ISO 27002:2022, בקרה 5.22 - ניטור, סקירה וניהול שינויים של שירותי ספקים

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 בקרות מתוקנות

office,building.,skyscraper.,exterior,of,building

מטרת הבקרה 5.22

בקרה 5.22 קובעת את השיטות שארגונים צריכים לנקוט בעת ניטור, סקירה וניהול של שינויים בפרקטיקות אבטחת המידע ובסטנדרטים של אספקת שירותים של ספק, והערכת ההשפעה על רמות אבטחת המידע של הארגון עצמו.

בעת ניהול ה מערכת היחסים עם הספקים שלהם, ארגון צריך לשאוף לשמור על רמת אבטחת מידע בסיסית שתעמוד בכל ההסכמים שנחתמו.

5.22 הוא בקרה מונעת זֶה משנה סיכון על ידי שמירה על "רמה מוסכמת של אבטחת מידע ומתן שירותים" מצד הספק.

טבלת תכונות

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות #יושרה #זמינות	#לזהות	#אבטחת קשרי ספקים	#ממשל ומערכת אקולוגית #הֲגָנָה #הֲגָנָה #אבטחת מידע

בעלות על שליטה 5.22

הבעלות על בקרה 5.22 צריכה להיות בידי חבר בכיר הנהלה המפקחת על הפעילות המסחרית של ארגון, ושומר על קשר ישיר עם ספקים של ארגון, כגון א סמנכ"ל תפעול.

קפוץ לנושא

מטרת הבקרה 5.22
תכונות שליטה 5.22
בעלות על שליטה 5.22
הנחיות כלליות בנושא בקרה 5.22
כיצד ISMS.online עוזר

עודכן עבור ISO 27001 2022

81% מהעבודה שנעשתה עבורך
שיטת תוצאות מובטחות להצלחת הסמכה
חסוך זמן, כסף וטרחה

הזמן את ההדגמה שלך

הנחיות כלליות בנושא בקרה 5.22

בקרה 5.22 מכילה 13 אזורים עיקריים ארגונים צריכים לשקול בעת ניהול קשרי ספקים, ואת ההשפעה שיש להם על תקני אבטחת המידע שלהם.

ארגונים צריכים לנקוט בצעדים כדי להבטיח שלעובדים שאחראים על ניהול SLAs וקשרי ספקים יש את הרמות הנדרשות של מיומנות ומשאבים טכניים כדי להיות מסוגלים להעריך כראוי את ביצועי הספקים, ותקני אבטחת מידע אינם נפגעים.

ארגונים צריכים לנסח מדיניות ונהלים אשר:

מעקב מתמיד אחר רמות השירות בהתאם ל-SLAs שפורסמו, וכל החסר מטופל.

מעקב אחר כל שינוי שנעשה על ידי הספק בפעילותו שלו, לרבות (אך לא רק):

a) שיפורי שירות
b) הכנסת יישומים, מערכות או תהליכי תוכנה חדשים
c) תיקונים רלוונטיים ומשמעותיים במסמכי הממשל הפנימיים של הספקים
d) כל ניהול אירועים שינויים פרוצדורליים, או מאמצים שנועדו להגביר את רמות אבטחת המידע

עקוב אחר שינויים ספציפיים לשירות, כולל (אך לא מוגבל ל):

a) תיקוני תשתית
b) היישום של טכנולוגיות מתפתחות
c) השקת עדכוני מוצר או שדרוגי גרסה
d) שינויים בסביבת הפיתוח
e) שינויים לוגיסטיים ופיזיים במתקני הספקים, כולל מיקומים חדשים
f) כל שינוי בשותפים במיקור חוץ או בקבלני משנה
g) הכוונה לקבל קבלן משנה, כאשר הנוהג לא היה קיים בעבר

בקשו דוחות שירות קבועים, נתחו נתונים והשתתפו בפגישות סקירה בהתאם לרמות מוסכמות של מתן שירות.

בצע ביקורת על שותפי מיקור חוץ וקבלני משנה ופעל בכל תחום לדאגה.

סקור אירועי אבטחה בהתאם לתקנים והנהלים המוסכמים של ניהול תקריות, ולהסכם הספק.

לשמור על רישום יסודי של אירועי אבטחת מידע, בעיות תפעוליות מוחשיות, יומני תקלות וחסמים כלליים לתקני אספקת השירות שסוכמו.

להגיב באופן יזום ולנקוט פעולות מתקנות לקראת אירועים הקשורים לאבטחת מידע.

הדגש כל פרצות אבטחת מידע ולצמצם אותם עד הסוף.

נתח כל גורמי אבטחת מידע רלוונטיים הגלומים ביחסי הספקים עם הספקים וקבלני המשנה שלו.

ודא שמתן השירות יסופק לרמות מקובלות בעקבות הפרעות משמעותיות בצד הספק, כולל התאוששות מאסון.

מתווה אנשי מפתח בתפעול הספק האחראים על שמירת הציות ועמידה בתנאי ההסכם.

ביקורת קבועה יכולתו של ספק לשמור על תקן אבטחת מידע בסיסי.

בקרות תומכות

5.29
5.30
5.35
5.36
8.14

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.

כמה מהיתרונות המרכזיים של השימוש ב-ISMS.online כוללים:

אתה יכול בנה את ה-ISMS תואם ISO 27001 בתוך הפלטפורמה.
משתמשים יכולים להשלים משימות ולהגיש ראיות כדי להוכיח עמידה בתקן.
קל להאציל אחריות ולפקח על ההתקדמות לקראת ציות.
ערכת הכלים הנרחבת להערכת סיכונים חוסכת זמן ומאמץ לאורך כל התהליך.
יש לנו מסור צוות יועצים זמין כדי לתמוך בך לאורך המסע שלך לציות.

צור קשר עוד היום כדי הזמן הדגמה.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.7	חדש	אינטליגנציה מאיימת
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.30	חדש	מוכנות ICT להמשכיות עסקית
7.4	חדש	ניטור אבטחה פיזית
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.16	חדש	פעילויות ניטור
8.23	חדש	סינון אינטרנט
8.28	חדש	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	חדש	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	חדש	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	חדש	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	חדש	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	ISO/IEC 27002:2013 מזהה בקרה	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	חדש	ניהול תצורה
8.10	חדש	מחיקת מידע
8.11	חדש	מיסוך נתונים
8.12	חדש	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	חדש	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	חדש	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	חדש	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

קבל ראש על ISO 27001

הכל מעודכן עם ערכת הבקרה של 2022
בצע התקדמות של 81% מרגע הכניסה
פשוט וקל לשימוש