אבטחת מידע ביחסי ספקים

ISO 27002:2022 – בקרה 5.19 – אבטחת מידע ביחסי ספקים

ISO 27002:2022 בקרה 5.19 מתמקד בניהול סיכוני אבטחת מידע ביחסי ספקים על ידי הטמעת מדיניות, בדיקת ספקים והבטחת ציות להגנה על נתונים ארגוניים. הוא מדגיש בעלות של ההנהלה הבכירה ומתווה 14 נקודות הנחיה מרכזיות להפחתת סיכונים.

מטרת הבקרה 5.19

בקרה 5.19 עוסקת בחובתו של ארגון להבטיח כי בעת שימוש במוצרים ושירותים בצד הספק (כולל ספקי שירותי ענן), ניתנת התחשבות נאותה ברמת הסיכון הגלומה בשימוש במערכות חיצוניות, וההשפעה הנובעת מכך שעלולה להיות שלהם דבקות באבטחת מידע.

5.19 הוא בקרה מונעת זֶה משנה סיכון על ידי שמירה על נהלים המתייחסים לסיכוני אבטחה מובנים הקשורים לשימוש במוצרים ו שירותים הניתנים על ידי צדדים שלישיים.

בעוד שבקרה 5.20 עוסקת באבטחת מידע במסגרת הסכמי ספקים, בקרה 5.19 עוסקת באופן נרחב בעמידה לאורך כל מהלך היחסים.

טבלת בקרה של תכונות 5.19

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#אבטחת קשרי ספקים	#ממשל ומערכת אקולוגית
	#יושרה			#הֲגָנָה
	#זמינות

בעלות על שליטה 5.19

בעוד ש-Control 5.19 מכיל הנחיות רבות לגבי השימוש בשירותי ICT, ההיקף הרחב יותר של הבקרה מקיף היבטים רבים אחרים של מערכת היחסים של ארגון עם בסיס הספקים שלו, כולל סוגי ספקים, לוגיסטיקה, שירותים, שירותים פיננסיים ורכיבי תשתית).

ככזה, הבעלות על Control 5.19 צריכה להיות בידי חבר הנהלה בכירה המפקחת על הפעילות המסחרית של ארגון, ושומרת על קשר ישיר עם ספקי הארגון, כגון סמנכ"ל תפעול.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

ליווי כללי

עמידה ב-Control 5.19 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לאבטחת מידע ביחסי ספקים.

גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות הקשורה לספקים המותאמים לפונקציות עסקיות בודדות, במקום לדבוק בשמיכה מדיניות ניהול ספקים זה חל על כל קשרי צד שלישי בכל הפעילות המסחרית של ארגון.

חשוב לציין ש-Control 5.19 מבקש מהארגון ליישם מדיניות ונהלים שלא רק מסדירים את השימוש של הארגון במשאבי הספקים ובפלטפורמות הענן, אלא גם מהווים את הבסיס לאופן שבו הם מצפים מהספקים שלהם להתנהל לפני ולאורך תקופת הקדנציה של הקשר המסחרי.

ככזה, ניתן לראות ב-Control 5.19 את המסמך הכשיר החיוני המכתיב את אופן הטיפול בניהול אבטחת המידע במהלך חוזה הספק.

בקרה 5.19 מכילה 14 נקודות הנחיה עיקריות שיש להקפיד עליהן:

1) שמור על רישום מדויק של סוגי ספקים (למשל שירותים פיננסיים, חומרת ICT, טלפוניה) שיש להם פוטנציאל להשפיע על שלמות אבטחת המידע.

מענה לארועים - נסח רשימה של כל הספקים והספקים שאיתם הארגון שלך עובד, סיווג אותם לפי תפקידם העסקי והוסף קטגוריות לסוגי הספקים האמורים לפי הצורך.

2) הבן כיצד לטפל בספקים, בהתבסס על רמת הסיכון הגלומה בסוג הספק שלהם.

מענה לארועים – סוגי ספקים שונים ידרשו בדיקות נאותות שונות. שקול להשתמש בשיטות בדיקה על בסיס ספק-ספק (למשל הפניות בענף, דוחות כספיים, הערכות באתר, הסמכות ספציפיות למגזר כגון שותפויות של Microsoft).

3) זהה ספקים שיש להם בקרות אבטחת מידע קיימות.

מענה לארועים – בקש לראות עותקים של נהלי ניהול אבטחת המידע הרלוונטיים של הספקים, על מנת להעריך את הסיכון לארגון שלך. אם אין להם, זה לא סימן טוב.

4) זהה והגדר את התחומים הספציפיים של תשתית ה-ICT של הארגון שלך שהספקים שלך יוכלו לגשת אליהם, לנטר או לעשות בהם שימוש בעצמם.

מענה לארועים – חשוב לקבוע מלכתחילה במדויק כיצד הספקים שלכם עומדים לקיים אינטראקציה עם נכסי ה-ICT שלכם – בין אם הם פיזיים או וירטואליים – ואילו רמות גישה מוענקות להם בהתאם להתחייבויות החוזיות שלהם.

5) הגדירו כיצד תשתית ה-ICT של הספקים עצמם יכולה להשפיע על הנתונים שלכם ושל הלקוחות שלכם.

מענה לארועים – המחויבות הראשונה של ארגון היא למערכת של תקני אבטחת מידע משלו. יש לבדוק את נכסי ה-ICT של הספקים בהתאם לפוטנציאל שלהם להשפיע על זמן פעולה ושלמות בכל הארגון שלך.

6) לזהות ולנהל את השונות סיכוני אבטחת מידע מצורף ל:

a. שימוש ספק במידע סודי או בנכסים מוגנים (למשל מוגבל לשימוש זדוני ו/או כוונה פלילית).

b. חומרה פגומה של ספק או פלטפורמת תוכנה לא תקינה הקשורה לשירותים מקומיים או מבוססי ענן.

מענה לארועים - ארגונים צריכים להיות מודעים כל הזמן לסיכוני אבטחת המידע הקשורים לאירועים קטסטרופליים, כגון פעילות מזעזעת של משתמשים בצד הספק או תקריות תוכנה גדולות בלתי צפויות, והשפעתם על אבטחת המידע הארגונית.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

המשך הנחיות כלליות

7) מעקב אחר תאימות לאבטחת מידע על בסיס נושא ספציפי או סוג ספק.

מענה לארועים – הצורך של הארגון להעריך את השלכות אבטחת המידע הגלומות בכל סוג ספק, ולהתאים את פעילות הניטור שלהם כדי להתאים לרמות סיכון שונות.

8) הגבל את כמות הנזק ו/או ההפרעה שנגרמו עקב אי ציות.

מענה לארועים – יש לעקוב אחר פעילות הספקים באופן מתאים ובדרגות שונות בהתאם לרמת הסיכון שלו. כאשר מתגלה אי ציות, באופן יזום או תגובתי, יש לנקוט בפעולה מיידית.

9) לשמור על נוהל ניהול אירועים חזק שמתייחס לכמות סבירה של מקרים.

מענה לארועים – ארגונים צריכים להבין במדויק כיצד להגיב כאשר הם מתמודדים עם מגוון רחב של אירועים הקשורים לאספקת מוצרים ושירותים של צד שלישי, ולהתווה פעולות מתקנות הכוללות הן את הספק והן את הארגון.

10) חוקק אמצעים הנותנים מענה לזמינות ועיבוד המידע של הספק, בכל מקום בו נעשה בו שימוש, ובכך להבטיח את שלמות המידע של הארגון עצמו.

מענה לארועים – יש לנקוט בצעדים על מנת להבטיח שמערכות הספקים והנתונים יטופלו באופן שאינו מתפשר על הזמינות והאבטחה של המערכות והמידע של הארגון עצמו.

11) נסח תוכנית הדרכה יסודית המציעה הדרכה כיצד הצוות צריך לקיים אינטראקציה עם אנשי הספק ומידע על בסיס ספק אחר ספק, או על בסיס סוג אחר סוג.

מענה לארועים – ההכשרה צריכה לכסות את כל קשת הממשל בין ארגון לספקיו, כולל מעורבות, פרטנית בקרות ניהול סיכונים ונהלים ספציפיים לנושא.

12) להבין ולנהל את רמת הסיכון הגלומה בהעברת מידע ונכסים פיזיים ווירטואליים בין הארגון לספקיהם.

מענה לארועים - ארגונים צריכים למפות כל שלב בתהליך ההעברה ולחנך את הצוות לגבי סיכונים הקשורים להעברת נכסים ומידע ממקור אחד למשנהו.

13) ודא כי קשרי ספקים נסתיימו מתוך מחשבה על אבטחת מידע, כולל הסרת זכויות גישה ויכולת גישה למידע ארגוני.

מענה לארועים – צוותי ה-ICT שלך צריכים להיות בעלי הבנה ברורה כיצד לשלול את הגישה של ספק למידע, כולל:

ניתוח מפורט של כל דומיין משויך ו/או חשבונות מבוססי ענן.
הפצת קניין רוחני.
העברה של מידע בין ספקים, או חזרה לארגון שלך.
ניהול רשומות.
החזרת נכסים לבעליהם המקורי.
סילוק הולם של נכסים פיזיים ווירטואליים, לרבות מידע.
עמידה בכל דרישה חוזית, לרבות סעיפי סודיות ו/או הסכמים חיצוניים.

14) תאר במדויק כיצד אתה מצפה מהספק להתנהל לגבי אמצעי אבטחה פיזיים ווירטואליים.

מענה לארועים - ארגונים צריכים להגדיר ציפיות ברורות מההתחלה של כל קשר מסחרי, המפרטות כיצד מצופה מאנשי צד הספק להתנהל בעת אינטראקציה עם הצוות שלך או כל נכס רלוונטי.

הדרכה משלימה

ISO מכירה בכך שלא תמיד ניתן לכפות סט שלם של מדיניות על ספק העומדת בכל דרישה ודרישה מהרשימה לעיל, כפי שמתכוונת בקרה 5.19, במיוחד כאשר מדובר בארגונים נוקשים במגזר הציבורי.

עם זאת, בקרה 5.19 קובעת בבירור שארגונים צריכים להשתמש בהנחיה לעיל בעת יצירת קשרים עם ספקים, ולשקול אי-עמידה על בסיס כל מקרה לגופו.

כאשר לא ניתן להשיג תאימות מלאה, Control 5.19 נותן לארגונים חופש פעולה על ידי המלצה על "בקרות פיצוי" המשיגות רמות נאותות של ניהול סיכונים, בהתבסס על הנסיבות הייחודיות של הארגון.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים מ-ISO 27002:2013

27002:2022-5.19 מחליף את 27002:2013-5.1.1 (מדיניות אבטחת מידע לקשרי ספקים).

27002:2022-5.19 דבק באופן כללי לאותם מושגים בסיסיים הכלולים בבקרה של 2013, אך מכיל מספר אזורי הדרכה נוספים אשר הושמטו מ-27002:2013-5.1.1, או לכל הפחות אינם מכוסים בפירוט רב כל כך, לְרַבּוֹת:

בדיקה של ספקים על סמך סוג הספק ורמת הסיכון שלהם.
הצורך להבטיח את שלמות המידע הספק על מנת לאבטח את הנתונים שלהם, ולהבטיח המשכיות עסקית.
השלבים השונים הנדרשים בעת סיום יחסי ספק, לרבות ביטול זכויות גישה, הפצת IP, הסכמים חוזיים וכו'.

27002:2022-5.19 מפורש גם בהכרה באופי המשתנה ביותר של קשרי ספקים (בהתבסס על סוג, מגזר ורמת סיכון), ומעניק לארגונים מידה מסוימת של מרחב פעולה כאשר בוחנים את האפשרות של אי ציות לכל נקודת הנחיה נתונה. בהתבסס על אופי הקשר (ראה 'הנחיות משלימות' לעיל).

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

שימוש ISMS.online אתה יכול:

ליישם במהירות א מערכת ניהול אבטחת מידע (ISMS).
נהל בקלות את התיעוד של ה-ISMS שלך.
ייעול עמידה בכל התקנים הרלוונטיים.
נהל את כל ההיבטים של אבטחת מידע, מניהול סיכונים ועד הדרכת מודעות לאבטחה.
תקשר ביעילות בכל הארגון שלך באמצעות פונקציונליות התקשורת המובנית שלנו.

זה עניין פשוט של יצירת חשבון ניסיון בחינם וביצוע השלבים שאנו מספקים.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו