הסכמי סודיות או סודיות

מהי Control 6.6?

בקרה 6.6 ב-ISO 27002:2022 מכסה את הצורך של ארגונים למנוע דליפת מידע סודי על ידי קביעת הסכמי סודיות עם בעלי עניין ואנשי צוות.

ארגונים צריכים לקבוע את תנאי ההסכמים שלהם עם צדדים אחרים בהתבסס על דרישות אבטחת המידע של הארגון, תוך התחשבות בסוג המידע בו יש לטפל, רמת הסיווג שלו, השימוש המיועד שלו והגישה המותרת לצד השני.

הסכמי סודיות או סודיות מוסברים

הסכם סודיות או סודיות (NDA) הוא מסמך משפטי המונע שחרור של סודות מסחריים ומידע סודי אחר.

סוֹדִי המידע עשוי לכלול את התוכנית העסקית של החברה, נתונים פיננסיים, רשימות לקוחות ומידע קנייני אחר. ניתן להשתמש בהסכמים אלו במגוון רחב של מצבים, כולל:

תעסוקה – הסכם סודיות עשוי להיות חלק מחוזה העבודה לעובד חדש. ההסכם מבטיח שהעובד לא יחשוף כל מידע סודי על החברה, מוצריה או שירותיה, העובדים או הספקים שלה. הסכמי סודיות משמשים גם עסקים כדי למנוע מעובדיהם לחשוף מידע רגיש לאחר עזיבת מקום עבודתם.
עסקאות עסקיות – הסכמי סודיות נכללים לרוב בעסקאות עסקיות, כגון רכישת חברה, מיזוג עם חברה אחרת או מכירת עסק. מטרת הסכמים אלו היא למנוע משני הצדדים לחשוף כל מידע סודי שהושג במהלך העסקה.
שותפויות - הסכמי סודיות משמשים לעתים קרובות בעסקאות עסקיות כאשר צד אחד רוצה להגן על היחסים הקיימים שלו עם לקוחות או ספקים מפני חשיפה לשותף חדש. לדוגמה, אם חברה מחפשת מימון ממשקיעי הון סיכון, היא עשויה לבקש מאותם משקיעים לחתום על NDAs כדי להגן על מידע קנייני על המוצרים או השירותים של החברה.

לעתים קרובות שותפויות כוללות סעיפי סודיות כחלק מהסכם השותפות שלהם, כך שכל שותף מסכים לא לחשוף מידע סודי שהושג במהלך השותפות שלהם.

מטרת הסכמי סודיות

הסכמי סודיות נערכים על ידי אנשים ועסקים כאחד. יש להם מטרות רבות, כגון:

הגנה על סודות מסחריים ומידע קנייני מפני מתחרים שעלולים אחרת להשתמש בו נגדם;
מניעת שיתוף של מידע רגיש של עובד עם חברה אחרת; ו
הגנה על זכויות קניין רוחני (IP) כמו פטנטים וזכויות יוצרים.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

טבלת בקרה של תכונות 6.6

בקרות מסווגות באמצעות תכונות. באמצעות אלה, אתה יכול להתאים במהירות את בחירת הבקרה שלך למונחים ומפרטים בתעשייה הנפוצים.

תכונות לבקרה 6.6 הן:

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#ניהול נכסים	#הֲגָנָה
	#יושרה		#הגנת מידע
	#זמינות		#ביטחון פיזי
			#אבטחת מערכת ורשת

מהי מטרת בקרה 6.6?

יש ליישם בקרה 6.6 על מנת להבטיח את אבטחת המידע כאשר עובדים, שותפים וספקים עובדים עם ארגון.

בקרה זו נועדה להגן על המידע של הארגון וליידע את החותמים על אחריותם לטפל ולהגן על מידע בצורה אחראית ומורשית. הוא משמש גם ככלי להגנה על זכויות קניין רוחני, כגון פטנטים, סימני מסחר, סודות מסחריים וזכויות יוצרים.

למעסיקים חשוב שיהיה הסכם סודיות לפני גילוי מידע סודי כלשהו לעובד או לקבלן. ההסכם יקבע באיזו מידה על האדם לשמור על המידע שאליו הוא נחשף וכמה זמן תימשך תקופת החיסיון לאחר סיום העסקתו.

בקרה 6.6 הסבר

בקרה 6.6 מטרתה להגן על הקניין הרוחני והאינטרסים העסקיים של הארגון שלך על ידי מניעת חשיפת מידע רגיש לצדדים שלישיים. היא מתייחסת לחוזה משפטי או הסדר בין הארגון שלך לבין עובדיו, שותפיו, קבלנים, ספקים וצדדים שלישיים אחרים. המסדיר את השימוש במידע סודי.

מידע סודי הוא כל מידע שלא הועמד לרשות הציבור או לחברות אחרות בענף דומה. דוגמאות כוללות סודות מסחריים, רשימות לקוחות, נוסחאות ותוכניות עסקיות.

יש ליישם את הבקרה בעת הערכה האם א לצד שלישי תהיה גישה לנתונים אישיים רגישים, והאם יש לנקוט בצעדים כדי להבטיח שהם לא ישמרו וימשיכו לגשת לנתונים האישיים הרגישים של הארגון לאחר עזיבתם.

כאשר ארגון קובע שצד שלישי יוצא ממערכת היחסים העסקית, וקיים סיכון שייתכנו נתונים ארגוניים או חברה רגישים כתוצאה מכך, על הארגון לנקוט בצעדים סבירים לפני עזיבת אותו צד שלישי, או בהקדם האפשרי. לאחר שהם עזבו, כדי למנוע חשיפה כזו.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

מה כרוך ואיך לעמוד בדרישות

שליטה 6.6 פירושה שהצדדים להסכם אינם חושפים מידע סודי המכוסה בהסכם. ניתן לגלות את המידע רק בהסכמה בכתב מהארגון או בהתאם לצו בית משפט. זה חשוב כדי להגן על מידע רגיש על שיטות עבודה עסקיות, קניין רוחני ומחקר ופיתוח.

כדי לעמוד בדרישות בקרה 6.6, הסכם/חוזה "סודיות" ו"אי גילוי" צריך להיות מנוסח בקפידה כך שיכסה את כל הסודות המסחריים והיבטי הנתונים/מידע הרגישים של עסקאות ועסקאות הארגון. חשוב ששני הצדדים יבינו את התחייבויותיהם על פי החוזה והחובות במהלך ואחרי סיום הקשר העסקי.

סעיף סודיות עשוי להיכלל גם בחוזים אחרים הנמשכים מעבר לסיום העסקתו של העובד או התקשרות עם צדדים שלישיים.

זה הכרחי שהאדם שעוזב קשר עסקי או מחליף מקום עבודה יעבור את האחריות והתפקידים האבטחה שלו לאדם חדש, וכל אישורי הגישה יימחקו ויצרו אחד חדש.

יש לקחת בחשבון את המרכיבים הבאים בעת זיהוי הסכמי סודיות ואי גילוי:

תיאור של המידע שיש להגן עליו (למשל, נתונים סודיים);
משך ההסכם, לרבות מצבים בהם יש לשמור על סודיות ללא הגבלת זמן או עד לפרסום המידע;
הפעולות הנדרשות במקרה של סיום הסכם;
אחריות ופעולות שעל החותמים לנקוט כדי למנוע חשיפה בלתי מורשית של מידע;
כיצד בעלות על מידע, סודות מסחריים וקניין רוחני משפיעה על הסודיות;
השימוש המותר במידע סודי, יחד עם זכויות החותם להשתמש בו;
הזכות לפקח או פעילויות ביקורת הכוללות מידע רגיש ביותר;
הליך ההודעה והדיווח על גילויים לא מורשים או הדלפות של מידע סודי;
התנאים להחזרה או השמדת מידע עם סיום ההסכם;
הפעולות שיש לנקוט אם ההסכם לא יקוים.

על הארגון להבטיח שהסכמי סודיות ואי גילוי עומדים בחוקי תחום השיפוט שבו הם חלים.

סקירה של הסכמי סודיות ואי גילוי צריכה להתרחש מעת לעת ובכל פעם ששינויים משפיעים על הדרישות שלהם.

מידע נוסף על איך זה עובד זמין במסמך התקן ISO 27002:2022.

שינויים והבדלים מ-ISO 27002:2013

שליטה ב-6.6 ב-ISO 27002:2022 החדש אינו פקד חדש, אלא גרסה שונה של פקד 13.2.4 ב-ISO 27002:2013.

בעוד ששני הפקדים האלה מכילים תכונות דומות, הם שונים במקצת. לדוגמה, בעוד שההנחיות ליישום בשתי הגרסאות דומות, הן אינן זהות.

1 חלק מהנחיות היישום ב-control 13.2.4 ב-ISO 27002:2013 קובע כי:

"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על גורמים חיצוניים או עובדי הארגון. יש לבחור או להוסיף אלמנטים בהתחשב בסוג הצד השני והגישה המותרת שלו או הטיפול במידע סודי".

אותו סעיף בבקרה 6.6 של ISO 27002:2022 קובע כי:

"הסכמי סודיות או אי חשיפה צריכים להתייחס לדרישה להגן על מידע סודי תוך שימוש בתנאים הניתנים לאכיפה משפטית. הסכמי סודיות או סודיות חלים על בעלי עניין ואנשי הארגון.

בהתבסס על דרישות אבטחת המידע של ארגון, יש לקבוע את התנאים בהסכמים תוך התחשבות בסוג המידע שיטופל, רמת הסיווג שלו, השימוש בו והגישה המותרת של הצד השני".

לשני הפקדים, למרות שהם שונים במשמעות הסמנטית, יש מבנה ותפקוד דומים בהקשרים שלהם. עם זאת, בקרה 6.6 משתמשת בשפה פשוטה יותר וידידותית יותר כך שהתוכן וההקשר קלים יותר להבנה. המשמעות היא שמי שישתמש בתקן יכול להתייחס לתוכן שלו ביתר קלות.

בנוסף, גרסת 2022 של ISO 27002 כוללת טבלאות של הצהרות מטרות ותכונות עבור כל פקד, המסייעות למשתמשים להבין וליישם את הפקדים בצורה יעילה יותר. שני חלקים אלה אינם זמינים במהדורת 2013.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

מי אחראי על התהליך הזה?

על פי בקרה 6.6 של תקן ISO 27002, מחלקת משאבי אנוש מנהלת בדרך כלל את הניסוח והיישום של הסכם הסודיות או הסודיות ברוב הארגונים, הכרוך בשיתוף פעולה עם המנהל המפקח או המחלקה של הצד השלישי הנוגע בדבר.

המנהל המפקח יכול להיות קצין אבטחת מידע, מנהל מכירות או ייצור.

מחלקות וראשים אלה אחראים גם להבטיח שלכל ספקי צד שלישי המשמשים את הארגון יש אמצעי אבטחה נאותים כדי להגן על מידע סודי מפני חשיפה או שימוש בלתי מורשה.

עליהם לוודא שכל העובדים חותמים על הסכם סודיות כאשר הם מתחילים לעבוד בחברה.

ברוב המקרים (בהתאם לגודל הארגון), הסכמי סודיות או סודיות נחתמים על ידי כל העובדים שיש להם גישה למידע סודי.

זה כולל בדרך כלל כל עובד שעובד במחלקות מכירות, שיווק, שירות לקוחות או אחרות שבהן הוא עלול לבוא במגע עם מידע סודי לגבי לקוחות, לקוחות או ספקים.

במקרים מסוימים, גם אם אין הסכם כתוב בפועל בין שני צדדים, לארגונים צריכה להיות מדיניות המחייבת עובדים לחתום על הסכם סודיות לפני שתתאפשר להם גישה למידע רגיש על לקוחות או ספקים.

כמה סיכונים הקשורים בהיעדר מדיניות הסכם סודיות מספקת כוללים:

עובדים עלולים בשוגג להדליף מידע רגיש למישהו מחוץ לחברה שלא אמורה להיות לו גישה אליו, ולגרום נזק לארגון.
עובד עשוי לחשוף נתונים רגישים למתחרה.
עובד ממורמר עלול לגנוב את הקניין הרוחני (IP) של החברה ולהשתמש בו לטובתו.
עובדים עלולים להשאיר בטעות מידע רגיש על שולחן העבודה של המחשב שלהם בעבודה או על המחשב הנייד שלהם בבית, שעלול להיגנב על ידי האקר.

מה המשמעות של השינויים הללו עבורך?

תקן ISO 27002:2013 לא השתנה באופן משמעותי. התקן עודכן רק כדי להקל על השימושיות. ארגונים העומדים כעת בתקן ISO 27002:2013 אינם צריכים לנקוט בצעדים נוספים כדי לשמור על ציות עם התקן.

על מנת לעמוד בתיקונים ב-ISO 27002:2022, ייתכן שהארגון ימצא צורך לבצע כמה שינויים קלים בתהליכים ובנהלים הקיימים שלו, במיוחד אם יש צורך באישור מחדש.

למידע נוסף על האופן שבו שינויים אלה לשליטה ב-6.6 ישפיעו על הארגון שלך, עיין במדריך שלנו בנושא ISO 27002:2022.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.Online עוזר

ISO 27002 הוא תקן אבטחת מידע מוכר ברבים המספק מערכת של דרישות לארגון כדי להגן על הסודיות, היושרה והזמינות של המידע שלו. התקן פותח על ידי ארגון התקינה הבינלאומי (ISO), ארגון לא ממשלתי הקובע, סוקר ומפרסם תקנים בינלאומיים.

ISMS.Online מסייעת לארגונים ועסקים לעמוד בדרישות של ISO 27002 על ידי מתן פלטפורמה המאפשרת לנהל בקלות את המדיניות והנהלים בנושא סודיות או אי-חשיפה, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.

אנו מספקים פלטפורמה מבוססת ענן עבור ניהול מערכות ניהול סודיות ואבטחת מידע, לרבות סעיפי אי גילוי, ניהול סיכונים, מדיניות, תוכניות ונהלים, במקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.

ISMS.Online מאפשר לך:

תיעד את התהליכים שלך. ממשק אינטואיטיבי זה מאפשר לך לתעד את התהליכים שלך מבלי להתקין תוכנה כלשהי במחשב או ברשת.
הפוך את שלך לאוטומטי הערכת סיכונים התהליך.
הצג תאימות בקלות עם דוחות מקוונים ורשימות ביקורת.
שמור תיעוד של ההתקדמות תוך כדי עבודה לקראת הסמכה.

ISMS.Online מציעה א מגוון שלם של תכונות לסייע לארגונים ועסקים להשיג עמידה בתקן התעשייה ISO 27001 ו/או ISO 27002 ISMS.

אנא צור איתנו קשר עוד היום כדי קבע הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו