בקרה 5.20 קובעת כיצד ארגון יוצר חוזה מערכת יחסים עם ספק, בהתבסס על דרישות האבטחה שלהם וסוג הספקים איתם הם מתמודדים.
5.20 הוא בקרה מונעת זֶה שומר על סיכון על ידי קביעת חובות הסכמות הדדית בין ארגונים לספקיהם העוסקים באבטחת מידע.
ואילו Control 5.19 שולט באבטחת מידע בכל מערכת היחסים, בקרה 5.20 עסוקה באופן שבו ארגונים יוצרים הסכמים מחייבים מתוך התחלה של מערכת יחסים.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #אבטחת קשרי ספקים | #ממשל ומערכת אקולוגית #הֲגָנָה |
הבעלות על בקרה 5.20 צריכה להיות תלויה אם הארגון מפעיל את המחלקה המשפטית שלו או לא, ובאופי הבסיסי של כל הסכם חתום.
אם לארגון יש את היכולת המשפטית לנסח, לתקן ולאחסן הסכמים חוזיים משלו ללא מעורבות של צד שלישי, הבעלות על 5.20 צריכה להיות בידי האדם המחזיק באחריות הסופית להסכמים משפטיים מחייבים בתוך הארגון (חוזים, מזכרי הבנות, SLAs וכו' .)
אם הארגון מעביר הסכמים כאלה למיקור חוץ, הבעלות על Control 5.20 צריכה להיות בידי חבר הנהלה בכירה המפקחת על הפעילות המסחרית של הארגון, ושומר על קשר ישיר עם ספקים של ארגון, כגון א סמנכ"ל תפעול.
בקרה 5.20 מכילה 25 נקודות הנחיה שמצב ISO "ניתן לשקול" (כלומר לא בהכרח את כולן) על מנת לעמוד בדרישות אבטחת המידע של ארגון.
ללא קשר לאמצעים שננקטו, בקרה 5.20 קובעת במפורש ששני הצדדים צריכים לצאת מהתהליך עם "הבנה ברורה" של חובות אבטחת המידע שלהם זה כלפי זה.
כדי לסייע לארגונים בניהול קשרי ספקים, בקרה 5.20 קובעת שארגונים צריכים לשמור על א מרשם ההסכמים.
רשומים צריכים לפרט את כל ההסכמים עם ארגונים אחרים, ומסווגים לפי אופי הקשר, כגון חוזים, מזכרי הבנות ו הסכמי שיתוף מידע.
ISO 27002:2022-5.20 מחליף את 27002:2013-15.1.2 (טיפול באבטחה במסגרת הסכמי ספקים).
ISO 27002:2022-5.20 מכיל הנחיות נוספות רבות העוסקות במגוון רחב של נושאים טכניים, משפטיים ותאימות, כולל:
באופן כללי, ISO 27002:2022-5.20 שם דגש הרבה יותר על מה שמתרחש בסוף מערכת יחסים עם ספק, ומייחס הרבה יותר חשיבות לאופן שבו ספק משיג יתירות ושלמות נתונים במהלך ההסכם.
ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |