ISO 27002:2022 – בקרה 5.20 – טיפול באבטחת מידע במסגרת הסכמי ספקים

ISO 27002:2022 בקרה 5.20 מבטיח שארגונים מגדירים חובות ברורות לאבטחת מידע בהסכמי ספקים כדי להפחית סיכונים, מתאר אחריות, ציות לחוק ובקרות אבטחה בתחילת מערכת היחסים עם הספק.

הזמן הדגמה
מְחַבֵּר
מקס אדוארדס
עודכן ב-10 בפברואר 2025
לינקדין טויטר טויטר

מטרת הבקרה 5.20

בקרה 5.20 קובעת כיצד ארגון יוצר חוזה מערכת יחסים עם ספק, בהתבסס על דרישות האבטחה שלהם וסוג הספקים איתם הם מתמודדים.

5.20 הוא בקרה מונעת זֶה שומר על סיכון על ידי קביעת חובות הסכמות הדדית בין ארגונים לספקיהם העוסקים באבטחת מידע.

ואילו Control 5.19 שולט באבטחת מידע בכל מערכת היחסים, בקרה 5.20 עסוקה באופן שבו ארגונים יוצרים הסכמים מחייבים מתוך התחלה של מערכת יחסים.

תכונות שליטה 5.20

סוג הבקרהמאפייני אבטחת מידעמושגי אבטחת סייבריכולות מבצעיותתחומי אבטחה
#מוֹנֵעַ#סודיות#לזהות#אבטחת קשרי ספקים#ממשל ומערכת אקולוגית
#יושרה#הֲגָנָה
#זמינות

בעלות על שליטה 5.20

הבעלות על בקרה 5.20 צריכה להיות תלויה אם הארגון מפעיל את המחלקה המשפטית שלו או לא, ובאופי הבסיסי של כל הסכם חתום.

אם לארגון יש את היכולת המשפטית לנסח, לתקן ולאחסן הסכמים חוזיים משלו ללא מעורבות של צד שלישי, הבעלות על 5.20 צריכה להיות בידי האדם המחזיק באחריות הסופית להסכמים משפטיים מחייבים בתוך הארגון (חוזים, מזכרי הבנות, SLAs וכו' .)

אם הארגון מעביר הסכמים כאלה למיקור חוץ, הבעלות על Control 5.20 צריכה להיות בידי חבר הנהלה בכירה המפקחת על הפעילות המסחרית של הארגון, ושומר על קשר ישיר עם ספקים של ארגון, כגון א סמנכ"ל תפעול.



קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה


הנחיות כלליות בנושא בקרה 5.20

בקרה 5.20 מכילה 25 נקודות הנחיה שמצב ISO "ניתן לשקול" (כלומר לא בהכרח את כולן) על מנת לעמוד בדרישות אבטחת המידע של ארגון.

ללא קשר לאמצעים שננקטו, בקרה 5.20 קובעת במפורש ששני הצדדים צריכים לצאת מהתהליך עם "הבנה ברורה" של חובות אבטחת המידע שלהם זה כלפי זה.

  1. יש לספק תיאור ברור המפרט את המידע שיש לגשת אליו בכל דרך, וכיצד יש לגשת למידע זה.
  2. על הארגון לסווג את המידע שאליו יש לגשת בהתאם לתכנית הסיווג שפורסמה שלו (ראה בקרה 5.10, בקרה 5.12 ובקרה 5.13).
  3. יש לתת את הדעת על תכנית הסיווג בצד הספק, וכיצד זה קשור לסיווג המידע של הארגון.
  4. יש לסווג את זכויות שני הצדדים לארבעה תחומים עיקריים - משפטי, סטטוטורי, רגולטורי וחוזי. בתוך ארבעת התחומים הללו, חובות שונות צריכות להיות מתארות בצורה ברורה, כסטנדרט בהסכמים מסחריים, לרבות גישה ל-PII, זכויות קניין רוחני והתניות זכויות יוצרים. ההסכם צריך לכסות גם כיצד כל אחד מתחומי המפתח הללו יטופל בתורו.
  5. כל צד צריך להיות מחויב לחוקק סדרה של בקרות במקביל המפקחות, מעריכות ומנהלות סיכון לאבטחת מידע רמות (כגון מדיניות בקרת גישה, ביקורות חוזיות, ניטור מערכות, דיווח וביקורת תקופתית). בנוסף, ההסכם צריך לתאר בבירור את הצורך של אנשי הספק לעמוד בתקני אבטחת המידע של הארגון (ראה בקרה 5.20).
  6. צריכה להיות הבנה ברורה של מה מהווה שימוש מקובל ובלתי מקובל במידע, ונכסים פיזיים ווירטואליים משני הצדדים.
  7. יש להפעיל נהלים העוסקים ברמות ההרשאה הנדרשות לאנשי צד הספק לגשת או לצפות במידע של ארגון (למשל רשימות משתמשים מורשים, ביקורת צד ספק, בקרות גישה לשרתים).
  8. יש לשקול אבטחת מידע לצד תשתית ה-ICT של הספק עצמו, וכיצד זה קשור לסוג המידע שהארגון סיפק לו גישה, קריטריוני סיכון ומערך הבסיס של הדרישות העסקיות של הארגון.
  9. יש לתת את הדעת באילו דרכי פעולה הארגון יכול לנקוט במקרה של הפרת חוזה מצד הספק, או אי עמידה בתניות פרטניות.
  10. ההסכם צריך לתאר בבירור הסכם הדדי נוהל ניהול אירוע זה קובע בבירור מה צריך לקרות כאשר מתעוררות בעיות, במיוחד בנוגע לאופן שבו האירוע מועבר בין שני הצדדים.
  11. יש לתת כוח אדם משני הצדדים הכשרה מספקת למודעות (כאשר הדרכה סטנדרטית אינה מספקת) על תחומי מפתח בהסכם, במיוחד בנוגע לתחומי סיכון מרכזיים כגון ניהול אירועים ומתן גישה למידע.
  12. יש לתת תשומת לב מספקת לשימוש בקבלני משנה. אם הספק מורשה להשתמש בקבלני משנה, הארגונים צריכים לנקוט בצעדים כדי להבטיח שכל יחידים או חברות כאלה יהיו מיושרים לאותה מערכת של דרישות אבטחת מידע כמו הספק.
  13. היכן שזה אפשרי מבחינה משפטית ורלוונטי תפעולית, ארגונים צריכים לשקול כיצד נבדקים אנשי הספקים לפני יצירת אינטראקציה עם המידע שלהם, וכיצד ההקרנה מתועדת ומדווחת לארגון, כולל אנשים שאינם מוקרנים ואזורים לדאגה.
  14. ארגונים צריכים לקבוע את הצורך באישורי צד שלישי המאמתים את יכולתו של הספק לעמוד בדרישות אבטחת מידע ארגוניות, לרבות דוחות בלתי תלויים וביקורות של צד שלישי.
  15. לארגונים צריכה להיות הזכות החוזית להעריך ולבקר נהלים של ספק, הנוגעים לבקרה 5.20.
  16. לספקים צריכה להיות מחויבות למסור דוחות (במרווחים משתנים) המכסים את האפקטיביות של התהליכים והנהלים שלהם, וכיצד הם מתכוונים לטפל בכל נושא שהועלה בדוח כזה.
  17. ההסכם צריך לנקוט בצעדים כדי להבטיח פתרון בזמן ויסודי של כל פגמים או עימותים המתרחשים במהלך מערכת היחסים.
  18. במקרה הרלוונטי, על הספק לפעול עם מדיניות BUDR איתנה, בהתאם לצרכי הארגון, המכסה שלושה שיקולים עיקריים:

    a) סוג גיבוי (שרת מלא, קובץ ותיקיה וכו', אינקרמנטלי וכו')
    b) תדירות גיבוי (יומי, שבועי וכו')
    c) מיקום גיבוי ומדיה מקור (באתר, מחוץ לאתר)

  19. עמידות הנתונים צריכה להיות מושגת על ידי הפעלה עם מיקום התאוששות מאסון הנפרד מאתר ה-ICT הראשי של הספק, ואינו נתון לאותה רמת סיכון.
  20. על הספק לפעול עם א מדיניות ניהול שינויים מקיפה הנותנת הודעה מוקדמת לארגון על כל שינוי שעלול להשפיע על אבטחת המידע, ומספקת לארגון את היכולת לדחות שינויים כאמור.
  21. בקרות אבטחה פיזיות (גישה לבניין, גישה למבקרים, גישה לחדר, אבטחת שולחן) יש לחוקק שרלוונטיים לסוג המידע שהם רשאים לגשת.
  22. כאשר מתעורר צורך בהעברה מידע בין נכסים, אתרים, שרתים או מיקומי אחסון, על הספק לוודא שהנתונים והנכסים מוגנים מפני אובדן, נזק או שחיתות לאורך כל התהליך.
  23. ההסכם צריך לפרט רשימה מקיפה של פעולות שיש לנקוט על ידי כל אחד מהצדדים במקרה של סיום (ראה גם בקרה 5.20), לרבות (אך לא רק):

    a) סילוק ו/או העברה של נכסים
    b) מחיקת מידע
    c) החזרת IP
    d) הסרת זכויות גישה
    e) חובות סודיות מתמשכת

  24. בהמשך לסעיף 23, על הספק לתאר במדויק כיצד בכוונתו להשמיד/למחוק לצמיתות את פרטי הארגון ברגע שהוא לא נדרש יותר (כלומר במקרה של סיום).
  25. אם בתום חוזה מתעורר צורך במסירת תמיכה ו/או שירותים לספק אחר שאינו רשום בהסכם, ננקטים צעדים על מנת להבטיח שהתהליך יביא לאפס הפרעה עסקית.

בקרות תומכות

  • 5.10
  • 5.12
  • 5.13
  • 5.20

הדרכה משלימה

כדי לסייע לארגונים בניהול קשרי ספקים, בקרה 5.20 קובעת שארגונים צריכים לשמור על א מרשם ההסכמים.

רשומים צריכים לפרט את כל ההסכמים עם ארגונים אחרים, ומסווגים לפי אופי הקשר, כגון חוזים, מזכרי הבנות ו הסכמי שיתוף מידע.



נהל את כל התאימות שלך במקום אחד

ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.

הזמן הדגמה


שינויים והבדלים מ-ISO 27002:2013

ISO 27002:2022-5.20 מחליף את 27002:2013-15.1.2 (טיפול באבטחה במסגרת הסכמי ספקים).

ISO 27002:2022-5.20 מכיל הנחיות נוספות רבות העוסקות במגוון רחב של נושאים טכניים, משפטיים ותאימות, כולל:

  • נהלי מסירה
  • הרס מידע
  • סעיפי סיום
  • בקרות אבטחה פיזיות
  • שינוי הנהלה
  • גיבויים ויתירות מידע

באופן כללי, ISO 27002:2022-5.20 שם דגש הרבה יותר על מה שמתרחש בסוף מערכת יחסים עם ספק, ומייחס הרבה יותר חשיבות לאופן שבו ספק משיג יתירות ושלמות נתונים במהלך ההסכם.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.1208.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.1709.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.

צור קשר עוד היום כדי הזמן הדגמה.

קפוץ לנושא

מקס אדוארדס

מקס עובד כחלק מצוות השיווק של ISMS.online ומבטיח שהאתר שלנו מתעדכן בתוכן שימושי ומידע על כל מה שקשור ל-ISO 27001, 27002 ותאימות.

סיור בפלטפורמת ISMS

מעוניין בסיור פלטפורמת ISMS.online?

התחל את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות עכשיו ותחווה את הקסם של ISMS.online בפעולה!

נסה זאת בחינם

אנחנו מובילים בתחומנו

משתמשים אוהבים אותנו
מנהיג רשת - אביב 2025
מנהיג מומנטום - אביב 2025
מנהיג אזורי - אביב 2025 בריטניה
מנהיג אזורי - האיחוד האירופי אביב 2025
Best Est. החזר ROI Enterprise - אביב 2025
סביר להניח להמליץ ​​על Enterprise - אביב 2025

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

-ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

-קרן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

-בן ה.

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!