ISO 27002, בקרה 8.30, פיתוח במיקור חוץ

הבטחת אבטחת מידע בפיתוח במיקור חוץ: ISO 27002 בקרה 8.30

למיקור חוץ של מערכות IT ופיתוח תוכנה לגורמים חיצוניים יש יתרונות רבים לעסקים כמו עלות מופחתת ויכולת מדרגיות רבה יותר. עם זאת, יעילות זו לא צריכה לבוא במחיר של אבטחה.

לדוגמה, ייתכן שלספקי שירותים חיצוניים אין בקרת גישה קפדנית עבור רשתות במקום או שהם לא יצליחו להחיל הצפנה ברמת התעשייה על נתונים המאוחסנים בענן, מה שיוביל לפגיעה במערכות IT ומוצרי תוכנה.

הדבר עלול לגרום לפרצות מידע ואובדן זמינות, סודיות או שלמות של נכסי מידע.

פי דו"ח של Trustwave, מיקור חוץ של תוכנה ופיתוח IT שיחק תפקיד ביותר מ-60% מכל הפרצות הנתונים.

בהתחשב בכך שמיקור חוץ מוביל בהכרח לאובדן שליטה על תהליך הפיתוח ומקשה על יישום ותחזוקת דרישות אבטחת המידע, על ארגונים להבטיח שגורמים חיצוניים יעמדו בדרישות אבטחת המידע שנקבעו על ידי הארגון.

מטרת הבקרה 8.30

בקרה 8.30 מאפשרת לארגונים להבטיח כי דרישות אבטחת המידע שנקבעו יתקיימו בעת מיקור חוץ של פיתוח המערכת והתוכנה לספקים חיצוניים.

תכונות שליטה 8.30

Control 8.30 היא בילוש ומניעתית במהותה: היא מחייבת ארגונים לפקח ולפקח על כל פעילויות מיקור החוץ ולהבטיח שתהליך הפיתוח במיקור חוץ עומד בדרישות אבטחת מידע.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#אבטחת מערכת ורשת	#ממשל ומערכת אקולוגית
#בַּלָשׁ	#יושרה	#לְהַגֵן	#אבטחת יישומים	#הֲגָנָה
	#זמינות	#לזהות	#אבטחת קשרי ספקים

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

בעלות על שליטה 8.30

קצין אבטחת מידע ראשי צריך להיות אחראי על קביעת ויישום נהלים ובקרות הכרחיות כדי להבטיח שדרישות אבטחת מידע אלה יועברו לספקים חיצוניים, מוסכמים עליהם ומתקיימים בהם.

הנחיות כלליות בנושא ציות

הנחיות כלליות מדגישות כי על ארגונים לפקח ולוודא באופן רציף כי אספקת עבודת הפיתוח במיקור חוץ עומדת בדרישות אבטחת המידע המוטלות על ספק השירות החיצוני.

Control 8.30 ממליץ לארגונים לקחת בחשבון את 11 הגורמים הבאים בעת מיקור חוץ של פיתוח:

התקשרות בהסכמים, לרבות הסכמי רישוי, המתייחסים לבעלות על קוד וזכויות קניין רוחני.
הטלת דרישות חוזיות מתאימות לתכנון וקידוד מאובטחים בהתאם לבקרה 8.25 ו-8.29.
הקמת מודל איומים שיאומץ על ידי מפתחי צד שלישי.
ביצוע הליך בדיקת קבלה להבטחת איכות ודיוק העבודה שנמסרה.
הוכחה לכך שמתקבלות יכולות הפרטיות והאבטחה המינימליות הנדרשות. ניתן להשיג זאת באמצעות דוחות הבטחה.
שמירת ראיות לאופן שבו בוצעו מספיק בדיקות כדי להגן על מערכת ה-IT או התוכנה שנמסרו מפני תוכן זדוני.
שמירת ראיות לאופן שבו בוצעו מספיק בדיקות כדי להגן מפני נקודות תורפה שזוהו.
הצבת הסכמי נאמנות המכסים את קוד מקור התוכנה. לדוגמה, הוא עשוי להתייחס למה שיקרה אם הספק החיצוני ייצא מהעסק.
ההסכם עם הספק צריך לכלול את זכותו של הארגון לבצע ביקורות על תהליכי פיתוח ובקרות.
קביעה ויישום דרישות אבטחה עבור סביבת הפיתוח.
ארגונים צריכים גם לשקול את החוקים, החוקים והתקנות החלים.

הדרכה משלימה

להדרכה מפורטת יותר על ניהול קשרי ספקים, ארגונים יכולים לפנות ל-ISO/IEC 27036.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

27002:2022/8.30 replaces 27002:2013/(14.2.7)

בסך הכל, אין הבדל מהותי בין שתי הגרסאות.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

חברות יכולות להשתמש ב-ISMS.Online כדי לעזור להן במאמצי התאימות ל-ISO 27002 על ידי מתן פלטפורמה שמקלה לנהל את מדיניות האבטחה והנהלים שלהן, לעדכן אותם לפי הצורך, לבדוק אותם ולנטר את יעילותם.

הפלטפורמה מבוססת הענן שלנו מאפשרת לך לנהל במהירות ובקלות את כל ההיבטים של ה-ISMS שלך, כולל ניהול סיכונים, מדיניות, תוכניות, נהלים ועוד, במיקום מרכזי אחד. הפלטפורמה קלה לשימוש ובעלת ממשק אינטואיטיבי המקל על לימוד השימוש.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו