מיקרוסופט אבטחת ספקים ואבטחת פרטיות (SSPA) התוכנית דורשת שלספקים שלה תהיה תוכנית אבטחה ופרטיות נאותה לעיבוד נתונים סודיים או נתונים אישיים של Microsoft.

נכון לדצמבר 2021, Microsoft קובע בה SSPA שהיא לא תקבל עוד את SOC 2 דיווחים; במקום זאת, ISO 27001 ו-ISO 27701 רשומים כדרישות.

  • גרסה 7, פורסמה בנובמבר 2020 - עמודים 11, 14 ו-15

  • ראה נספח א': דוחות SOC 2 (עם כיסוי אבטחה) לא יתקבלו מעבר לדצמבר 2021

  • עיבוד נתונים סודיים: שלח ISO 27001

  • עיבוד נתונים אישיים וסודיים: שלח את ISO 27701 ו-ISO 27001

ל"אישור" של מיקרוסופט ל-ISO 27001 ול-ISO/IEC 27701 יש השלכות רחבות. כאשר מובילה בתעשייה באבטחת מידע ופרטיות, כגון מיקרוסופט, "תומכת" רשמית בתקן אחד על פני תקן אחר באופן זה, חובה על מובילי התעשייה האחרים לעקוב אחריהם. זה מסמן שינוי משמעותי מהדרישה המקובלת בעבר בארה"ב לציית ל-SOC 2.

מהי תוכנית האבטחה והפרטיות של הספקים (SSPA)?

תוכנית אבטחת הספקים והבטחת הפרטיות היא יוזמה ארגונית שבוצעה על ידי מיקרוסופט כדי להבטיח שהספקים עומדים בדרישות הגנת הנתונים המחמירות של מיקרוסופט. דרישות הגנת הנתונים של ספקי Microsoft ("DPR") הן הוראות עיבוד הנתונים הבסיסיות של Microsoft לספקים.

דרישות הגנת הנתונים של הספקים של מיקרוסופט (MSDRP) מתארות את הוראות עיבוד הנתונים של מיקרוסופט, המסופקות באמצעות תוכנית אבטחת הספקים והבטחת הפרטיות לספקים העובדים עם נתונים סודיים ו/או נתונים אישיים של מיקרוסופט.

תוכנית SSPA מכסה מגוון רחב של פעילויות עיבוד נתונים סודיות, כולל תגובת ביקורת ודיווח; ניהול גישה לנתונים; ניהול אירועי אבטחת מידע; ניהול סיכונים של צד שלישי; הערכות השפעת פרטיות, ואישורי פרטיות של נתוני ספקים. בעיקרו של דבר, תוכנית SSPA מספקת הנחיות לניהול סיכונים הקשורים לעיבוד נתונים אישיים עבור גורמים חיצוניים.

"ה-SSPA מניע עמידה בדרישות אלה באמצעות מחזור ציות שנתי; עבור ספקים חדשים, העבודה לא יכולה להתחיל עד שזה הושלם. אם ספק מעבד נתונים אישיים ו/או נתונים סודיים של Microsoft, הוא ישתף פעולה עם נותן החסות העסקי שלו כדי להירשם לתוכנית SSPA. ניתן גם לבחור ספקים לספק ביטחון עצמאי על ידי השלמת הערכה מול ה-DPR."

"נוהלי פרטיות ואבטחה חזקים הם קריטיים למשימה שלנו, חיוניים לאמון הלקוחות, ובמספר תחומי שיפוט, הנדרשים על פי חוק. הסטנדרטים הכלואים במדיניות הפרטיות והאבטחה של מיקרוסופט משקפים את הערכים שלנו כחברה, ואלה חלים על הספקים שלנו (כגון החברה שלך) המעבדים את נתוני מיקרוסופט בשמנו."

לסיכום, Microsoft Supplier Security and Privacy Assurance (SSPA) היא תוכנית כלל-חברה המבטיחה לספקי Microsoft מוגנים כראוי מבחינת אבטחת מידע ופרטיות כדי שיורשו לעבד נתונים אישיים, נכסי מידע או נתונים סודיים של Microsoft בהתאם ל-Microsoft. מדיניות.

נניח שמיקרוסופט עדיין לא מאשרת ספק חדש. במקרה זה, עליה להוכיח תאימות ל-Microsoft באמצעות הסמכות ISO 27001 ו-ISO 27701 או לעבור הערכת SSPA על ידי אחד מ"המעריכים המועדפים" של מיקרוסופט לפני האישור. מיקרוסופט מאמתת את התאימות של הספקים שלה על בסיס שנתי.

מדוע מיקרוסופט הורידה את SOC 2 לטובת ISO?

האישור של מיקרוסופט ל-ISO 27001 ו-27701 הוא הצבעת אמון מכרעת לטובת אישורי ISO 27001 ו-27701 כדי להציג את תוכנית המידע והפרטיות המקיפה של הארגון שלך, בהתאם לחוקי הפרטיות והתקנות החשובים כמו GDPR, CCPA, POPIA, APPS ו-APAC.

  • תאימות SOC אינה מוכרת בינלאומית, ואילו תקני ISO. חשוב לציין ש-ISO 27701 עדיין מעודכן (פורסם ב-2019), מה שאומר שהוא תואם באופן הדוק לחוקים ולתקנות הפרטיות הבינלאומיים.

  • אין צורך לקבל אישור SOC 2 מגוף הסמכה בלתי תלוי, מה שאומר שהוא פתוח יותר לאפשרות של רמה של חוסר יושר הדומה לסימון שיעורי הבית שלך.

  • דוח SOC 2 הוא בדרך כלל ארוך מ-100 עמודים, וצדדים שלישיים רק לעתים רחוקות נותנים לו את הבדיקה הדרושה לו מכיוון שהם כל כך ארוכים.

  • חשוב לציין שהביקורות שבוצעו על ידי SOC 2 יכולות להיות מכבידות, מייגעות ויקרות עבור הספקים.

  • שמירה על הסמכת ISO 27001 היא זולה יותר מאשר שמירה קבועה על תוכניות אישורי ביקורת SOC 2 מעודכנות.

  • העלות של אחזקת הסמכה ISO 27701 נמוכה יותר מזו של אחזקת SOC 2 Type 2 עם אישור קריטריוני אמון פרטיות.

  • הניהול של אבטחה ופרטיות כמבנה לוגי יחיד בתוך מערכת ניהול מידע פרטיות בתקן ISO 27701 (PIMS) הוא קל במיוחד מהפעלת תוכניות שונות זו לצד זו.

כל מי שעזרנו לנו ללכת על ISO 27001 עבר בפעם הראשונה. גם אתה יכול.
הזמן את ההדגמה שלך

האם ISO 27001 טוב יותר מדוח SOC 2?

הפרטים המורכבים והיתרונות של השניים הושוו בהרחבה במאמרים רבים באינטרנט. התשובה לשאלה זו תמיד לא מספקת: "זה תלוי", כלומר תלוי איפה אתה נמצא ביחס ללקוחות שלך.

במילים אחרות, כפי שהעצה אומרת, אם רוב הלקוחות שלך ממוקמים בארצות הברית, אז אתה צריך ללכת עם SOC 2. אם רוב הלקוחות שלך ממוקמים מחוץ לארה"ב, אז ISO 27001 יהיה בחירה טובה. זה שגוי ביסודו ולא יעיל עבור ארגונים חוצי-לאומיים, חברות SaaS או דומות לעקוב אחר העצה הזו, מכיוון שהיא לא עובדת.

לחברות SaaS, למשל, יהיה כמעט בוודאות שילוב של לקוחות מקומיים ובינלאומיים; אם לא עכשיו, אז זה כמעט בוודאות על מפת הדרכים בעתיד הקרוב.

יתרה מכך, רוב החברות הופכות ליותר ויותר בינלאומיות בפעילותן, וזו הסיבה שהסמכה כזו הפכה להכרח מלכתחילה. בנוסף, החברות שדורשות מלכתחילה הסמכות כמו ISO 27001 פועלות לרוב בכל מקרה בעולם.

הנקודה הקריטית, לעומת זאת, היא הבאה. עבדנו ב-SaaS ובתאימות גלובלית במשך שנים רבות ב-ISMS.online. ככל הידוע לנו, לא נתקלנו במצב שבו חברה ביקשה SOC 2 אך דחתה את ISO 27001 כשהוצע לה.

אז מה ההבדל העיקרי? האם אחד לא טוב כמו השני? ובכן, כן ולא. עם זאת, מבחינה בינלאומית זה די נפוץ שההפך מתרחש.

SOC 2 יחזיק מקום לכמה ארגונים המתמקדים בארה"ב, אבל הכסף החכם הוא בקבלת ISO 27001 ובמידת הצורך ISO 27701.

ההמלצה שלנו היא, לפיכך, עדיין ISO 27001 על פני SOC 2 אפילו עבור חברות מבוססות ארה"ב, כאשר רוב הלקוחות שלהן מבוססים בארה"ב.

מדוע ISO 27001 הוא הבחירה הטובה יותר

חשוב לציין שמסגרת SOC 2 מבוססת על חמישה עקרונות אמון. אלה הם אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות.

כדי לקבל דוח SOC 2, אתה רק צריך ליישם את הראשון, שהוא אבטחה, בארגון שלך. השאר הם רק אמצעים מומלצים שאולי תנקוט או לא. אמצעים אלה אינם משפיעים על הדוח שלך אם הם לא מיושמים בתוך הארגון שלך. במילים אחרות, הדוח שלך לא יושפע אם התהליכים שלך אינם חסויים או אם הם לא יעובדו ביושר.

אין ספק שזה הופך את קריטריוני שירותי האמון של SOC 2 להרבה יותר גמישים וקלים. עם זאת, זה משאיר את הדלת פתוחה לנטייה הטבעית שלנו לרצות לעשות את המינימום כדי לסמן את תיבת הציות.

כולנו יכולים להתייחס לזה, אבל זה לא בהכרח אומר שזה דבר טוב. למרות שאתה מסמן תיבות, הדוח שאתה מגיש למבקר שלך בסוף התהליך לא אומר שהתהליכים שלך מאובטחים.

חברות רבות מגיעות בסופו של דבר עם דוחות שהם 'תרגילי תיבת סימון' אבל לא ממש 'הושלמו' או מנגנוני ציות חזקים.

במילים אחרות, הדוחות שלהם אינם שלמים מכיוון שהם אינם מוכיחים עמידה בכל חמשת עקרונות שירות האמון במסגרת SOC type i או type ii.

לעומת זאת, ISO 27001 מבטיח שהבקרות המיושמות בארגון שלך מבוססות על הערכת סיכונים של הארגון שלך ודרישות אבטחת המידע שלך.

עם יישום נכון של מערכת ניהול אבטחת מידע, אתה לא יכול לברוח מאי הטמעת כל הבקרות בתוך ISO 27001 ללא סיבה טובה.

בקרות האבטחה שלך תמיד יהיו מודאגות באבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות במהלך תהליך היישום.

קחו רגע לחשוב על זה לרגע. במונחים של הגנה על המידע של הלקוחות שלך, האם באמת ניתן לצפות ממך לטפל באבטחה מבלי להתמודד עם שלמות נתוני הלקוחות, סודיות ופרטיות בו זמנית?

יתר על כן, זמינות היא הגורם החשוב ביותר עבור הלקוחות שלך, במקום השני רק לאבטחה מבחינת סדרי העדיפויות שלהם.

זה חשוב במיוחד בעת שמירה על מידע אישי כגון מספרי כרטיסי אשראי ומספרי תעודת זהות. זה יהיה הכי טוב אם תנקוט בכל אמצעי הזהירות כדי להגן על מידע זה מפני גניבה או שימוש לרעה על ידי האקרים או גורמים זדוניים אחרים.

מה זה אומר עבור העסק שלך והצעדים הבאים

בשל היתרונות הרבים ש-ISO 27001 מציע, ISO 27001 ו-27701 הם הבחירה הברורה/ות אם ברצונך ליישם מסגרת בקרת אבטחת מידע חזקה ולא רק לסמן תיבות לגבי אבטחת מידע, אבטחת סייבר ופרטיות.

יישום ISMS יעזור לך להשיג ציות לרגולציה ולהפחית את הסיכונים של הפרות, אי ציות או גרוע מכך. זה עוזר לזהות נקודות תורפה וחולשות בעמדת אבטחת הסייבר של הארגון שלך לפני שהן הופכות לבעיה. זה יכול למנוע נזק למוניטין וקנסות כספיים/עונשים אפשריים.

מוכן לעשות מעשה?

הזמן את ההדגמה שלך

תמונת cta

ISO 27001 מניע את השיטות המומלצות ומשתלב עם תקנים אחרים

אחד המרכיבים העיקריים של ISO 27001 הוא ISO Annex L, תיאור הדרישות והמאפיינים למערכת ניהול גנרית, המתאר בעצם את התכונות והדרישות של המערכת. 

אי אפשר להפריז בחשיבותה של נקודה זו. מערכת ניהול עבור החברה שלך יכולה לחרוג מההגנה על נכסי המידע והפרטיות. ISMS מקדם שיטות עסקיות חזקות וביצועים ארגוניים טובים יותר. זה, בתורו, מאפשר לך לשרת את הלקוחות שלך טוב יותר ולהשיג את היעדים העסקיים שלך מהר יותר ויעילה יותר.

הטמעת ISMS מאפשרת לך לעקוב אחר שיטות עבודה נוכחיות, למדוד ביצועים ולמקד אזורים לשיפור לאורך זמן. זה גם עוזר לך לשמור על יתרון תחרותי באמצעות שיפור שביעות רצון הלקוחות, אופטימיזציה של הפעילות העסקית וזיהוי הזדמנויות צמיחה.

אף על פי ש-ISO 27001 מתמקד באבטחת מידע, נספח L פירושו שהוא משתלב היטב עם תקני ISO אחרים המבוססים גם הם על נספח L. כחלק מפעילויות הפיתוח והשיפור הכוללות של מערכת הניהול שלך, ייתכן שתרצה להציג תקנים אלה במועד מאוחר יותר. תַאֲרִיך. ישנם למעלה מ-50 תקני ISO, כולל ISO 9001 לניהול איכות ו ISO 22301 להמשכיות עסקית.

למרות שאיננו מציעים לך להסתכל על הסטנדרטים הללו, לעת עתה, הנקודה היא שזה אפשרי. תקני ISO ופלטפורמת מערכת הניהול המשולבת (IMS) של ISMS.online מספקים נתיב שדרוג, כך שלא תצטרך לקנות תוכנה חדשה. מסגרת סילו כגון SOC 2 אינה מציעה את ההטבה הזו.

ISO 27001 עולה פחות

קיימת טעות נפוצה לפיה יישום תקן ISO 27001 יקר יותר מהטמעת SOC 2; למעשה, הסמכת ISO 27001 זולה יותר ליישום ולתחזוקה מאשר SOC 2, ובפער סביר.

ביקורת ISO 27001 מתמקדת בהפעלת מערכת ניהול אבטחת המידע (ISMS) כדי לאשר את היישום הנכון של בקרות נספח A, כך שהעלות נמוכה מביקורת SOC 2. בהתאם לכך, הביקורת מדגימה רק בקרות טכניות (נספח א'). בשל היעדר ISMS, ביקורות SOC 2 מתמקדות בהערכת בקרות אבטחה של TSC ולא ב-ISMS.

יתרון משמעותי של הסמכת ISO הוא היותו תעשייה תחרותית, כך שתוכל בקלות למצוא את המחיר הטוב ביותר.

על מנת לבצע ביקורת SOC 2, עליך למצוא חברה בעלת רישיון רו"ח (רואה חשבון מוסמך) המסוגלת לבצע את הביקורות הללו. באירופה, במיוחד, מעט מאוד חברות עושות זאת, ואלו שכן נוטות להיות חברות השירותים המקצועיות הגדולות יותר, מה שאומר שהן גובות יותר.

עלויות תחזוקה ואישור מחדש ומסגרות זמן

ארגונים אחראים לשמירה על הסמכת ה-ISO שלהם באמצעות ביקורת מעקב (בדיקה) המתבצעת מדי שנה או כל שישה חודשים, בהתאם לגודל והיקף הארגון שלך בשנים 2 ו-3. ביקורות קצרות יותר אלו משתלמות יותר מהביקורת הראשונית להסמכה מכיוון שלוקח להם כשליש מהזמן להשלים. במהלך השנה הרביעית תידרש לעבור הסמכה מחדש מלאה, ומחזור הביקורת יתחיל שוב.

כחלק מ-SOC 2, אתה זקוק לביקורת שנתית מלאה כדי להבטיח שהאישור של משרד הביקורת נשאר בתוקף. אמנם לא תצטרך להוציא את אותו הסכום כמו שנרשמת אליהם בפעם הראשונה בשנה 1, אבל דוח הביקורת המעודכן עדיין יעלה לך לפחות 10,000 אירו.

בהתאם לכך, אם אתה מניח שכל השאר שווה, ל-ISO 27001 יש תג מחיר נמוך יותר מ-SOC 2 בטווח הארוך.

כבר אישור ISO 27001?

אם אתה כבר מוסמך ISO 27001, אתה יכול להתאים את תוכנית הפרטיות שלך להנחיות ISO 27701 ולשלב אותה ב-ISMS שלך; שדרוג זה ידוע בשם Privacy Information Management System או PIMS. אתה יכול לקנות את תקן הפרטיות ולשנות את היקף הבקרות והמדיניות שלך כדי לכלול הנחיות PIMS. עבוד עם המבקר שלך כדי להרחיב את היקף ההסמכה שלך כך שיכלול את ISO 27701 בביקורת המעקב או ההסמכה העוקבת שלך.

כבר אושר SOC 2?

מעבר מאישור SOC 2 להסמכת ISO 27001 הוא קצת כרוך, אבל זה לא מאתגר מדי. תצטרך לנהל סיכונים בצורה יעילה ב-ISO 27001, כך שבקרות האבטחה של SOC 2 שיש לך כנראה יהיו זהות.

תידרש לתעד את גישתך ולהגיש אותה למבקר צד שלישי בלתי תלוי לאישור לפני שתאושר. עבור ארגונים קטנים יותר, ISMS.online הופך את הסמכת ISO 27001 לקל לניהול פנימי ללא צורך בתמיכה של יועץ צד שלישי.

עבור ארגונים גדולים יותר, מיקור חוץ של תהליך הסמכת ה-ISMS לצד שלישי בלתי תלוי אינו נדיר מכיוון שהוא מבטיח את האיכות וחוסר פניות של תיעוד ה-ISMS שלך; שוב אינך צריך לעשות זאת עם ISMS.online שכן המאמן הווירטואלי שלנו, Adapt, Adopt Add (AAA Framework) ו-Asured Results Method (ARM) יבטיחו לך את התמיכה הדרושה כדי להשיג הסמכה בפעם הראשונה.

הסמכת SOC 2 כפולה והסמכת ISO 27001 כוללת בעיקר שכבות של ה-ISMS ISO 27001 על גבי הפקדים הקיימים שלך ושינוי חלק מהתיעוד שלך כדי לשקף את ההבדלים במסגרות האישור. ISMS.online מספק נתיב מיפוי ברור בין ISO 27001 ל-SOC 2, המפשט הן את ההסמכה והן את האישור.

כבר אושר SOC 2 (כולל פרטיות)?

כמו בתרחיש הקודם, עליך גם להעביר את תוכנית הפרטיות ל-ISO 27001 יחד עם המעבר SOC 2. שוב, מיפוי SOC 2 ו-ISO 27701 בתוך ISMS.online מפשט את המעבר בין השניים.

לא מוסמך SOC 2 או ISO 27001?

כל עוד יש לך לקוח המבקש אישור, אתה יכול להמשיך את הערכת ה-SSPA השנתית שלך. מומלץ לעבור לכיוון הסמכת ISO 27001 ו-ISO 27701 בתוך 12 חודשים אם אתה נדרש להוכיח אבטחה ותאימות לבעלי עניין אחרים.

אתה יכול להתמקד ב-ISO 27001 במהלך השנה הראשונה שלך אם אתה מוגבל ברוחב פס ו/או תקציב, ולאחר מכן לטפל ב-ISO 27701 במהלך השנה השנייה שלך כאשר אתה עורך את ביקורת המעקב הראשונה שלך, אם יש לך את המשאבים ו/או התקציב לעשות זאת .

כיצד ISMS.online יכול לעזור

כפי שצוין קודם לכן, מיקרוסופט אישרה את תקן ISO 27001 על פני SOC 2, החל מדצמבר 2021, ולמרות שזה לא אומר את פטירתו בזמן של SOC 2, חברות רב לאומיות אחרות כנראה ילכו בעקבותיהן עם דרישות דומות משרשרת האספקה ​​שלהן.

ISMS.online מכין אותך להסמכת ISO27001 על ידי אוטומציה של הרבה מהמשימות הכרוכות בכך. לאחר שתכנסו לחברה שלכם ל-ISMS.online, הפלטפורמה שלנו מספקת את תכנית המיפוי, הכלים, המסגרות, המדיניות, הבקרה, התיעוד הניתן לפעולה והדרכה כדי לעזור לכם לעמוד בכל דרישה של ISO 27001 ובקרת SOC 2.

לחץ כאן כדי הזמן הדגמה.

הורד את המדריך החינמי שלנו להסמכה מהירה ובר קיימא

תמונת cta