- לִרְאוֹת ISO 27002:2022 בקרה 5.20 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 15.1.2 לקבלת מידע נוסף.
מהי המטרה של ISO 27001:2022 נספח A 5.20?
ISO 27001 נספח A בקרה 5.20 מסדיר כיצד ארגון יוצר חוזה עם ספק בהתבסס על הדרישות שלו לאבטחה. זה מבוסס על סוגי הספקים איתם הם עובדים.
כחלק מנספח א' בקרה 5.20, ארגונים והספקים שלהם חייבים להסכים ביניהם אבטחת מידע מקובלת חובות לשמור על סיכון.
למי יש בעלות על נספח A 5.20?
בקרת נספח 5.20 צריכה להיקבע על פי אם הארגון מפעיל את המחלקה המשפטית שלו, כמו גם את אופי ההסכם שנחתם.
ניהול כל שינוי בשרשרת האספקה מדיניות, נהלים ובקרות, לרבות שמירה ושיפור מדיניות, נהלים ובקרות קיימים של אבטחת מידע, נחשבים לבקרה יעילה.
הדבר נקבע על ידי התחשבות בקריטיות המידע העסקי, אופי השינוי, סוג/ים הספקים המושפעים, המערכות והתהליכים המעורבים והערכה מחודשת של גורמי סיכון. שינוי השירותים שספק מספק צריך לשקול גם את האינטימיות של מערכת היחסים ואת היכולת של הארגון להשפיע או לשלוט בשינוי.
הבעלות על 5.20 צריכה להיות בידי הפרט האחראי על הסכמים משפטיים מחייבים בתוך הארגון (חוזים, מזכרי הבנות, הסכמי רמת שירות וכו') אם לארגון יש את היכולת המשפטית לנסח, לתקן ולאחסן את הסכמי החוזה שלו ללא מעורבות של צדדים שלישיים.
חבר בהנהלה הבכירה בארגון המפקח על הפעילות המסחרית של הארגון ומקיים קשרים ישירים עם ספקיו צריך לקחת אחריות על נספח א' בקרה 5.20 אם הארגון מעביר הסכמים כאלה למיקור חוץ.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27001:2022 נספח A 5.20 הנחיה כללית
בקרה 5.20 של נספח A מכילה 25 נקודות הנחיה שמדינות ISO הן "אפשריות לשקול" (כלומר לא בהכרח את כולן) כדי שארגונים יעמדו בדרישות אבטחת המידע שלהם.
נספח א' בקרה 5.20 מפרט כי ללא קשר לאמצעים שננקטו, שני הצדדים חייבים לצאת מהתהליך עם "הבנה ברורה" של חובות אבטחת המידע זה של זה.
- חיוני לספק תיאור ברור של המידע שיש לגשת אליו וכיצד הגישה למידע זה.
- ארגונים צריכים לסווג מידע לפי תוכניות הסיווג שפורסמו (ראה נספח A בקרות 5.10, 5.12 ו-5.13).
- סיווג מידע יש לקחת בחשבון את הצד של הספק יחד עם איך זה קשור לזה שבצד הארגון.
- באופן כללי, ניתן לחלק את זכויותיהם של שני הצדדים לארבע קטגוריות: משפטיות, סטטוטוריות, רגולטוריות וחוזיות. כסטנדרט בהסכמים מסחריים, חובות שונות צריכות להיות מתארות בבירור בתוך ארבעת התחומים הללו, לרבות גישה למידע אישי, זכויות קניין רוחני והוראות זכויות יוצרים. החוזה צריך לכסות גם כיצד יטופלו תחומי מפתח אלו בנפרד.
- כחלק ממערכת הבקרה נספח א', יש לחייב כל צד ליישם אמצעים במקביל שנועדו לנטר, להעריך ולנהל סיכוני אבטחת מידע (כגון מדיניות בקרת גישה, ביקורות חוזיות, ניטור, דיווח וביקורת תקופתית). יתר על כן, ההסכם צריך לציין בבירור שאנשי הספק חייבים לעמוד בתקני אבטחת המידע של הארגון (ראה ISO 27001 נספח A בקרה 5.20).
- שני הצדדים חייבים להבין בבירור מה מהווה שימוש מקובל ובלתי מקובל במידע, כמו גם בנכסים פיזיים ווירטואליים.
- כדי להבטיח שאנשי צד הספק יוכלו לגשת למידע של ארגון ולהציג אותו, יש להפעיל נהלים (למשל ביקורת צד הספק ובקרות גישה לשרתים).
- בנוסף להתחשבות בתשתית ה-ICT של הספק, חשוב להבין כיצד זה קשור לסוג המידע אליו ייגש הארגון. זאת בנוסף למערך הליבה של הדרישות העסקיות של הארגון.
- אם הספק מפר את החוזה או לא עומד בתנאים אישיים, על הארגון לשקול אילו צעדים הוא יכול לנקוט.
- באופן ספציפי, ההסכם צריך לתאר נוהל ניהול אירועים הדדי המבהיר כיצד יש לטפל בבעיות כאשר הן מתעוררות. זה כולל איך שני הצדדים צריכים לתקשר כאשר מתרחש תקרית.
- שני הצדדים צריכים לספק הכשרה מספקת למודעות (כאשר הכשרה סטנדרטית אינה מספקת) בתחומי מפתח של ההסכם, במיוחד בתחומי סיכונים כגון ניהול תקריות ושיתוף מידע.
- יש להתייחס כראוי לשימוש בקבלני משנה. ארגונים צריכים לוודא שאם הספק מורשה להשתמש בקבלני משנה, כל אדם או חברה כאלה יקפידו על אותם תקני אבטחת מידע כמו הספק.
- ככל שזה אפשרי מבחינה חוקית ותפעולית, ארגונים צריכים לשקול כיצד צוות הספקים עובר סינון לפני אינטראקציה עם המידע שלהם. בנוסף, עליהם לשקול כיצד נרשמים ומדווחים על ההקרנות לארגון, לרבות אנשי צוות לא מסוננים ואזורי דאגה.
- אישור צד שלישי, כגון עצמאי דוחות וביקורות של צד שלישי, צריך להידרש על ידי ארגונים לספקים העומדים בדרישות אבטחת המידע שלהם.
- ISO 27001:2022 נספח א' בקרה 5.20 דורשת שלארגונים תהיה הזכות להעריך ולבקר את נהלי הספקים שלהם.
- יש לחייב ספק לספק דוחות תקופתיים (במרווחים משתנים) המסכמים את האפקטיביות של התהליכים והנהלים שלו וכיצד הם מתכוונים לטפל בכל נושא שהועלה.
- במהלך מערכת היחסים, ההסכם צריך לכלול אמצעים כדי להבטיח שכל פגמים או עימותים ייפתרו בזמן וביסודיות.
- יש ליישם מדיניות BUDR מתאימה על ידי הספק, המותאמת לצרכי הארגון, המתייחסת לשלושה שיקולים מרכזיים: א) סוג הגיבוי (שרת מלא, קובץ ותיקיה, אינקרמנטלי), ב) תדירות גיבוי (יומי, שבועי וכו'. ) ג) מיקום גיבוי ומדיה מקור (באתר, מחוץ לאתר).
- חיוני להבטיח עמידות נתונים על ידי הפעלה מתוך מתקן התאוששות מאסון נפרד מאתר ה-ICT הראשי של הספק. מתקן זה אינו נתון לאותה רמת סיכון כמו אתר ה-ICT הראשי.
- על הספקים לשמור על מדיניות ניהול שינויים מקיפה המאפשרת לארגון לדחות מראש כל שינוי שעלול להשפיע על אבטחת המידע.
- בקרות אבטחה פיזיות יש ליישם בהתאם לאיזה מידע הם רשאים לגשת (גישה לבניין, גישה למבקרים, גישה לחדר, אבטחת שולחן).
- בכל פעם שמועברים נתונים בין נכסים, אתרים, שרתים או מקומות אחסון, על הספקים לוודא שהנתונים והנכסים מוגנים מפני אובדן, נזק או שחיתות.
- במסגרת ההסכם, יש לדרוש מכל צד לנקוט ברשימה נרחבת של פעולות במקרה של סיום (ראה נספח א' בקרה 5.20). פעולות אלו כוללות (אך לא מוגבלות ל): א) סילוק נכסים ו/או העברה, ב) מחיקת מידע, ג) החזרת IP, ד) הסרת זכויות גישה ה) המשך חובות סודיות.
- בנוסף לסעיף 23, על הספק לדון בפירוט כיצד הוא מתכוון להשמיד/למחוק לצמיתות את פרטי הארגון כאשר אין בו צורך עוד (כלומר עם סיום ההתקשרות).
- בכל פעם שחוזה מסתיים ועולה צורך בהעברת תמיכה ו/או שירותים לספק אחר שאינו רשום בחוזה, ננקטים צעדים על מנת להבטיח לא הפרעה לפעילות העסקית.
בקרות הנלווה לנספח א'
- ISO 27001:2022 נספח A 5.10
- ISO 27001:2022 נספח A 5.12
- ISO 27001:2022 נספח A 5.13
- ISO 27001:2022 נספח A 5.20
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
הנחיות משלימות על נספח א' 5.20
נספח א' בקרה 5.20 ממליץ לארגונים לנהל רישום של הסכמים כדי לסייע להם בניהול קשרי הספקים שלהם.
יש לשמור רשומות של כל ההסכמים עם ארגונים אחרים, מסווגים לפי אופי הקשר. זה כולל חוזים, מזכרי הבנות והסכמים הנוגעים לשיתוף מידע.
מהם השינויים מ-ISO 27001:2013?
בוצע תיקון ל-ISO 27001:2013 נספח A 15.1.2 (התייחסות לאבטחה במסגרת הסכמי ספקים) ל- ISO 27001: 2022 נספח א' בקרה 5.20.
מספר קווים מנחים נוספים כלולים בנספח A Control 5.20 של ISO 27001:2022 המתייחסות למגוון רחב של בעיות טכניות, משפטיות ותאימות, כולל:
- הליך המסירה.
- הרס מידע.
- הוראות לסיום.
- בקרות לאבטחה פיזית.
- שינוי הנהלה.
- יתירות מידע וגיבויים.
ככלל, ISO 27001:2022 נספח A 5.20 מדגיש כיצד ספק משיג יתירות ושלמות נתונים לאורך חוזה.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןמהם היתרונות של שימוש ב-ISMS.online עבור קשרי ספקים?
רשימת בדיקה שלב אחר שלב מנחה אותך לאורך כל זה תהליך יישום ISO 27001, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרות.
דרך תחום קשרי החשבונות הקלים לשימוש של ISMS.online (למשל ספקים), אתה יכול להבטיח שהקשרים שלך נבחרים בקפידה, מנוהלים היטב בחיים ומנוטרים ונבדקים. חללי העבודה השיתופיים בפרויקטים של ISMS.online עמדו בקלות ביעד הבקרה הזה. חללי עבודה אלו שימושיים לספקים בעלייה למטוס, יוזמות משותפות, יציאה למטוס וכו', שגם המבקר יכול לצפות בהם בקלות בעת הצורך.
הפכנו גם את יעד הבקרה הזה לקל יותר עבור הארגון שלך בכך שאפשרנו לך להוכיח שהספק התחייב רשמית לעמוד בדרישות. זה נעשה דרך שלנו חבילות מדיניות. חבילות מדיניות אלו שימושיות במיוחד עבור ארגונים עם מדיניות ובקרות ספציפיות שהם רוצים שהספקים שלהם יצייתו אליהם כדי שיוכלו להיות בטוחים שהספקים שלהם קראו מדיניות זו והתחייבו לציית להם.
ייתכן שיהיה צורך להתאים את השינוי ל-A.6.1.5 אבטחת מידע בניהול פרויקטים בהתאם לאופי השינוי (למשל לשינויים מהותיים יותר).
קפוץ לנושא
