ISO 27002:2022, בקרה 6.6 - הסכמי סודיות או סודיות

ISO 27002:2022 בקרות מתוקנות

הזמן הדגמה

צוות, סיעור מוחות, תהליך., צילום, צעיר, יצירתי, מנהלים, צוות, עובדים, עם

מהי Control 6.6?

בקרה 6.6 ב-ISO 27002:2022 מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין ואנשי צוות.

ארגונים צריכים לקבוע את תנאי ההסכמים שלהם עם צדדים אחרים בהתבסס על דרישות אבטחת המידע של הארגון, תוך התחשבות בסוג המידע בו יש לטפל, רמת הסיווג שלו, השימוש המיועד שלו והגישה המותרת לצד השני.

הסכמי סודיות או סודיות מוסברים

הסכם סודיות או סודיות (NDA) הוא מסמך משפטי המונע שחרור של סודות מסחריים ומידע סודי אחר.

סוֹדִי המידע עשוי לכלול את התוכנית העסקית של החברה, נתונים פיננסיים, רשימות לקוחות ומידע קנייני אחר. ניתן להשתמש בהסכמים אלו במגוון רחב של מצבים, כולל:

  • תעסוקה – הסכם סודיות עשוי להיות חלק מחוזה העבודה לעובד חדש. ההסכם מבטיח שהעובד לא יחשוף כל מידע סודי על החברה, מוצריה או שירותיה, העובדים או הספקים שלה. הסכמי סודיות משמשים גם עסקים כדי למנוע מעובדיהם לחשוף מידע רגיש לאחר עזיבת מקום עבודתם.

  • עסקאות עסקיות – הסכמי סודיות נכללים לרוב בעסקאות עסקיות, כגון רכישת חברה, מיזוג עם חברה אחרת או מכירת עסק. מטרת הסכמים אלו היא למנוע משני הצדדים לחשוף כל מידע סודי שהושג במהלך העסקה.

  • שותפויות - הסכמי סודיות משמשים לעתים קרובות בעסקאות עסקיות כאשר צד אחד רוצה להגן על היחסים הקיימים שלו עם לקוחות או ספקים מפני חשיפה לשותף חדש. לדוגמה, אם חברה מחפשת מימון ממשקיעי הון סיכון, היא עשויה לבקש מאותם משקיעים לחתום על NDAs כדי להגן על מידע קנייני על המוצרים או השירותים של החברה.

לעתים קרובות שותפויות כוללות סעיפי סודיות כחלק מהסכם השותפות שלהם, כך שכל שותף מסכים לא לחשוף מידע סודי שהושג במהלך השותפות שלהם.

מטרת הסכמי סודיות

הסכמי סודיות נערכים על ידי אנשים ועסקים כאחד. יש להם מטרות רבות, כגון:

  • הגנה על סודות מסחריים ומידע קנייני מפני מתחרים שעלולים אחרת להשתמש בו נגדם;

  • מניעת שיתוף של מידע רגיש של עובד עם חברה אחרת; ו

  • הגנה על זכויות קניין רוחני (IP) כמו פטנטים וזכויות יוצרים.
קפוץ לנושא
קבל ראש על ISO 27001
  • הכל מעודכן עם ערכת הבקרה של 2022
  • בצע התקדמות של 81% מרגע הכניסה
  • פשוט וקל לשימוש
הזמן את ההדגמה שלך
img

טבלת תכונות

בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים.

תכונות לבקרה 6.5 הן:

סוג הבקרה מאפייני אבטחת מידע מושגי אבטחת סייבר יכולות מבצעיות תחומי אבטחה
#מוֹנֵעַ#סודיות
#יושרה
#זמינות		#לְהַגֵן #ניהול נכסים
#הגנת מידע
#ביטחון פיזי
#אבטחת מערכת ורשת		#הֲגָנָה

מהי מטרת בקרה 6.6?

יש ליישם בקרה 6.6 על מנת להבטיח את אבטחת המידע כאשר עובדים, שותפים וספקים עובדים עם ארגון.

בקרה זו נועדה להגן על המידע של הארגון וליידע את החותמים על אחריותם לטפל ולהגן על מידע בצורה אחראית ומורשית. הוא משמש גם ככלי להגנה על זכויות קניין רוחני, כגון פטנטים, סימני מסחר, סודות מסחריים וזכויות יוצרים.

למעסיקים חשוב שיהיה הסכם סודיות לפני גילוי מידע סודי כלשהו לעובד או לקבלן. ההסכם יקבע באיזו מידה על האדם לשמור על המידע שאליו הוא נחשף וכמה זמן תימשך תקופת החיסיון לאחר סיום העסקתו.

בקרה 6.6 הסבר

בקרה 6.6 מטרתה להגן על הקניין הרוחני והאינטרסים העסקיים של הארגון שלך על ידי מניעת חשיפת מידע רגיש לצדדים שלישיים. היא מתייחסת לחוזה משפטי או הסדר בין הארגון שלך לבין עובדיו, שותפיו, קבלנים, ספקים וצדדים שלישיים אחרים. המסדיר את השימוש במידע סודי.

מידע סודי הוא כל מידע שלא הועמד לרשות הציבור או לחברות אחרות בענף דומה. דוגמאות כוללות סודות מסחריים, רשימות לקוחות, נוסחאות ותוכניות עסקיות.

יש ליישם את הבקרה בעת הערכה האם א לצד שלישי תהיה גישה לנתונים אישיים רגישים, והאם יש לנקוט בצעדים כדי להבטיח שהם לא ישמרו וימשיכו לגשת לנתונים האישיים הרגישים של הארגון לאחר עזיבתם.

כאשר ארגון קובע שצד שלישי יוצא ממערכת היחסים העסקית, וקיים סיכון שייתכנו נתונים ארגוניים או חברה רגישים כתוצאה מכך, על הארגון לנקוט בצעדים סבירים לפני עזיבת אותו צד שלישי, או בהקדם האפשרי. לאחר שהם עזבו, כדי למנוע חשיפה כזו.

אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון
CISO, ויטל

הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

מה כרוך ואיך לעמוד בדרישות

שליטה 6.6 פירושה שהצדדים להסכם אינם חושפים מידע סודי המכוסה בהסכם. ניתן לגלות את המידע רק בהסכמה בכתב מהארגון או בהתאם לצו בית משפט. זה חשוב כדי להגן על מידע רגיש על שיטות עבודה עסקיות, קניין רוחני ומחקר ופיתוח.

כדי לעמוד בדרישות בקרה 6.6, הסכם/חוזה "סודיות" ו"אי גילוי" צריך להיות מנוסח בקפידה כך שיכסה את כל הסודות המסחריים והיבטי הנתונים/מידע הרגישים של עסקאות ועסקאות הארגון. חשוב ששני הצדדים יבינו את התחייבויותיהם על פי החוזה והחובות במהלך ואחרי סיום הקשר העסקי.

סעיף סודיות עשוי להיכלל גם בחוזים אחרים הנמשכים מעבר לסיום העסקתו של העובד או התקשרות עם צדדים שלישיים.

זה הכרחי שהאדם שעוזב קשר עסקי או מחליף מקום עבודה יעבור את האחריות והתפקידים האבטחה שלו לאדם חדש, וכל אישורי הגישה יימחקו ויצרו אחד חדש.

יש לקחת בחשבון את המרכיבים הבאים בעת זיהוי הסכמי סודיות ואי גילוי:

  1. תיאור של המידע שיש להגן עליו (למשל, נתונים סודיים);

  2. משך ההסכם, לרבות מצבים בהם יש לשמור על סודיות ללא הגבלת זמן או עד לפרסום המידע;

  3. הפעולות הנדרשות במקרה של סיום הסכם;

  4. אחריות ופעולות שעל החותמים לנקוט כדי למנוע חשיפה בלתי מורשית של מידע;

  5. כיצד בעלות על מידע, סודות מסחריים וקניין רוחני משפיעה על הסודיות;

  6. השימוש המותר במידע סודי, יחד עם זכויות החותם להשתמש בו;

  7. הזכות לפקח או פעילויות ביקורת הכוללות מידע רגיש ביותר;

  8. הליך ההודעה והדיווח על גילויים לא מורשים או הדלפות של מידע סודי;

  9. התנאים להחזרה או השמדת מידע עם סיום ההסכם;

  10. הפעולות שיש לנקוט אם ההסכם לא יקוים.

על הארגון להבטיח שהסכמי סודיות ואי גילוי עומדים בחוקי תחום השיפוט שבו הם חלים.

סקירה של הסכמי סודיות ואי גילוי צריכה להתרחש מעת לעת ובכל פעם ששינויים משפיעים על הדרישות שלהם.

מידע נוסף על איך זה עובד זמין במסמך התקן ISO 27002:2022.

ראה ISMS.online
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

תגיד שלום ל-ISO 27001 הצלחה

קבל 81% מהעבודה עבורך וקבל הסמכה מהר יותר עם ISMS.online

הזמן את ההדגמה שלך
img

שינויים והבדלים מ-ISO 27002:2013

שליטה ב-6.6 ב-ISO 27002:2022 החדש אינו פקד חדש, אלא גרסה שונה של פקד 13.2.4 ב-ISO 27002:2013.

בעוד ששני הפקדים האלה מכילים תכונות דומות, הם שונים במקצת. לדוגמה, בעוד שההנחיות ליישום בשתי הגרסאות דומות, הן אינן זהות.

1 חלק מהנחיות היישום ב-control 13.2.4 ב-ISO 27002:2013 קובע כי:

"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על גורמים חיצוניים או עובדי הארגון. יש לבחור או להוסיף אלמנטים בהתחשב בסוג הצד השני והגישה המותרת שלו או הטיפול במידע סודי".

אותו סעיף בבקרה 6.6 של ISO 27002:2022 קובע כי:

"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על בעלי עניין ואנשי הארגון.

בהתבסס על דרישות אבטחת המידע של ארגון, יש לקבוע את התנאים בהסכמים תוך התחשבות בסוג המידע שיטופל, רמת הסיווג שלו, השימוש בו והגישה המותרת של הצד השני".

לשני הפקדים, למרות שהם שונים במשמעות הסמנטית, יש מבנה ותפקוד דומים בהקשרים שלהם. עם זאת, בקרה 6.6 משתמשת בשפה פשוטה יותר וידידותית יותר כך שהתוכן וההקשר קלים יותר להבנה. המשמעות היא שמי שישתמש בתקן יכול להתייחס לתוכן שלו ביתר קלות.

בנוסף, גרסת 2022 של ISO 27002 כוללת טבלאות של הצהרות מטרות ותכונות עבור כל פקד, המסייעות למשתמשים להבין וליישם את הפקדים בצורה יעילה יותר. שני חלקים אלה אינם זמינים במהדורת 2013.

מי אחראי על התהליך הזה?

על פי בקרה 6.6 של תקן ISO 27002, מחלקת משאבי אנוש מנהלת בדרך כלל את הניסוח והיישום של הסכם הסודיות או הסודיות ברוב הארגונים, הכרוך בשיתוף פעולה עם המנהל המפקח או המחלקה של הצד השלישי הנוגע בדבר.

המנהל המפקח יכול להיות קצין אבטחת מידע, מנהל מכירות או ייצור.

מחלקות וראשים אלה אחראים גם להבטיח שלכל ספקי צד שלישי המשמשים את הארגון יש אמצעי אבטחה נאותים כדי להגן על מידע סודי מפני חשיפה או שימוש בלתי מורשה.

עליהם לוודא שכל העובדים חותמים על הסכם סודיות כאשר הם מתחילים לעבוד בחברה.

ברוב המקרים (בהתאם לגודל הארגון), הסכמי סודיות או סודיות נחתמים על ידי כל העובדים שיש להם גישה למידע סודי.

זה כולל בדרך כלל כל עובד שעובד במחלקות מכירות, שיווק, שירות לקוחות או אחרות שבהן הוא עלול לבוא במגע עם מידע סודי לגבי לקוחות, לקוחות או ספקים.

במקרים מסוימים, גם אם אין הסכם כתוב בפועל בין שני צדדים, לארגונים צריכה להיות מדיניות המחייבת עובדים לחתום על הסכם סודיות לפני שתתאפשר להם גישה למידע רגיש על לקוחות או ספקים.

כמה סיכונים הקשורים בהיעדר מדיניות הסכם סודיות מספקת כוללים:

  • עובדים עלולים בשוגג להדליף מידע רגיש למישהו מחוץ לחברה שלא אמורה להיות לו גישה אליו, ולגרום נזק לארגון.

  • עובד עשוי לחשוף נתונים רגישים למתחרה.

  • עובד ממורמר עלול לגנוב את הקניין הרוחני (IP) של החברה ולהשתמש בו לטובתו.

  • עובדים עלולים להשאיר בטעות מידע רגיש על שולחן העבודה של המחשב שלהם בעבודה או על המחשב הנייד שלהם בבית, שעלול להיגנב על ידי האקר.

קבל Headstart
על ISO 27002

הציות היחיד
פתרון שאתה צריך
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

מה המשמעות של השינויים הללו עבורך?

תקן ISO 27002:2013 לא השתנה באופן משמעותי. התקן עודכן רק כדי להקל על השימושיות. ארגונים העומדים כעת בתקן ISO 27002:2013 אינם צריכים לנקוט בצעדים נוספים כדי לשמור על ציות עם התקן.

על מנת לעמוד בתיקונים ב-ISO 27002:2022, ייתכן שהארגון ימצא צורך לבצע כמה שינויים קלים בתהליכים ובנהלים הקיימים שלו, במיוחד אם יש צורך באישור מחדש.

למידע נוסף על האופן שבו שינויים אלה לשליטה ב-6.6 ישפיעו על הארגון שלך, עיין במדריך שלנו בנושא ISO 27002:2022.

כיצד ISMS.Online עוזר

ISO 27002 הוא תקן אבטחת מידע מוכר ברבים המספק מערכת של דרישות לארגון כדי להגן על הסודיות, היושרה והזמינות של המידע שלו. התקן פותח על ידי ארגון התקינה הבינלאומי (ISO), ארגון לא ממשלתי הקובע, סוקר ומפרסם תקנים בינלאומיים.

ISMS.Online מסייעת לארגונים ועסקים לעמוד בדרישות של ISO 27002 על ידי מתן פלטפורמה המאפשרת לנהל בקלות את המדיניות והנהלים בנושא סודיות או אי-חשיפה, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.

אנו מספקים פלטפורמה מבוססת ענן עבור ניהול מערכות ניהול סודיות ואבטחת מידע, לרבות סעיפי אי גילוי, ניהול סיכונים, מדיניות, תוכניות ונהלים, במקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.

ISMS.Online מאפשר לך:

  • תיעד את התהליכים שלך. ממשק אינטואיטיבי זה מאפשר לך לתעד את התהליכים שלך מבלי להתקין תוכנה כלשהי במחשב או ברשת.

  • הפוך את שלך לאוטומטי הערכת סיכונים התהליך.

  • הצג תאימות בקלות עם דוחות מקוונים ורשימות ביקורת.

  • שמור תיעוד של ההתקדמות תוך כדי עבודה לקראת הסמכה.

ISMS.Online מציעה א מגוון שלם של תכונות לסייע לארגונים ועסקים להשיג עמידה בתקן התעשייה ISO 27001 ו/או ISO 27002 ISMS.

אנא צור איתנו קשר עוד היום כדי קבע הדגמה.

האם אתה מוכן
ה-ISO 27002 החדש

אנחנו ניתן לך 81% ראש
מרגע הכניסה
הזמן את ההדגמה שלך

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.7חדשאינטליגנציה מאיימת
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.30חדשמוכנות ICT להמשכיות עסקית
7.4חדשניטור אבטחה פיזית
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.16חדשפעילויות ניטור
8.23חדשסינון אינטרנט
8.28חדשקידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
5.105.1.1, 05.1.2מדיניות לאבטחת מידע
5.206.1.1תפקידים ואחריות של אבטחת מידע
5.306.1.2הפרדת תפקידים
5.407.2.1אחריות ניהולית
5.506.1.3קשר עם הרשויות
5.606.1.4קשר עם קבוצות עניין מיוחדות
5.7חדשאינטליגנציה מאיימת
5.806.1.5, 14.1.1אבטחת מידע בניהול פרויקטים
5.908.1.1, 08.1.2מלאי מידע ונכסים קשורים אחרים
5.1008.1.3, 08.2.3שימוש מקובל במידע ובנכסים קשורים אחרים
5.1108.1.4החזרת נכסים
5.12 08.2.1סיווג מידע
5.1308.2.2תיוג מידע
5.1413.2.1, 13.2.2, 13.2.3העברת מידע
5.1509.1.1, 09.1.2בקרת גישה
5.1609.2.1ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3מידע אימות
5.1809.2.2, 09.2.5, 09.2.6זכויות גישה
5.1915.1.1אבטחת מידע ביחסי ספקים
5.2015.1.2טיפול באבטחת מידע במסגרת הסכמי ספקים
5.2115.1.3ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.2215.2.1, 15.2.2מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23חדשאבטחת מידע לשימוש בשירותי ענן
5.2416.1.1תכנון והכנה לניהול אירועי אבטחת מידע
5.2516.1.4הערכה והחלטה על אירועי אבטחת מידע
5.2616.1.5מענה לאירועי אבטחת מידע
5.2716.1.6למידה מאירועי אבטחת מידע
5.2816.1.7איסוף ראיות
5.2917.1.1, 17.1.2, 17.1.3אבטחת מידע בזמן שיבוש
5.30חדשמוכנות ICT להמשכיות עסקית
5.3118.1.1, 18.1.5דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.3218.1.2זכויות קניין רוחני
5.3318.1.3הגנה על רשומות
5.3418.1.4פרטיות והגנה על PII
5.3518.2.1סקירה עצמאית של אבטחת מידע
5.3618.2.2, 18.2.3עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.3712.1.1נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
6.107.1.1סריקה
6.207.1.2תנאי העסקה
6.307.2.2מודעות, חינוך והדרכה לאבטחת מידע
6.407.2.3תהליך משמעתי
6.507.3.1אחריות לאחר סיום או שינוי עבודה
6.613.2.4הסכמי סודיות או סודיות
6.706.2.2עבודה מרחוק
6.816.1.2, 16.1.3דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
7.111.1.1היקפי אבטחה פיזית
7.211.1.2, 11.1.6כניסה פיזית
7.311.1.3אבטחת משרדים, חדרים ומתקנים
7.4חדשניטור אבטחה פיזית
7.511.1.4הגנה מפני איומים פיזיים וסביבתיים
7.611.1.5עבודה באזורים מאובטחים
7.711.2.9שולחן כתיבה ברור ומסך ברור
7.811.2.1מיקום ומיגון ציוד
7.911.2.6אבטחת נכסים מחוץ לשטח
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5אחסון מדיה
7.1111.2.2כלי עזר תומכים
7.1211.2.3אבטחת כבלים
7.1311.2.4תחזוקת ציוד
7.1411.2.7סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022ISO/IEC 27002:2013 מזהה בקרהשם בקרה
8.106.2.1, 11.2.8התקני נקודת קצה למשתמש
8.209.2.3זכויות גישה מורשות
8.309.4.1הגבלת גישה למידע
8.409.4.5גישה לקוד מקור
8.509.4.2אימות מאובטח
8.612.1.3ניהול קיבולת
8.712.2.1הגנה מפני תוכנות זדוניות
8.812.6.1, 18.2.3ניהול נקודות תורפה טכניות
8.9חדשניהול תצורה
8.10חדשמחיקת מידע
8.11חדשמיסוך נתונים
8.12חדשמניעת דליפת נתונים
8.1312.3.1גיבוי מידע
8.1417.2.1יתירות של מתקני עיבוד מידע
8.1512.4.1, 12.4.2, 12.4.3רישום
8.16חדשפעילויות ניטור
8.1712.4.4סנכרון שעון
8.1809.4.4שימוש בתוכניות שירות מועדפות
8.1912.5.1, 12.6.2התקנת תוכנות על מערכות תפעול
8.2013.1.1אבטחת רשתות
8.2113.1.2אבטחת שירותי רשת
8.2213.1.3הפרדת רשתות
8.23חדשסינון אינטרנט
8.2410.1.1, 10.1.2שימוש בקריפטוגרפיה
8.2514.2.1מחזור חיי פיתוח מאובטח
8.2614.1.2, 14.1.3דרישות אבטחת יישומים
8.2714.2.5ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28חדשקידוד מאובטח
8.2914.2.8, 14.2.9בדיקות אבטחה בפיתוח וקבלה
8.3014.2.7פיתוח במיקור חוץ
8.3112.1.4, 14.2.6הפרדת סביבות פיתוח, בדיקה וייצור
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4שינוי הנהלה
8.3314.3.1מידע על הבדיקה
8.3412.7.1הגנה על מערכות מידע במהלך בדיקות ביקורת
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
ג'ודי קורבר
מנכ"ל לנרקס
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף