ISO 27001:2022 נספח A 6.6 קובע שארגונים חייבים לנקוט באמצעים כדי להגן על מידע סודי מפני חשיפה לא מורשית. זה כולל יצירת הסכמי סודיות עם בעלי עניין וצוות.
ארגונים צריכים ליצור תנאים להסכמים שלהם עם גורמים אחרים לאחר ששקלו את התנאים של הארגון אבטחת מידע הצרכים, סוג המידע שיש לנהל, רמת הסיווג שלו, המטרה שלשמה הוא נועד והגישה המותרת לצד השני.
הסכם סודיות או סודיות (NDA) הוא מסמך משפטי האוסר חשיפה של סודות מסחריים ומידע סודי אחר.
מידע סודי יכול להקיף את התוכנית העסקית של החברה, נתונים פיננסיים, רשימות לקוחות ופרטים בלעדיים אחרים. חוזים אלה מנוצלים במגוון נסיבות, כגון:
שותפויות כוללות לעתים קרובות סעיפי סודיות בהסכם השותפות שלהם, לפיהם כל שותף מסכים לשמור כל מידע סודי שנרכש במהלך השותפות בסודיות מלאה.
הסכמי סודיות נמצאים בשימוש נפוץ על ידי אנשים ועסקים כאחד. הם משרתים מגוון יעדים, כולל:
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
יש ליישם את ISO 27001:2022 נספח A 6.6 כדי להבטיח את אבטחת הנתונים כאשר צוות, שותפים וספקים משתפים פעולה עם ארגון.
בקרה זו נועדה לאבטח את נתוני הארגון וליידע את החותמים על חובתם לנהל ולהגן על המידע באחריות ובחוק. הוא משמש גם ככלי לשמירה על זכויות קניין רוחני, למשל, פטנטים, סימני מסחר, סודות מסחריים וזכויות יוצרים.
מעסיקים צריכים לוודא שהסכם סודיות קיים לפני חשיפת מידע סודי לעובד או לקבלן. ההסכם יבהיר את אחריותו של הפרט לשמור על סודיות המידע ומשך תקופת החיסיון לאחר סיום העסקתו.
ISO 27001:2022 נספח א' Control 6.6 נועד להגן על הקניין הרוחני והאינטרסים העסקיים של הארגון שלך על ידי עצירת חשיפת נתונים סודיים לצדדים שלישיים. זה כרוך בהקמת הסכם או הסדר משפטי בין הארגון שלך לבין אנשיו, מקורביו, קבלנים, ספקים וגורמים חיצוניים אחרים, השולטים בשימוש במידע מסווג.
מידע סודי הוא כל מידע שלא פורסם ברבים או שותף עם ארגונים אחרים באותו מגזר. זה כולל סודות מסחריים, רישום לקוחות, נוסחאות ואסטרטגיות עסקיות.
הערכת בקרה בעת החלטה אם לצד שלישי יורשה גישה לנתונים אישיים רגישים ואם יש לנקוט בצעדים כדי להבטיח שהם לא ישמרו או ימשיכו לגשת לנתונים האישיים הרגישים של הארגון כשהם עוזבים.
כאשר צד שלישי עוזב ארגון, וקיים פוטנציאל לחשיפה של נתונים רגישים, על הארגון לנקוט בצעדים הדרושים כדי למנוע חשיפה לפני או זמן קצר לאחר עזיבתם.
ISO 27001: 2022 נספח א' 6.6 מחייב כי הצדדים להסכם יימנעו מגילוי מידע סודי הנופל בתחומו. יש צורך בהסכמה מהארגון בכל מקרה בו יש צורך בגילוי, למעט צו בית משפט. הוראה זו חיונית לשמירה על נתונים הנוגעים לפעילות עסקית, קניין רוחני ומחקר ופיתוח.
כדי לעמוד בנספח א' 6.6, יש להכין הסכם/חוזה סודיות וסודיות במדויק כדי להגן על כל הסודות המסחריים והנתונים/מידע הרגיש הקשורים לפעילות החברה ולעסקאותיה. חיוני ששני הצדדים יבינו את החובות והאחריות שלהם על פי ההסכם במהלך ואחרי כריתת השותפות העסקית.
ניתן לכלול סעיף סודיות בחוזים הנמתחים מעבר לעבודתו של העובד או להתקשרות של צדדים שלישיים. זה צריך להיעשות כדי להבטיח שהמידע יישאר מאובטח.
חיוני שעובד עוזב או אחד מחליף עבודה יעבירו את חובות האבטחה והאחריות שלו למישהו חדש, כאשר כל אישורי הגישה יוסרו ואלה החדשים נוצרו.
בעת הערכת הסכמי סודיות ואי גילוי, יש לקחת בחשבון מספר אלמנטים:
על הארגון להבטיח שהסכמי סודיות ואי גילוי עומדים בחוקי תחום השיפוט הרלוונטי.
מעת לעת וכאשר שינויים משפיעים על הדרישות שלהם, יש צורך לעיין בהסכמי סודיות ואי גילוי.
פרטים נוספים על תהליך זה ניתן למצוא בתקן ISO 27001:2022.
ISO 27001:2022 נספח A 6.6 הוא שינוי של ISO 27001:2013 נספח א' 13.2.4, במקום בקרה חדשה.
לשני בקרות נספח A יש מקבילות שונות, אם כי הן אינן זהות. לדוגמה, הוראות היישום של שניהם דומות, אם כי אינן זהות.
החלק הראשון של הנחיות יישום ISO 27001:2013, נספח A 13.2.4, מדגיש כי:
"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על גורמים חיצוניים או עובדי הארגון.
יש לבחור או להוסיף אלמנטים בהתחשב בסוג הצד השני והגישה המותרת שלו או הטיפול במידע סודי".
נספח A 6.6 של ISO 27001:2022 מצהיר שכל ארגון חייב לנקוט באמצעים מתאימים כדי:
"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על בעלי עניין ואנשי הארגון.
בהתבסס על דרישות אבטחת המידע של ארגון, יש לקבוע את התנאים בהסכמים תוך התחשבות בסוג המידע שיטופל, רמת הסיווג שלו, השימוש בו והגישה המותרת של הצד השני".
לשני הפקדים יש מבנה ותפקוד אנלוגיים בהקשרים האישיים שלהם, למרות שהם משתנים במשמעות הסמנטית. נספח A 6.6 משתמש בשפה פשוטה וידידותית יותר למשתמש, מה שמקל על הבנת התוכן וההקשר. לפיכך, משתמשים יכולים להזדהות בקלות רבה יותר עם התקן.
השמיים פרק 2022 של ISO 27001 כולל הצהרות כוונות וטבלאות תכונות לפי נספח א' בקרה, כדי לסייע בהבנה וביישום מוצלח. זה לא מסופק במהדורת 2013.
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
לפי נספח A 6.6 של ISO 27001:2022, מחלקת משאבי אנוש מפקחת בדרך כלל על ניסוח ואכיפת הסכם הסודיות/סודיות ברוב הארגונים, תוך עבודה בשיתוף עם המנהל/המחלקה המפקחת של הצד השלישי הרלוונטי.
קצין אבטחת המידע, המכירות או מנהל הייצור יכולים כולם לשמש כמנהל המפקח.
המחלקות והמנהלים חייבים להבטיח שלכל ספקי צד שלישי המועסקים בארגון יש אמצעי בטיחות נאותים כדי להגן על נתונים סודיים מפני שחרור או שימוש לא מאושרים.
על כל העובדים לחתום על הסכם סודיות בתחילת עבודתם בחברה.
בארגונים רבים, ללא קשר לגודלם, כל הצוות המטפל במידע סודי נדרש לחתום על הסכם סודיות או סודיות.
עובדים במחלקות מכירות, שיווק, שירות לקוחות ואחרות המקיימים אינטראקציה עם מידע סודי לגבי לקוחות, לקוחות וספקים חייבים לקבל הדרכה.
לארגונים יש לקבוע מדיניות המחייבת את הצוות לחתום על הסכם סודיות לפני קבלת גישה למידע רגיש הנוגע ללקוחות או לספקים, גם אם אין הסכם בכתב.
אי קיום מדיניות הסכם סודיות עלול להוביל לסיכונים חמורים. סיכונים אלו כוללים:
תקן ISO 27001 נותר ללא שינוי במידה רבה. כדי לשפר את השימושיות, הוא פשוט עודכן. לפיכך, ארגונים המצייתים לתקן זה אינם צריכים לנקוט בצעדים נוספים כדי להמשיך לעמוד בדרישות.
על מנת לעמוד בשינויים ב-ISO 27001:2022, ייתכן שהארגון יצטרך לבצע שינויים קלים בתהליכים ובנהלים הנוכחיים שלו, במיוחד אם הם דורשים הסמכה מחדש.
כדי לקבל תובנה נוספת לגבי ההשפעה של תיקון ISO 27001:2022 על העסק שלך, אנא עיין במדריך ISO 27001 שלנו.
ISMS.Online מסייעת לארגונים ועסקים לעמוד בסטנדרטים של ISO 27001:2022 על ידי מתן פלטפורמה שמפשטת את הניהול של פרוטוקולי סודיות או אי חשיפה, המאפשרים לעדכן אותם לפי הצורך, לבדוק ולעקוב אחר יעילותם.
אנו מספקים מכשיר מבוסס ענן פלטפורמה לניהול סודיות ואבטחת מידע מערכות ניהול, לרבות סעיפי אי גילוי, ניהול סיכונים, מדיניות, תוכניות ונהלים, הכל במקום מרוכז אחד. הפלטפורמה ידידותית למשתמש ובעלת ממשק אינטואיטיבי המקל על הלמידה.
ISMS.Online מאפשר:
ISMS.Online מספקת מבחר מקיף של כלים כדי לעזור לחברות וארגונים לעמוד בדרישות של ISO 27001 ו/או ISO 27001 ISMS. אנו מקלים על עמידה בתקן התעשייה ומעניקים לך שקט נפשי.
צור איתנו קשר עכשיו כדי לארגן הפגנה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
