בקרה 6.6 ב-ISO 27002:2022 מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין ואנשי צוות.
ארגונים צריכים לקבוע את תנאי ההסכמים שלהם עם צדדים אחרים בהתבסס על דרישות אבטחת המידע של הארגון, תוך התחשבות בסוג המידע בו יש לטפל, רמת הסיווג שלו, השימוש המיועד שלו והגישה המותרת לצד השני.
הסכם סודיות או סודיות (NDA) הוא מסמך משפטי המונע שחרור של סודות מסחריים ומידע סודי אחר.
סוֹדִי המידע עשוי לכלול את התוכנית העסקית של החברה, נתונים פיננסיים, רשימות לקוחות ומידע קנייני אחר. ניתן להשתמש בהסכמים אלו במגוון רחב של מצבים, כולל:
לעתים קרובות שותפויות כוללות סעיפי סודיות כחלק מהסכם השותפות שלהם, כך שכל שותף מסכים לא לחשוף מידע סודי שהושג במהלך השותפות שלהם.
הסכמי סודיות נערכים על ידי אנשים ועסקים כאחד. יש להם מטרות רבות, כגון:
בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים.
תכונות לבקרה 6.5 הן:
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #ניהול נכסים #הגנת מידע #ביטחון פיזי #אבטחת מערכת ורשת | #הֲגָנָה |
יש ליישם בקרה 6.6 על מנת להבטיח את אבטחת המידע כאשר עובדים, שותפים וספקים עובדים עם ארגון.
בקרה זו נועדה להגן על המידע של הארגון וליידע את החותמים על אחריותם לטפל ולהגן על מידע בצורה אחראית ומורשית. הוא משמש גם ככלי להגנה על זכויות קניין רוחני, כגון פטנטים, סימני מסחר, סודות מסחריים וזכויות יוצרים.
למעסיקים חשוב שיהיה הסכם סודיות לפני גילוי מידע סודי כלשהו לעובד או לקבלן. ההסכם יקבע באיזו מידה על האדם לשמור על המידע שאליו הוא נחשף וכמה זמן תימשך תקופת החיסיון לאחר סיום העסקתו.
בקרה 6.6 מטרתה להגן על הקניין הרוחני והאינטרסים העסקיים של הארגון שלך על ידי מניעת חשיפת מידע רגיש לצדדים שלישיים. היא מתייחסת לחוזה משפטי או הסדר בין הארגון שלך לבין עובדיו, שותפיו, קבלנים, ספקים וצדדים שלישיים אחרים. המסדיר את השימוש במידע סודי.
מידע סודי הוא כל מידע שלא הועמד לרשות הציבור או לחברות אחרות בענף דומה. דוגמאות כוללות סודות מסחריים, רשימות לקוחות, נוסחאות ותוכניות עסקיות.
יש ליישם את הבקרה בעת הערכה האם א לצד שלישי תהיה גישה לנתונים אישיים רגישים, והאם יש לנקוט בצעדים כדי להבטיח שהם לא ישמרו וימשיכו לגשת לנתונים האישיים הרגישים של הארגון לאחר עזיבתם.
כאשר ארגון קובע שצד שלישי יוצא ממערכת היחסים העסקית, וקיים סיכון שייתכנו נתונים ארגוניים או חברה רגישים כתוצאה מכך, על הארגון לנקוט בצעדים סבירים לפני עזיבת אותו צד שלישי, או בהקדם האפשרי. לאחר שהם עזבו, כדי למנוע חשיפה כזו.
אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.
שליטה 6.6 פירושה שהצדדים להסכם אינם חושפים מידע סודי המכוסה בהסכם. ניתן לגלות את המידע רק בהסכמה בכתב מהארגון או בהתאם לצו בית משפט. זה חשוב כדי להגן על מידע רגיש על שיטות עבודה עסקיות, קניין רוחני ומחקר ופיתוח.
כדי לעמוד בדרישות בקרה 6.6, הסכם/חוזה "סודיות" ו"אי גילוי" צריך להיות מנוסח בקפידה כך שיכסה את כל הסודות המסחריים והיבטי הנתונים/מידע הרגישים של עסקאות ועסקאות הארגון. חשוב ששני הצדדים יבינו את התחייבויותיהם על פי החוזה והחובות במהלך ואחרי סיום הקשר העסקי.
סעיף סודיות עשוי להיכלל גם בחוזים אחרים הנמשכים מעבר לסיום העסקתו של העובד או התקשרות עם צדדים שלישיים.
זה הכרחי שהאדם שעוזב קשר עסקי או מחליף מקום עבודה יעבור את האחריות והתפקידים האבטחה שלו לאדם חדש, וכל אישורי הגישה יימחקו ויצרו אחד חדש.
יש לקחת בחשבון את המרכיבים הבאים בעת זיהוי הסכמי סודיות ואי גילוי:
על הארגון להבטיח שהסכמי סודיות ואי גילוי עומדים בחוקי תחום השיפוט שבו הם חלים.
סקירה של הסכמי סודיות ואי גילוי צריכה להתרחש מעת לעת ובכל פעם ששינויים משפיעים על הדרישות שלהם.
מידע נוסף על איך זה עובד זמין במסמך התקן ISO 27002:2022.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
שליטה ב-6.6 ב-ISO 27002:2022 החדש אינו פקד חדש, אלא גרסה שונה של פקד 13.2.4 ב-ISO 27002:2013.
בעוד ששני הפקדים האלה מכילים תכונות דומות, הם שונים במקצת. לדוגמה, בעוד שההנחיות ליישום בשתי הגרסאות דומות, הן אינן זהות.
1 חלק מהנחיות היישום ב-control 13.2.4 ב-ISO 27002:2013 קובע כי:
"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על גורמים חיצוניים או עובדי הארגון. יש לבחור או להוסיף אלמנטים בהתחשב בסוג הצד השני והגישה המותרת שלו או הטיפול במידע סודי".
אותו סעיף בבקרה 6.6 של ISO 27002:2022 קובע כי:
"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על בעלי עניין ואנשי הארגון.
בהתבסס על דרישות אבטחת המידע של ארגון, יש לקבוע את התנאים בהסכמים תוך התחשבות בסוג המידע שיטופל, רמת הסיווג שלו, השימוש בו והגישה המותרת של הצד השני".
לשני הפקדים, למרות שהם שונים במשמעות הסמנטית, יש מבנה ותפקוד דומים בהקשרים שלהם. עם זאת, בקרה 6.6 משתמשת בשפה פשוטה יותר וידידותית יותר כך שהתוכן וההקשר קלים יותר להבנה. המשמעות היא שמי שישתמש בתקן יכול להתייחס לתוכן שלו ביתר קלות.
בנוסף, גרסת 2022 של ISO 27002 כוללת טבלאות של הצהרות מטרות ותכונות עבור כל פקד, המסייעות למשתמשים להבין וליישם את הפקדים בצורה יעילה יותר. שני חלקים אלה אינם זמינים במהדורת 2013.
על פי בקרה 6.6 של תקן ISO 27002, מחלקת משאבי אנוש מנהלת בדרך כלל את הניסוח והיישום של הסכם הסודיות או הסודיות ברוב הארגונים, הכרוך בשיתוף פעולה עם המנהל המפקח או המחלקה של הצד השלישי הנוגע בדבר.
המנהל המפקח יכול להיות קצין אבטחת מידע, מנהל מכירות או ייצור.
מחלקות וראשים אלה אחראים גם להבטיח שלכל ספקי צד שלישי המשמשים את הארגון יש אמצעי אבטחה נאותים כדי להגן על מידע סודי מפני חשיפה או שימוש בלתי מורשה.
עליהם לוודא שכל העובדים חותמים על הסכם סודיות כאשר הם מתחילים לעבוד בחברה.
ברוב המקרים (בהתאם לגודל הארגון), הסכמי סודיות או סודיות נחתמים על ידי כל העובדים שיש להם גישה למידע סודי.
זה כולל בדרך כלל כל עובד שעובד במחלקות מכירות, שיווק, שירות לקוחות או אחרות שבהן הוא עלול לבוא במגע עם מידע סודי לגבי לקוחות, לקוחות או ספקים.
במקרים מסוימים, גם אם אין הסכם כתוב בפועל בין שני צדדים, לארגונים צריכה להיות מדיניות המחייבת עובדים לחתום על הסכם סודיות לפני שתתאפשר להם גישה למידע רגיש על לקוחות או ספקים.
כמה סיכונים הקשורים בהיעדר מדיניות הסכם סודיות מספקת כוללים:
תקן ISO 27002:2013 לא השתנה באופן משמעותי. התקן עודכן רק כדי להקל על השימושיות. ארגונים העומדים כעת בתקן ISO 27002:2013 אינם צריכים לנקוט בצעדים נוספים כדי לשמור על ציות עם התקן.
על מנת לעמוד בתיקונים ב-ISO 27002:2022, ייתכן שהארגון ימצא צורך לבצע כמה שינויים קלים בתהליכים ובנהלים הקיימים שלו, במיוחד אם יש צורך באישור מחדש.
למידע נוסף על האופן שבו שינויים אלה לשליטה ב-6.6 ישפיעו על הארגון שלך, עיין במדריך שלנו בנושא ISO 27002:2022.
ISO 27002 הוא תקן אבטחת מידע מוכר ברבים המספק מערכת של דרישות לארגון כדי להגן על הסודיות, היושרה והזמינות של המידע שלו. התקן פותח על ידי ארגון התקינה הבינלאומי (ISO), ארגון לא ממשלתי הקובע, סוקר ומפרסם תקנים בינלאומיים.
ISMS.Online מסייעת לארגונים ועסקים לעמוד בדרישות של ISO 27002 על ידי מתן פלטפורמה המאפשרת לנהל בקלות את המדיניות והנהלים בנושא סודיות או אי-חשיפה, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.
אנו מספקים פלטפורמה מבוססת ענן עבור ניהול מערכות ניהול סודיות ואבטחת מידע, לרבות סעיפי אי גילוי, ניהול סיכונים, מדיניות, תוכניות ונהלים, במקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.
ISMS.Online מאפשר לך:
ISMS.Online מציעה א מגוון שלם של תכונות לסייע לארגונים ועסקים להשיג עמידה בתקן התעשייה ISO 27001 ו/או ISO 27002 ISMS.
אנא צור איתנו קשר עוד היום כדי קבע הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.