ISO 27701 סעיף 6.12: יסודות ניהול ספקים
גיבוש ושימור קשרי ספקים פרודוקטיביים מהווים חלק גדול מרוב העסקים המודרניים מבוססי הנתונים - בין אם באמצעות אספקת ציוד, שירותי תמיכה או קבלנות משנה.
מתחילת הקשר, ולאורך כל משך חוזה השירות, שני הצדדים צריכים להיות מודעים ללא הרף למחויבויותיהם כלפי אבטחת מידע פרטיות, ויש להתאים תקנים כדי להגן על PII ולהבטיח את שלמות המידע הרגיש.
מה מכוסה בסעיף 27701 של ISO 6.12
ISO 27701 סעיף 6.12 מורכב משני חלקים מרכיבים:
- ISO 27701 6.12.1 – אבטחת מידע ביחסי ספקים
- ISO 27701 6.12.2 - ניהול אספקת שירות לספקים
על פני שני הסעיפים הללו, ישנם 5 סעיפי משנה המכילים הנחיות מ ISO 27002, מיושם בהקשר של ניהול מידע פרטיות ואבטחה:
- ISO 27701 6.12.1.1 - מדיניות אבטחת מידע עבור קשרי ספקים (ISO 27002 בקרה 5.19)
- ISO 27701 6.12.1.2 - טיפול באבטחה במסגרת הסכמי ספקים (ISO 27002 בקרה 5.20)
- ISO 27701 6.12.1.3 - שרשרת אספקת טכנולוגיות מידע ותקשורת (ISO 27002 בקרה 5.21)
- ISO 27701 6.12.2.1 - ניטור וסקירה של שירותי ספקים (ISO 27002 בקרה 5.22)
- ISO 27701 6.12.2.2 - ניהול שינויים בשירותי ספקים (ISO 27002 בקרה 5.22)
רק מאמר אחד מכיל הנחיות הרלוונטיות לבריטניה GDPR חקיקה – (ISO 27701 6.12.1.2). מספרי המאמר סופקו לנוחיותך.
שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 6.12.1.1 - הגנה על נתוני בדיקה
הפניות ISO 27002 בקרה 5.19
ארגונים צריכים ליישם מדיניות ונהלים שלא רק מסדירים את השימוש של הארגון במשאבי ספקים ופלטפורמות ענן, אלא גם מהווים את הבסיס לאופן שבו הם מצפים מהספקים שלהם להתנהל לפני ולאורך כל תקופת הקשר המסחרי, במיוחד לגבי PII ו נכסים הקשורים לפרטיות.
ניתן לראות ב-ISO 27701 6.12.1.1 כמסמך הכשיר החיוני המכתיב את אופן הטיפול בניהול מידע פרטיות במהלך חוזה ספק.
ארגונים צריכים:
- שמור רישום של סוגי ספקים שיש להם פוטנציאל להשפיע על אבטחת מידע פרטיות.
- הבן כיצד לטפל בספקים, בהתבסס על רמות סיכון משתנות.
- זהה ספקים שיש להם בקרות אבטחת מידע קיימות מראש.
- זיהוי אזורים בתשתית ה-ICT של הארגון שספקים יוכלו לגשת אליהם או לצפות בהם.
- הגדר כיצד התשתית של הספקים עצמם יכולה להשפיע על הגנת הפרטיות.
- זהה ונהל את סיכוני הפרטיות הקשורים ל:
- שימוש במידע סודי.
- שימוש בנכסים מוגנים.
- חומרה פגומה או תוכנה לא תקינה.
- עקוב אחר תאימות לאבטחת מידע פרטיות על בסיס נושא ספציפי או סוג ספק.
- הגבל את כל ההפרעה הנגרמת כתוצאה מאי ציות.
- לפעול עם נוהל ניהול אירועים.
- יישם תוכנית הדרכה יסודית המודיעה לצוות כיצד עליהם לקיים אינטראקציה עם ספקים.
- הקפידו על העברת מידע פרטיות ונכסים פיזיים ווירטואליים בין הארגון לספקים.
- ודא כי קשרי ספקים מסתיימים מתוך מחשבה על אבטחת מידע פרטיות.
ארגונים צריכים להשתמש בהנחיות לעיל בעת יצירת קשרים חדשים עם ספקים, ולשקול אי-עמידה על בסיס כל מקרה לגופו.
ISO מכירה בכך שמערכות היחסים המסחריות משתנות מאוד ממגזר למגזר ומעסק לעסק, ומעניקה לארגונים חופש פעולה על ידי המלצה על מחקרים של "בקרות מפצות" השואפות להשיג את אותם עקרונות הגנת הפרטיות הבסיסיים.
ISO 27701 סעיף 6.12.1.2 - טיפול באבטחה במסגרת הסכמי ספקים
הפניות ISO 27002 בקרה 5.20
כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.
בעשותם זאת, ארגונים צריכים:
- הציעו תיאור ברור המפרט את פרטי הפרטיות שאליו יש לגשת, וכיצד יש לגשת למידע זה.
- סווגו את פרטי הפרטיות שאליהם יש לגשת בהתאם לתכנית סיווג מקובלת (ראה ISO 27002 בקרות 5.10, 5.12 ו-5.13).
- תנו שיקול נאות לתכנית הסיווג של הספקים עצמו.
- סיווג זכויות לארבעה תחומים עיקריים - משפטיים, סטטוטוריים, רגולטוריים וחוזיים - עם תיאור מפורט של חובות לכל תחום.
- ודא שכל צד מחויב לחוקק סדרה של בקרות המנטרות, מעריכות ומנהלות את רמות הסיכון של אבטחת מידע פרטיות.
- תאר את הצורך של אנשי ספקים לעמוד בתקני אבטחת המידע של ארגון (ראה ISO 27002 בקרה 5.20).
- הקל על הבנה ברורה של מה מהווה שימוש מקובל ובלתי מקובל במידע פרטיות ובנכסים פיזיים ווירטואליים משני הצדדים.
- קבע בקרות הרשאות הנדרשות לאנשי צד הספק כדי לגשת או להציג מידע פרטיות של ארגון.
- קחו בחשבון מה קורה במקרה של הפרת חוזה, או כל אי עמידה בתנאים פרטניים.
- תאר נוהל ניהול תקריות, כולל איך מועברים אירועים גדולים.
- ודא כי הצוות מקבל הדרכה למודעות אבטחה.
- (אם הספק מורשה להשתמש בקבלני משנה) הוסיפו דרישות כדי להבטיח שקבלני המשנה יהיו מיושרים עם אותה סט של תקני אבטחת מידע פרטיות כמו הספק.
- שקול כיצד צוות הספק נבדק לפני אינטראקציה עם מידע פרטיות.
- לקבוע את הצורך באישורים של צד שלישי המתייחסים ליכולתו של הספק למלא את דרישות אבטחת המידע של פרטיות ארגונית.
- בעלי הזכות החוזית לבקר את נהלי הספק.
- לדרוש מהספקים לספק דוחות המפרטים את האפקטיביות של התהליכים והנהלים שלהם.
- התמקד בנקיטת צעדים כדי להשפיע על פתרון בזמן ויסודי של כל ליקוי או קונפליקטים.
- ודא שספקים פועלים עם מדיניות BUDR נאותה, כדי להגן על היושרה והזמינות של PII ונכסים הקשורים לפרטיות.
- דרשו מדיניות ניהול שינויים בצד הספק המיידעת את הארגון על כל שינוי שיש לו פוטנציאל להשפיע על הגנת הפרטיות.
- הטמע בקרות אבטחה פיזיות פרופורציונליות לרגישות הנתונים המאוחסנים ומעובדים.
- (לאן יש להעביר נתונים) בקש מהספקים לוודא שהנתונים והנכסים מוגנים מפני אובדן, נזק או שחיתות.
- ציין רשימה של פעולות שיש לנקוט על ידי כל אחד מהצדדים במקרה של סיום.
- בקש מהספק לתאר כיצד הוא מתכוון להשמיד מידע פרטיות לאחר סיום, או שהנתונים אינם נדרשים עוד.
- נקוט בצעדים כדי להבטיח הפרעה עסקית מינימלית במהלך תקופת מסירה.
ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.
מאמרי GDPR ישימים
- סעיף 5 (1)(ו)
- מאמר 28 (1)
- סעיף 28 (3)(א), (3)(ב), (3)(ג), (3)(ד), (3)(ה), (3)(ו), (3)(ז) , (3)(ח)
- סעיף 30 (2)(ד)
- סעיף 32 (1)(ב)
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.20
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.12.1.3 – שרשרת אספקת טכנולוגיות מידע ותקשורת
הפניות ISO 27002 בקרה 5.21
בעת מתן חוזה לחלקים משרשרת האספקה שלהם, על מנת להגן על PII ונכסים הקשורים לפרטיות, ארגונים צריכים:
- נסח סט ברור של תקני אבטחת מידע פרטיות שהספקים והקבלנים מכירים היטב.
- בקש מהספקים לספק מידע על כל רכיבי תוכנה המשמשים למתן שירות.
- זהה את פונקציות האבטחה של כל מוצר או שירות שסופק, וקבע כיצד יש להפעיל את המוצרים והשירותים האמורים באופן שאינו פוגע באבטחת מידע פרטיות.
- טיוטת נהלים המבטיחים שכל מוצר או שירות עומדים בסטנדרטים המקובלים בתעשייה.
- היצמד לתהליך המזהה ומתעד אלמנטים של מוצר או שירות שהם חיוניים לשמירה על פונקציונליות הליבה.
- בקש מהספקים לספק הבטחות שלרכיבים מסוימים יש יומן ביקורת מצורף המעיד על תנועה לאורך שרשרת האספקה.
- חפש ביטחון שמוצרים ושירותים אינם מכילים תכונות שעלולות להוות סיכון אבטחה.
- ודא שספקים שוקלים אמצעים נגד חבלה לאורך כל מחזור חיי הפיתוח.
- חפש הבטחות שכל המוצרים או השירותים המסופקים תואמים לדרישות אבטחת מידע סטנדרטיות בתעשייה.
- נקוט בצעדים כדי להבטיח שהספקים מודעים לחובותיהם בעת שיתוף מידע פרטיות לאורך שרשרת האספקה.
- טיוטת נהלים המנהלים סיכונים כאשר פועלים עם רכיבים לא זמינים, לא נתמכים או מדור קודם.
חשוב לציין כי בקרת האיכות אינה מתרחבת בהכרח לבדיקה פרטנית של הנהלים של הספק עצמו.
ארגונים צריכים ליישם בדיקות ספציפיות לספק המאשרות ארגוני צד שלישי כמקור מכובד, בתחום ניהול מידע הפרטיות.
ISO 27701 סעיף 6.12.2.1 - ניטור וסקירה של שירותי ספקים
הפניות ISO 27002 בקרה 5.22
ארגונים צריכים להיות מודעים ללא הרף לאופן שבו שירותי הספקים מסופקים - ובאילו רמות - כדי לשמור על פעולת ניהול מידע פרטיות בטוחה ומאובטחת.
כדי להשיג זאת, ארגונים צריכים:
- מעקב אחר רמות השירות בהתאם ל-SLAs שפורסמו.
- לטפל בכל מחסור בשירות או באירועים במהירות האפשרית, במיוחד אלה המשפיעים על PII או נכסים הקשורים לפרטיות.
- עקוב אחר כל שינוי שבוצע על ידי הספק בפעילותו שלו שיש לו פוטנציאל להשפיע על הגנת הפרטיות, לרבות שינויים ספציפיים לשירות.
- בקשו לקבל דוחות שירות קבועים, ופגישות בדיקה מתוזמנות.
- בדוק בקפדנות את שותפי מיקור חוץ וקבלני משנה, ופעל בכל תחום לדאגה.
- לפעול במסגרת סטנדרטים ונהלי ניהול אירועים מוסכמים.
- שמור תיעוד של אירועי אבטחת מידע פרטיות, בעיות תפעול ותקלות.
- הדגש כל פרצות אבטחת מידע והפחתן עד הסוף.
- שים לב ליחסים של הספקים עם הספקים וקבלני המשנה שלו, וכיצד זה משפיע על הגנת הפרטיות בגבולות הארגון עצמו.
- זיהוי אנשי צד הספק אשר אחראים לשמירה על תנאי חוזה השירות.
- בצע ביקורות המאשרות את יכולתו של הספק לשמור על תקני פרטיות נאותים.
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.29
- ISO 27002 5.30
- ISO 27002 5.35
- ISO 27002 5.36
- ISO 27002 8.14
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.12.2.2 - ניהול שינויים בשירותי ספקים
הפניות ISO 27002 בקרה 5.22
ראה ISO 27701 סעיף 6.12.2.1
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.12.1.1 | מדיניות אבטחת מידע ביחסי ספקים |
5.19 – אבטחת מידע ביחסי ספקים עבור ISO 27002 |
ללא חתימה |
| 6.12.1.2 | טיפול באבטחה במסגרת הסכמי ספקים |
5.20 – טיפול באבטחת מידע במסגרת הסכמי ספקים עבור ISO 27002 |
מאמרים (5), (28), (30), (32) |
| 6.12.1.3 | שרשרת אספקת טכנולוגיות מידע ותקשורת |
5.21 – ניהול אבטחת מידע בשרשרת אספקת ה-ICT עבור ISO 27002 |
ללא חתימה |
| 6.12.2.1 | ניטור וסקירה של שירותי ספקים |
5.22 - ניטור, סקירה וניהול שינויים של שירותי ספקים עבור ISO 27002 |
ללא חתימה |
| 6.12.2.2 | ניהול שינויים בשירותי ספקים |
5.22 - ניטור, סקירה וניהול שינויים של שירותי ספקים עבור ISO 27002 |
ללא חתימה |
כיצד ISMS.online עוזר
זה יכול להיות קשה לדעת מאיפה להתחיל עם ISO 27701, במיוחד אם מעולם לא נאלצת לעשות דבר כזה בעבר. זה המקום שבו ISMS.online נכנס לתמונה!
פתרונות ה-ISO 27701 שלנו מספקים מסגרות המאפשרות לארגון שלך להפגין תאימות ל-ISO 27701.
מומחי אבטחת המידע שלנו יכולים לעבוד איתך כדי להבטיח שאתה מפתח תהליך יישום לוגי המתאים למסגרת התיעוד המקוונת.
למידע נוסף על ידי הזמנת הדגמה מעשית.
