלך.

יש להשלים עדויות לניטור על סמך כוחך, הסיכונים והערך שלך, ובכך לאפשר למבקר שלך להיות מסוגל לראות כי הוא הושלם, וכי כל השינויים הדרושים נוהלו באמצעות תהליך בקרת שינויים פורמליים.

A.15.2.2 ניהול שינויים בשירותי ספקים

בקרה טובה מתארת ​​כיצד מנוהלים כל שינוי במתן השירותים על ידי ספקים, לרבות שמירה ושיפור של מדיניות, נהלים ובקרות קיימות של אבטחת מידע. הוא לוקח בחשבון את הקריטיות של המידע העסקי, אופי השינוי, סוג/ים הספקים המושפעים, המערכות והתהליכים המעורבים והערכה מחודשת של סיכונים. שינויים בשירותי ספקים צריכים לקחת בחשבון גם את האינטימיות של מערכת היחסים ואת היכולת של הארגון להשפיע או לשלוט בשינוי בספק.

כיצד ISMS.online עוזר בקשרים עם ספקים?

ISMS.online הפך את מטרת השליטה הזו לקלה מאוד על ידי מתן הוכחות לכך שמערכות היחסים שלך נבחרות בקפידה, מנוהלות היטב בחיים כולל מעקב ובדיקה. אזור קשרי החשבונות הקלים לשימוש שלנו (למשל ספקים) עושה בדיוק את זה. סביבות העבודה של הפרויקטים השיתופיים מתאימים להצטרפות לספקים חשובים, יוזמות משותפות, יציאה למטוס וכו', את כולם, המבקר יכול גם לראות בקלות בעת הצורך.

ISMS.online גם הקלה על מטרת הבקרה הזו עבור הארגון שלך בכך שהיא מאפשרת לך לספק ראיות לכך שהספק התחייב רשמית לעמוד בדרישות והבין את אחריותו לאבטחת מידע באמצעות ערכות המדיניות שלנו. ערכות מדיניות הן אידיאליות כאשר לארגון יש מדיניות ובקרות ספציפיות שהוא רוצה שצוות הספקים יפעלו ויקחו ביטחון שהם קראו אותן והתחייבו לציית - מעבר להסכמים הרחבים יותר בין הלקוח לספק.