נספח A בקרה 5.22 נועד להבטיח כי מוסכם רמת אבטחת מידע ומתן השירות נשמר. זאת בהתאם לחוזי ספקים לגבי פיתוח שירותי ספקים.
בנספח A 5.22, ארגונים מתוארים כמפקחים, בוחנים ומבקרים באופן קבוע את תהליכי אספקת שירות הספקים שלהם. ביצוע סקירות וניטור נעשה בצורה הטובה ביותר בהתאם למידע שבסיכון שכן מידה אחת אינה מתאימה לכל המצבים.
על ידי ביצוע הסקירות שלו בהתאם לפילוח המוצע של ספקים, הארגון יכול לייעל את משאביו ולהבטיח שהמאמצים שלהם מרוכזים במעקב ובסקירה היכן ניתן להשיג את ההשפעה המשמעותית ביותר.
כמו בנספח A 5.19, לפעמים יש צורך בפרגמטיות - ארגונים קטנים לא בהכרח יקבלו ביקורת, סקירת משאבי אנוש או שיפורי שירות ייעודיים על ידי שימוש ב-AWS. כדי להבטיח שהם יישארו מתאימים למטרה שלך, תוכל לבדוק (לדוגמה) את דוחות SOC II ואישורי האבטחה המתפרסמים מדי שנה.
הניטור צריך להיות מתועד בהתבסס על הכוח, הסיכונים והערך שלך, כדי שהמבקר שלך יוכל לאשר שהוא הושלם. הסיבה לכך היא שכל השינויים הדרושים נוהלו באמצעות הליך בקרת שינויים פורמליים.
על הספקים לתחזק ולשפר מדיניות, נהלים ובקרות קיימים של אבטחת מידע כדי לנהל כל שינוי במתן השירותים על ידי ספקים. התהליך מתייחס לקריטיות המידע העסקי, אופי השינוי, סוגי הספקים המושפעים, התהליכים והמערכות המעורבים והערכה מחודשת של סיכונים.
בביצוע שינויים בשירותי הספקים חשוב לקחת בחשבון גם את האינטימיות שבקשר. זאת, כמו גם היכולת של הארגון להשפיע או לשלוט בשינוי בתוך הספק.
בקרה 5.22 מציינת כיצד ארגונים צריכים לפקח, לסקור ו לנהל שינויים בשיטות האבטחה ובשירות של ספק תקני אספקה. זה גם מעריך כיצד הם משפיעים על נוהלי האבטחה של הארגון עצמו.
בניהול היחסים עם הספקים שלהם, ארגון צריך לשאוף לשמור על רמת אבטחת מידע בסיסית התואמת את כל ההסכמים עליהם חתמו.
בהתאם ל-ISO 27001:2022, נספח A 5.22 הוא בקרה מונעת שנועדה למזער סיכונים על ידי סיוע לספק לשמור על "רמה מוסכמת של אבטחת מידע ואספקת שירות.
חבר בהנהלה הבכירה המפקח על הפעילות המסחרית של ארגון ושומר על קשר ישיר עם ספקי הארגון צריך להיות אחראי על בקרה 5.22.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
לפי ISO 27001:2022 נספח א' בקרה 5.22, 13 תחומי מפתח צריכים להילקח בחשבון בעת ניהול קשרי ספקים וכיצד גורמים אלה משפיעים על אמצעי אבטחת המידע שלהם.
ארגון חייב להבטיח שלעובדים האחראים על ניהול הסכמי רמת השירות ויחסי הספקים יש את המיומנויות והמשאבים הטכניים הנדרשים. זאת כדי להבטיח שהם מסוגלים להעריך את ביצועי הספקים בצורה נאותה ושתקן אבטחת המידע לא יופר.
המדיניות והנהלים של ארגון צריכים להיות מנוסחים על ידי:
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
---|---|---|---|
בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מטרת בקרה זו של נספח A נעשתה קלה מאוד על ידי ISMS.online. הסיבה לכך היא ש-ISMS.online מספק ראיות לכך שמערכות היחסים שלך נבחרות בקפידה, מנוהלות היטב, ומפוקחות ונבדקות. זה נעשה באזור קשרי החשבונות הקלים לשימוש שלנו (למשל ספקים). פרויקטים של שיתופי פעולה חללי עבודה מאפשרים למבקר לראות בקלות ספק חשוב בעלייה, יוזמות משותפות, יציאה למטוס וכו'.
בנוסף לסיוע לארגון שלך עם מטרת בקרה זו בנספח A, ISMS.online גם מספק לך את היכולת לספק ראיות לכך שהספק קיבל רשמית את הדרישות והבין את אחריותו לאבטחת מידע באמצעות ערכות המדיניות שלנו. כתוצאה מהמדיניות והבקרות הספציפיות שלהם, ערכות מדיניות מבטיחות לספקים שהצוות שלהם קרא והתחייב לציית למדיניות והבקרות של הארגון.
ייתכן שתהיה דרישה רחבה יותר להתיישר עם נספח A.5.8 אבטחת מידע בניהול פרויקטים, בהתאם לאופי השינוי (למשל לשינויים מהותיים יותר).
יישום ISO 27001 קל יותר עם רשימת הבדיקה המפורטת שלנו, המנחה אותך מהגדרת היקף ה-ISMS שלך לזיהוי סיכונים ויישום בקרות.
ISMS.online מציע את היתרונות הבאים:
צור איתנו קשר עוד היום כדי קבע הדגמה.