ISO 27001:2022 נספח A Control 5.19 הוא בערך אבטחת מידע ביחסי ספקים. המטרה כאן היא הגנה על הנכסים היקרים של הארגון הנגישים לספקים או מושפעים מהם.
אנו גם ממליצים לך לשקול גם כאן קשרי מפתח אחרים, למשל שותפים אם הם לא ספקים אבל יש להם גם השפעה על הנכסים שלך שאולי לא פשוט מכוסים בחוזה בלבד.
זהו חלק חשוב ב מערכת ניהול אבטחת מידע (ISMS) במיוחד אם אתה רוצה להשיג אישור ISO 27001. בואו נבין את הדרישות האלה ואת המשמעות שלהן קצת יותר לעומק עכשיו.
משתמשים בספקים משתי סיבות עיקריות; האחת: אתה רוצה שהם יעשו עבודה שבחרת לא לעשות בעצמך, או; שני: אתה לא יכול בקלות לעשות את העבודה בצורה טובה או חסכונית כמו הספקים.
יש הרבה דברים חשובים שיש לקחת בחשבון בגישה לבחירת ספקים וניהולם, אבל מידה אחת לא מתאימה לכולם וחלק מהספקים יהיו חשובים יותר מאחרים. ככאלה הבקרות והמדיניות שלך צריכים לשקף גם את זה וא פילוח של שרשרת האספקה הוא הגיוני; אנו דוגלים בארבע קטגוריות של ספקים המבוססות על הערך והסיכון ביחסים. אלה נעים בין אלה שהם קריטיים לעסקים ועד לספקים אחרים שאין להם השפעה מהותית על הארגון שלך.
ISO 27001:2002 נספח א' בקרה 5.19 עוסק בחובתו של ארגון להבטיח כי בעת שימוש במוצרים ושירותים בצד הספק (כולל ספקי שירותי ענן), ניתנת התחשבות נאותה ברמת הסיכון הגלומה בשימוש במערכות חיצוניות, וכן השפעה תוצאתית שעשויה להיות על דבקותם באבטחת המידע.
מדיניות טובה מתארת את פילוח הספקים, הבחירה, הניהול, היציאה, איך נכסי מידע סביב הספקים נשלטים על מנת לצמצם את הסיכונים הנלווים, אך עדיין לאפשר את השגת היעדים והיעדים העסקיים. ארגונים חכמים יעטפו את שלהם מדיניות אבטחת מידע לספקים להיכנס למסגרת יחסים רחבה יותר ולהימנע מלהתמקד רק באבטחה כשלעצמה, תוך התבוננות גם בהיבטים האחרים.
נספח א' בקרה 5.19 היא בקרה מונעת המשנה סיכונים על ידי שמירה על נהלים המטפלים בסיכוני אבטחה טבועים הקשורים לשימוש במוצרים ובשירותים המסופקים על ידי צדדים שלישיים.
תוך כדי שליטה ISO 27001 נספח A 5.19 מכיל הנחיות רבות לגבי השימוש בשירותי ICT, ההיקף הרחב יותר של הבקרה מקיף היבטים רבים אחרים של מערכת היחסים של ארגון עם בסיס הספקים שלו, לרבות סוגי ספקים, לוגיסטיקה, שירותים, שירותים פיננסיים ורכיבי תשתית).
ככזה, הבעלות על נספח א' בקרה 5.19 צריכה להיות בידי חבר הנהלה בכירה המפקחת על הפעילות המסחרית של ארגון, ושומרת על קשר ישיר עם ספקים של ארגון, כגון סמנכ"ל תפעול.
עמידה בנספח A בקרה 5.19 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לאבטחת מידע ביחסי ספקים.
ארגון עשוי לרצות שספקים יגשו ויתרום לנכסי מידע מסוימים בעלי ערך גבוה (למשל פיתוח קוד תוכנה, מידע שכר חשבונאי). לכן הם יצטרכו לקבל הסכמים ברורים לגבי איזו גישה בדיוק הם מאפשרים להם, כדי שיוכלו לשלוט באבטחה סביבו.
זה חשוב במיוחד עם יותר ויותר שירותי ניהול, עיבוד וטכנולוגיה של מידע במיקור חוץ. זה אומר שיש מקום להראות ניהול של מערכת היחסים קורה; חוזים, אנשי קשר, תקריות, פעילות מערכת יחסים ו ניהול סיכונים וכדומה. כאשר הספק גם מעורב באופן אינטימי בארגון, אבל אולי אין לו ISMS מוסמך משלו, אזי הבטחת צוות הספקים מושכלים ומודעים לאבטחה, מאומנים על המדיניות שלך וכו', שווה גם להוכיח עמידה בדרישות.
גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות הקשורה לספקים המותאמות לפונקציות עסקיות בודדות, במקום לדבוק במדיניות גורפת של ניהול ספקים החלה על כל קשרי צד שלישי בכל הפעילות המסחרית של הארגון.
חשוב לציין ש-ISO 27001 נספח א' בקרה 5.19 מבקש מהארגון ליישם מדיניות ונהלים שלא רק מסדירים את השימוש של הארגון במשאבי ספקים ופלטפורמות ענן, אלא גם מהווים את הבסיס לאופן שבו הם מצפים מהספקים שלהם להתנהל לפני לאורך כל תקופת הקשר המסחרי.
ככזה, ניתן לראות בנספח A בקרה 5.19 כמסמך הכשיר החיוני המכתיב את אופן הטיפול בממשל אבטחת מידע במהלך חוזה ספק.
ISO 27001 נספח A Control 5.19 מכיל 14 נקודות הנחיה עיקריות שיש לדבוק בהן:
1) לשמור על רישום מדויק של סוגי ספקים (למשל שירותים פיננסיים, חומרת ICT, טלפוניה) שיש להם פוטנציאל להשפיע על שלמות אבטחת המידע.
מענה לארועים - נסח רשימה של כל הספקים והספקים שאיתם הארגון שלך עובד, סיווג אותם לפי תפקידם העסקי והוסף קטגוריות לסוגי הספקים האמורים לפי הצורך.
2) הבן כיצד לבצע בדיקת ספקים, בהתבסס על רמת הסיכון הגלומה בסוג הספק שלהם.
מענה לארועים – סוגי ספקים שונים ידרשו בדיקות נאותות שונות. שקול להשתמש בשיטות בדיקה על בסיס ספק-ספק (למשל הפניות בענף, דוחות כספיים, הערכות באתר, הסמכות ספציפיות למגזר כגון שותפויות של Microsoft).
3) זהה ספקים שיש להם בקרות אבטחת מידע קיימות.
מענה לארועים – בקש לראות עותקים של נהלי ניהול אבטחת המידע הרלוונטיים של הספקים, על מנת להעריך את הסיכון לארגון שלך. אם אין להם, זה לא סימן טוב.
4) זהה והגדר את התחומים הספציפיים בתשתית ה-ICT של הארגון שלך שהספקים שלך יוכלו לגשת אליהם, לנטר או לעשות בהם שימוש בעצמם.
מענה לארועים – חשוב לקבוע מלכתחילה במדויק כיצד הספקים שלכם עומדים לקיים אינטראקציה עם נכסי ה-ICT שלכם – בין אם הם פיזיים או וירטואליים – ואילו רמות גישה מוענקות להם בהתאם להתחייבויות החוזיות שלהם.
5) הגדירו כיצד תשתית ה-ICT של הספקים עצמם יכולה להשפיע על הנתונים שלכם ושל הלקוחות שלכם.
מענה לארועים – המחויבות הראשונה של ארגון היא למערכת של תקני אבטחת מידע משלו. יש לבחון את נכסי ה-ICT של הספקים בהתאם לפוטנציאל שלהם להשפיע על זמן העבודה והיושרה בכל הארגון שלך.
6) לזהות ולנהל את סיכוני אבטחת המידע השונים הקשורים ל:
א. שימוש ספק במידע סודי או בנכסים מוגנים (למשל מוגבל לשימוש זדוני ו/או כוונה פלילית).
ב. חומרה פגומה של ספק או פלטפורמת תוכנה לא תקינה הקשורה לשירותים מקומיים או מבוססי ענן.
מענה לארועים - ארגונים צריכים להיות מודעים כל הזמן לסיכוני אבטחת המידע הקשורים לאירועים קטסטרופליים, כגון פעילות מזעזעת של משתמשים בצד הספק או תקריות תוכנה גדולות בלתי צפויות, והשפעתם על אבטחת המידע הארגונית.
7) מעקב אחר תאימות לאבטחת מידע על בסיס נושא ספציפי או סוג ספק.
מענה לארועים – הצורך של הארגון להעריך את אבטחת מידע השלכות הגלומות בכל סוג ספק, ולהתאים את פעילות הניטור שלהם כדי להתאים לרמות סיכון שונות.
8) הגבל את כמות הנזק ו/או ההפרעה שנגרמו עקב אי ציות.
מענה לארועים – יש לעקוב אחר פעילות הספקים באופן מתאים ובדרגות שונות בהתאם לרמת הסיכון שלו. כאשר מתגלה אי ציות, באופן יזום או מחדש, יש לנקוט בפעולה מיידית.
9) לשמור על איתן ניהול אירועים נוהל המתייחס לכמות סבירה של מקרים.
מענה לארועים – ארגונים צריכים להבין במדויק כיצד להגיב כאשר הם מתמודדים עם מגוון רחב של אירועים הקשורים לאספקת מוצרים ושירותים של צד שלישי, ולהתווה פעולות מתקנות הכוללות הן את הספק והן את הארגון.
10) חוקק אמצעים הנותנים מענה לזמינות ועיבוד המידע של הספק, בכל מקום בו נעשה בו שימוש, ובכך להבטיח את שלמות המידע של הארגון עצמו.
מענה לארועים – יש לנקוט בצעדים על מנת להבטיח שמערכות הספקים והנתונים יטופלו באופן שאינו מתפשר על הזמינות והאבטחה של המערכות והמידע של הארגון עצמו.
11) נסח תוכנית הדרכה יסודית המציעה הדרכה כיצד הצוות צריך לקיים אינטראקציה עם אנשי הספק ומידע על בסיס ספק אחר ספק, או על בסיס סוג אחר סוג.
מענה לארועים – ההכשרה צריכה לכסות את כל קשת הממשל בין ארגון לספקיו, כולל התקשרות, בקרות פרטניות של ניהול סיכונים ונהלים ספציפיים לנושא.
12) להבין ולנהל את רמת הסיכון הגלומה בהעברת מידע ונכסים פיזיים ווירטואליים בין הארגון לספקיהם.
מענה לארועים - ארגונים צריכים למפות כל שלב בתהליך ההעברה וללמד את הצוות לגבי הסיכונים הכרוכים בהעברת נכסים ומידע ממקור אחד למשנהו.
13) לוודא שיחסי ספקים נסתיימו מתוך מחשבה על אבטחת מידע, כולל הסרת זכויות גישה ויכולת גישה למידע ארגוני.
מענה לארועים – צוותי ה-ICT שלך צריכים להיות בעלי הבנה ברורה כיצד לשלול את הגישה של ספק למידע, כולל:
14) תאר במדויק כיצד אתה מצפה מהספק להתנהל לגבי אמצעי אבטחה פיזיים ווירטואליים.
מענה לארועים - ארגונים צריכים להגדיר ציפיות ברורות מההתחלה של כל קשר מסחרי, המפרטות כיצד מצופה מאנשי צד הספק להתנהל בעת אינטראקציה עם הצוות שלך או כל נכס רלוונטי.
ISO מכירה בכך שלא תמיד ניתן לכפות מערך מדיניות מלא על ספק העומד בכל דרישה ודרישה מהרשימה לעיל כפי שמתכוון ISO 27001 נספח A Control 5.19, במיוחד כאשר מדובר בארגונים נוקשים במגזר הציבורי.
עם זאת, נספח א' בקרה 5.19 קובע בבירור שארגונים צריכים להשתמש בהנחיה לעיל בעת יצירת קשרים עם ספקים, ולשקול אי-עמידה על בסיס כל מקרה לגופו.
כאשר לא ניתן להשיג תאימות מלאה, נספח א' בקרה 5.19 נותן לארגונים חופש פעולה על ידי המלצה על "בקרות מתגמלות" המשיגות רמות נאותות של ניהול סיכונים, בהתבסס על הנסיבות הייחודיות של הארגון.
ISO 27001:2022 נספח A 5.19 מחליף את ISO 27001:2013 נספח א' 15.1.1 (מדיניות אבטחת מידע לקשרי ספקים).
ISO 27001:2022 נספח A 5.19 תואם באופן כללי לאותם מושגים הבסיסיים הכלולים בבקרה של 2013, אך מכיל מספר תחומי הנחיות נוספים אשר הושמטו מ-ISO 27001:2013 נספח A 5.1.1, או לכל הפחות אינם מכוסים ב כמה שיותר פרטים, כולל:
ISO 27001:2022 נספח A 5.19 מפורש גם בהכרה באופי המשתנה מאוד של קשרי ספקים (בהתבסס על סוג, מגזר ורמת סיכון), ומעניק לארגונים מידה מסוימת של מרחב פעולה כאשר בוחנים את האפשרות של אי ציות לכל הנחיה נתונה. נקודה, בהתבסס על אופי הקשר (ראה 'הנחיות משלימות' לעיל).
בטבלה למטה תמצא מידע נוסף על כל ISO 27001:2022 בנפרד נספח א לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
ISMS.online הפך את מטרת השליטה הזו לקלה מאוד על ידי מתן הוכחות לכך שמערכות היחסים שלך נבחרות בקפידה, מנוהלות היטב בחיים כולל מעקב ובדיקה. אזור קשרי החשבונות הקלים לשימוש שלנו (למשל ספקים) עושה בדיוק את זה. חללי העבודה של הפרויקטים השיתופיים מתאימים לכניסה חשובה של ספקים למטוס, יוזמות משותפות, יציאה למטוס וכו', את כולם גם המבקר יכול לראות בקלות בעת הצורך.
ISMS.online גם הקלה על מטרת הבקרה הזו עבור הארגון שלך בכך שהיא מאפשרת לך לספק ראיות לכך שהספק התחייב רשמית לעמוד בדרישות והבין את אחריותו לאבטחת מידע באמצעות ערכות המדיניות שלנו. חבילות מדיניות הם אידיאליים כאשר לארגון יש מדיניות ובקרות ספציפיות שהוא רוצה שצוות הספקים יפעלו ויקחו ביטחון שהם קראו אותם והתחייבו לעמוד בהם - מעבר להסכמים הרחבים יותר בין הלקוח לספק.
בהתאם לאופי השינוי (כלומר לשינויים מהותיים יותר) עשויה להיות דרישה רחבה יותר להתיישר עם A.6.1.5 אבטחת מידע בניהול פרויקטים.
צור קשר עוד היום כדי הזמן הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
