למיקור חוץ של מערכות IT ופיתוח תוכנה לגורמים חיצוניים יש יתרונות רבים לעסקים כמו עלות מופחתת ויכולת מדרגיות רבה יותר. עם זאת, יעילות זו לא צריכה לבוא במחיר של אבטחה.
לדוגמה, ייתכן שלספקי שירותים חיצוניים אין בקרת גישה קפדנית עבור רשתות במקום או שהם לא יצליחו להחיל הצפנה ברמת התעשייה על נתונים המאוחסנים בענן, מה שיוביל לפגיעה במערכות IT ומוצרי תוכנה.
הדבר עלול לגרום לפרצות מידע ואובדן זמינות, סודיות או שלמות של נכסי מידע.
פי דו"ח של Trustwave, מיקור חוץ של תוכנה ופיתוח IT שיחק תפקיד ביותר מ-60% מכל הפרצות הנתונים.
בהתחשב בכך שמיקור חוץ מוביל בהכרח לאובדן שליטה על תהליך הפיתוח ומקשה על יישום ותחזוקת דרישות אבטחת המידע, על ארגונים להבטיח שגורמים חיצוניים יעמדו בדרישות אבטחת המידע שנקבעו על ידי הארגון.
בקרה 8.30 מאפשרת לארגונים להבטיח כי דרישות אבטחת המידע שנקבעו יתקיימו בעת מיקור חוץ של פיתוח המערכת והתוכנה לספקים חיצוניים.
Control 8.30 היא בילוש ומניעתית במהותה: היא מחייבת ארגונים לפקח ולפקח על כל פעילויות מיקור החוץ ולהבטיח שתהליך הפיתוח במיקור חוץ עומד בדרישות אבטחת מידע.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ #בַּלָשׁ | #סודיות #יושרה #זמינות | #לזהות #לְהַגֵן #לזהות | #אבטחת מערכת ורשת #אבטחת יישומים #אבטחת קשרי ספקים | #ממשל ומערכת אקולוגית #הֲגָנָה |
קצין אבטחת מידע ראשי צריך להיות אחראי על קביעת ויישום נהלים ובקרות הכרחיות כדי להבטיח שדרישות אבטחת מידע אלה יועברו לספקים חיצוניים, מוסכמים עליהם ומתקיימים בהם.
הנחיות כלליות מדגישות כי על ארגונים לפקח ולוודא באופן רציף כי אספקת עבודת הפיתוח במיקור חוץ עומדת בדרישות אבטחת המידע המוטלות על ספק השירות החיצוני.
Control 8.30 ממליץ לארגונים לקחת בחשבון את 11 הגורמים הבאים בעת מיקור חוץ של פיתוח:
להדרכה מפורטת יותר על ניהול קשרי ספקים, ארגונים יכולים לפנות ל-ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
בסך הכל, אין הבדל מהותי בין שתי הגרסאות.
חברות יכולות להשתמש ב-ISMS.Online כדי לעזור להן במאמצי התאימות ל-ISO 27002 על ידי מתן פלטפורמה שמקלה לנהל את מדיניות האבטחה והנהלים שלהן, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.
הפלטפורמה מבוססת הענן שלנו מאפשרת לך לנהל במהירות ובקלות את כל ההיבטים של ה-ISMS שלך, כולל ניהול סיכונים, מדיניות, תוכניות, נהלים ועוד, במיקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |