ISO 27002:2022, בקרה 5.19 – אבטחת מידע ביחסי ספקים

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

תאגיד,עסק,צוות ומנהל,בפגישה

מטרת הבקרה 5.19

בקרה 5.19 עוסקת בחובתו של ארגון להבטיח כי בעת שימוש במוצרים ושירותים בצד הספק (כולל ספקי שירותי ענן), ניתנת התחשבות נאותה ברמת הסיכון הגלומה בשימוש במערכות חיצוניות, וההשפעה הנובעת מכך שעלולה להיות שלהם דבקות באבטחת מידע.

5.19 הוא בקרה מונעת זֶה משנה סיכון על ידי שמירה על נהלים המתייחסים לסיכוני אבטחה מובנים הקשורים לשימוש במוצרים ו שירותים הניתנים על ידי צדדים שלישיים.

בעוד שבקרה 5.20 עוסקת באבטחת מידע במסגרת הסכמי ספקים, בקרה 5.19 עוסקת באופן נרחב בעמידה לאורך כל מהלך היחסים.

טבלת בקרה של תכונות 5.19

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות #יושרה #זמינות#לזהות#אבטחת קשרי ספקים#ממשל ומערכת אקולוגית #הגנה
קפוץ לנושא
התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
פרי בולס
מנהל טכני ZIPTECH
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

בעלות על שליטה 5.19

בעוד ש-Control 5.19 מכיל הנחיות רבות לגבי השימוש בשירותי ICT, ההיקף הרחב יותר של הבקרה מקיף היבטים רבים אחרים של מערכת היחסים של ארגון עם בסיס הספקים שלו, כולל סוגי ספקים, לוגיסטיקה, שירותים, שירותים פיננסיים ורכיבי תשתית).

ככזה, הבעלות על Control 5.19 צריכה להיות בידי חבר הנהלה בכירה המפקחת על הפעילות המסחרית של ארגון, ושומרת על קשר ישיר עם ספקי הארגון, כגון סמנכ"ל תפעול.

ליווי כללי

עמידה ב-Control 5.19 כרוכה בשמירה על מה שמכונה א גישה 'ספציפית לנושא' לאבטחת מידע ביחסי ספקים.

גישות ספציפיות לנושא מעודדות ארגונים ליצור מדיניות הקשורה לספקים המותאמים לפונקציות עסקיות בודדות, במקום לדבוק בשמיכה מדיניות ניהול ספקים זה חל על כל קשרי צד שלישי בכל הפעילות המסחרית של ארגון.

חשוב לציין ש-Control 5.19 מבקש מהארגון ליישם מדיניות ונהלים שלא רק מסדירים את השימוש של הארגון במשאבי הספקים ובפלטפורמות הענן, אלא גם מהווים את הבסיס לאופן שבו הם מצפים מהספקים שלהם להתנהל לפני ולאורך תקופת הקדנציה של הקשר המסחרי.

ככזה, ניתן לראות ב-Control 5.19 את המסמך הכשיר החיוני המכתיב את אופן הטיפול בניהול אבטחת המידע במהלך חוזה הספק.

בקרה 5.19 מכילה 14 נקודות הנחיה עיקריות שיש להקפיד עליהן:

1) שמור על רישום מדויק של סוגי ספקים (למשל שירותים פיננסיים, חומרת ICT, טלפוניה) שיש להם פוטנציאל להשפיע על שלמות אבטחת המידע.

מענה לארועים - נסח רשימה של כל הספקים והספקים שאיתם הארגון שלך עובד, סיווג אותם לפי תפקידם העסקי והוסף קטגוריות לסוגי הספקים האמורים לפי הצורך.

2) הבן כיצד לטפל בספקים, בהתבסס על רמת הסיכון הגלומה בסוג הספק שלהם.

מענה לארועים – סוגי ספקים שונים ידרשו בדיקות נאותות שונות. שקול להשתמש בשיטות בדיקה על בסיס ספק-ספק (למשל הפניות בענף, דוחות כספיים, הערכות באתר, הסמכות ספציפיות למגזר כגון שותפויות של Microsoft).

3) זהה ספקים שיש להם בקרות אבטחת מידע קיימות.

מענה לארועים – בקש לראות עותקים של נהלי ניהול אבטחת המידע הרלוונטיים של הספקים, על מנת להעריך את הסיכון לארגון שלך. אם אין להם, זה לא סימן טוב.

4) זהה והגדר את התחומים הספציפיים של תשתית ה-ICT של הארגון שלך שהספקים שלך יוכלו לגשת אליהם, לנטר או לעשות בהם שימוש בעצמם.

מענה לארועים – חשוב לקבוע מלכתחילה במדויק כיצד הספקים שלכם עומדים לקיים אינטראקציה עם נכסי ה-ICT שלכם – בין אם הם פיזיים או וירטואליים – ואילו רמות גישה מוענקות להם בהתאם להתחייבויות החוזיות שלהם.

5) הגדירו כיצד תשתית ה-ICT של הספקים עצמם יכולה להשפיע על הנתונים שלכם ושל הלקוחות שלכם.

מענה לארועים – המחויבות הראשונה של ארגון היא למערכת של תקני אבטחת מידע משלו. יש לבדוק את נכסי ה-ICT של הספקים בהתאם לפוטנציאל שלהם להשפיע על זמן פעולה ושלמות בכל הארגון שלך.

6) לזהות ולנהל את השונות סיכוני אבטחת מידע מצורף ל:

a. שימוש ספק במידע סודי או בנכסים מוגנים (למשל מוגבל לשימוש זדוני ו/או כוונה פלילית).

b. חומרה פגומה של ספק או פלטפורמת תוכנה לא תקינה הקשורה לשירותים מקומיים או מבוססי ענן.

מענה לארועים - ארגונים צריכים להיות מודעים כל הזמן לסיכוני אבטחת המידע הקשורים לאירועים קטסטרופליים, כגון פעילות מזעזעת של משתמשים בצד הספק או תקריות תוכנה גדולות בלתי צפויות, והשפעתם על אבטחת המידע הארגונית.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

המשך הנחיות כלליות

7) מעקב אחר תאימות לאבטחת מידע על בסיס נושא ספציפי או סוג ספק.

מענה לארועים – הצורך של הארגון להעריך את השלכות אבטחת המידע הגלומות בכל סוג ספק, ולהתאים את פעילות הניטור שלהם כדי להתאים לרמות סיכון שונות.

8) הגבל את כמות הנזק ו/או ההפרעה שנגרמו עקב אי ציות.

מענה לארועים – יש לעקוב אחר פעילות הספקים באופן מתאים ובדרגות שונות בהתאם לרמת הסיכון שלו. כאשר מתגלה אי ציות, באופן יזום או תגובתי, יש לנקוט בפעולה מיידית.

9) לשמור על נוהל ניהול אירועים חזק שמתייחס לכמות סבירה של מקרים.

מענה לארועים – ארגונים צריכים להבין במדויק כיצד להגיב כאשר הם מתמודדים עם מגוון רחב של אירועים הקשורים לאספקת מוצרים ושירותים של צד שלישי, ולהתווה פעולות מתקנות הכוללות הן את הספק והן את הארגון.

10) חוקק אמצעים הנותנים מענה לזמינות ועיבוד המידע של הספק, בכל מקום בו נעשה בו שימוש, ובכך להבטיח את שלמות המידע של הארגון עצמו.

מענה לארועים – יש לנקוט בצעדים על מנת להבטיח שמערכות הספקים והנתונים יטופלו באופן שאינו מתפשר על הזמינות והאבטחה של המערכות והמידע של הארגון עצמו.

11) נסח תוכנית הדרכה יסודית המציעה הדרכה כיצד הצוות צריך לקיים אינטראקציה עם אנשי הספק ומידע על בסיס ספק אחר ספק, או על בסיס סוג אחר סוג.

מענה לארועים – ההכשרה צריכה לכסות את כל קשת הממשל בין ארגון לספקיו, כולל מעורבות, פרטנית בקרות ניהול סיכונים ונהלים ספציפיים לנושא.

12) להבין ולנהל את רמת הסיכון הגלומה בהעברת מידע ונכסים פיזיים ווירטואליים בין הארגון לספקיהם.

מענה לארועים - ארגונים צריכים למפות כל שלב בתהליך ההעברה ולחנך את הצוות לגבי סיכונים הקשורים להעברת נכסים ומידע ממקור אחד למשנהו.

13) ודא כי קשרי ספקים נסתיימו מתוך מחשבה על אבטחת מידע, כולל הסרת זכויות גישה ויכולת גישה למידע ארגוני.

מענה לארועים – צוותי ה-ICT שלך צריכים להיות בעלי הבנה ברורה כיצד לשלול את הגישה של ספק למידע, כולל:

  • ניתוח מפורט של כל דומיין משויך ו/או חשבונות מבוססי ענן.
  • הפצת קניין רוחני.
  • העברה של מידע בין ספקים, או חזרה לארגון שלך.
  • ניהול רשומות.
  • החזרת נכסים לבעליהם המקורי.
  • סילוק הולם של נכסים פיזיים ווירטואליים, לרבות מידע.
  • עמידה בכל דרישה חוזית, לרבות סעיפי סודיות ו/או הסכמים חיצוניים.

14) תאר במדויק כיצד אתה מצפה מהספק להתנהל לגבי אמצעי אבטחה פיזיים ווירטואליים.

מענה לארועים - ארגונים צריכים להגדיר ציפיות ברורות מההתחלה של כל קשר מסחרי, המפרטות כיצד מצופה מאנשי צד הספק להתנהל בעת אינטראקציה עם הצוות שלך או כל נכס רלוונטי.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

הדרכה משלימה

ISO מכירה בכך שלא תמיד ניתן לכפות סט שלם של מדיניות על ספק העומדת בכל דרישה ודרישה מהרשימה לעיל, כפי שמתכוונת בקרה 5.19, במיוחד כאשר מדובר בארגונים נוקשים במגזר הציבורי.

עם זאת, בקרה 5.19 קובעת בבירור שארגונים צריכים להשתמש בהנחיה לעיל בעת יצירת קשרים עם ספקים, ולשקול אי-עמידה על בסיס כל מקרה לגופו.

כאשר לא ניתן להשיג תאימות מלאה, Control 5.19 נותן לארגונים חופש פעולה על ידי המלצה על "בקרות פיצוי" המשיגות רמות נאותות של ניהול סיכונים, בהתבסס על הנסיבות הייחודיות של הארגון.

שינויים מ-ISO 27002:2013

27002:2022-5.19 מחליף את 27002:2013-5.1.1 (מדיניות אבטחת מידע לקשרי ספקים).

27002:2022-5.19 דבק באופן כללי לאותם מושגים בסיסיים הכלולים בבקרה של 2013, אך מכיל מספר אזורי הדרכה נוספים אשר הושמטו מ-27002:2013-5.1.1, או לכל הפחות אינם מכוסים בפירוט רב כל כך, לְרַבּוֹת:

  • בדיקה של ספקים על סמך סוג הספק ורמת הסיכון שלהם.
  • הצורך להבטיח את שלמות המידע הספק על מנת לאבטח את הנתונים שלהם, ולהבטיח המשכיות עסקית.
  • השלבים השונים הנדרשים בעת סיום יחסי ספק, לרבות ביטול זכויות גישה, הפצת IP, הסכמים חוזיים וכו'.

27002:2022-5.19 מפורש גם בהכרה באופי המשתנה ביותר של קשרי ספקים (בהתבסס על סוג, מגזר ורמת סיכון), ומעניק לארגונים מידה מסוימת של מרחב פעולה כאשר בוחנים את האפשרות של אי ציות לכל נקודת הנחיה נתונה. בהתבסס על אופי הקשר (ראה 'הנחיות משלימות' לעיל).

כיצד ISMS.online עוזר

שימוש ISMS.online אתה יכול:

  • ליישם במהירות א מערכת ניהול אבטחת מידע (ISMS).
  • נהל בקלות את התיעוד של ה-ISMS שלך.
  • ייעול עמידה בכל התקנים הרלוונטיים.
  • נהל את כל ההיבטים של אבטחת מידע, מניהול סיכונים ועד הדרכת מודעות לאבטחה.
  • תקשר ביעילות בכל הארגון שלך באמצעות פונקציונליות התקשורת המובנית שלנו.

זה עניין פשוט של יצירת חשבון ניסיון בחינם וביצוע השלבים שאנו מספקים.

צור קשר עוד היום כדי הזמן הדגמה.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף