עבור לתוכן
ISMS.online

ISO 27701 – סעיף 6.9.6 – ניהול פגיעות טכנית

ISO 27701 סעיף 6.9.6 מכסה ניהול פגיעות טכנית, המדגיש את הצורך של ארגונים לשמור על מלאי מעודכן של נכסים (6.9.6.1) ולשלוט בהתקנות תוכנה כדי למנוע סיכונים לא מורשים (6.9.6.2). זה לא מציין שום השלכות ספציפיות על PIMS, PII או GDPR של בריטניה.

מְחַבֵּר
טובי קיין
עודכן בספטמבר 19, 2025
4/5 כוכבים

הבנת סעיף 6.9.6: ניהול פגיעות טכנית

נקודות תורפה טכניות שיש להן פוטנציאל להשפיע על PII ונכסים הקשורים לפרטיות כמעט בלתי אפשריים למגר לחלוטין, ללא קשר לתקציב, רמת כוח אדם או מומחיות.

ככזה, ISO דורש מארגונים לפעול עם קבוצה חזקה של בקרות ניהול פגיעות, שגם מזהות פגיעויות טכניות אפשריות וגם מספקות הנחיות ברורות לגבי פעולת התיקון הנדרשת כדי לצמצם כל נזק מסחרי, תפעולי או מוניטין.

מה מכוסה בסעיף 27701 של ISO 6.9.6

תקן ISO 27001 6.9.6 מכיל שני סעיפי משנה העוסקים בנושא של ניהול פגיעות, חלוקה בין ניהול טכני, וכיצד ארגונים צריכים לשקול התקנות תוכנה:

  • ISO 27701 6.9.6.1 - ניהול פרצות טכניות (ISO 27002 בקרה 8.8)
  • ISO 27701 6.9.6.2 - הגבלה על התקנת תוכנה (ISO 27002 Control 8.19)

אף סעיף משנה אינו מכיל הנחיות ספציפיות ל-PIMS או PII, ואין אף בריטניה GDPR השלכות שיש לקחת בחשבון.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.9.6.1 – ניהול נקודות תורפה טכניות

הפניות ISO 27002 בקרה 8.8

ארגונים צריכים לקבל רשימה עדכנית של כל הנכסים (ראה בקרות 5.9 ו-5.14) שבבעלות הארגון ומופעלים על ידי הארגון, כולל:

  • שם ספק.
  • שם אפליקציה.
  • מספרי גרסה.
  • היכן נפרסת התוכנה.
  • מי אחראי לתפעול התוכנה האמורה.

בעת זיהוי נקודות תורפה שיש להן פוטנציאל להשפיע על PII והגנה על הפרטיות, ארגונים צריכים:

  1. תאר את הצוות האחראי לניהול פגיעות, כולל:

    • ניהול נכסים.
    • הערכת סיכונים.
    • מעקב.
    • עִדכּוּן.

  2. שמור על מלאי עדכני של יישומים ומשאבים שישמשו לזיהוי נקודות תורפה טכניות.
  3. צור קשר עם ספקים וספקים ובקש מהם לציין בבירור נקודות תורפה בכל פעם שמערכות וחומרה חדשות מסופקות (ראה ISO 27002 בקרה 5.20).
  4. השתמש בכלי סריקת פגיעות ובמתקני תיקון.
  5. בצע בדיקות חדירה תקופתיות.
  6. נתח ספריות קוד ו/או קוד מקור של צד שלישי לאיתור נקודות תורפה ו/או ניצול בסיס (ראה ISO 27002 Control 8.28).

פעילות ציבורית

ארגונים צריכים לפתח מדיניות ונהלים (כולל עדכונים אוטומטיים) המזהים נקודות תורפה בכל המוצרים והשירותים שלהם, ולקבל הערכות פגיעות הקשורות לאספקת המוצרים והשירותים האמורים.

ISO מייעצת לארגונים לעשות מאמץ ציבורי לאתר נקודות תורפה כלשהן - כולל שימוש בתוכניות פרס מובנות - ולהשתמש בפורומים ובפעילות מחקר ציבורית כדי להעלות את המודעות לניצול פוטנציאלי ולבעיות אבטחה.

אם בעקבות אירוע אבטחה, ננקטו פעולות מתקנות שעלולות להשפיע בכל דרך שהיא על הלקוחות (או על תפיסתם את הנתונים המוחזקים), ארגונים צריכים לשקול התקשרות עם מומחי אבטחה מוסמכים כדי להפיץ מידע על וקטורי תקיפה.

הערכת פגיעויות

לאורך תהליך הערכת נקודות התורפה, ארגונים צריכים:

  • נתח כל דיווח והחליט איזו פעולה יש לנקוט, כולל כל עדכונים או הסרה של מערכות ו/או חומרה מושפעים.
  • הסכים על החלטה שלוקחת בחשבון בקרות ISO אחרות.

מניעת פגיעויות תוכנה

כאשר מטפלים בנקודות תורפה לאחר זיהוין, ארגונים צריכים:

  1. פתור את כל הפגיעות בזמן וביעילות.
  2. הקפדה על נהלים ארגוניים בנושא ניהול שינויים (ראה ISO 27002 בקרה 8.32) ותגובה לאירועים (ראה ISO 27002 בקרה 5.26), כדי להבטיח גישה אחידה.
  3. הגבל עדכונים ותיקונים לאלה שמגיעים ממקורות מהימנים.
  4. בדוק עדכונים לפני יישום.
  5. זיהוי מערכות בסיכון גבוה ומערכות קריטיות לעסק בראש סדר העדיפויות, בעת תכנון פעולות מתקנות.

אם עדכון אינו מגיע, ופעולות מתקנות נמנעות על ידי גורמים חיצוניים, ארגונים צריכים:

  • התייעץ עם ספקים לגבי דרכים לעקיפת הבעיה.
  • השבת כל או את כל שירותי הרשת המושפעים.
  • הטמעת בקרות אבטחת רשת, כולל כללי תעבורה וסינון תוכן.
  • הגדל את התדירות ואת משך מאמצי הניטור על מערכות מושפעות.
  • הפיצו מידע על הפגיעות, והבטיחו שכל הצדדים המושפעים מעודכנים - כולל ספקים ולקוחות.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.14
  • ISO 27002 5.20
  • ISO 27002 5.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.28

הדרכה משלימה

יש לשמור נתיב ביקורת של כל פעילויות ניהול הפגיעות הרלוונטיות, ותהליך ניהול הפגיעות של הארגון צריך להיות סקירות כדי לוודא שהוא מתאים למטרה, וגם עונה על הצרכים ההולכים וגדלים של הארגון.

בכל הנוגע לתוכנה מבוססת ענן, הארגון צריך לוודא שעמדתו של ספק השירות כלפי ניהול פגיעות תואמת לעמדתו שלו. ארגונים צריכים לבקש לקבל אישור בכתב על כל אחריות באמצעות הסכם שירות מחייב (ראה ISO 27002 בקרה 5.32).



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.9.6.2 - הגבלה על התקנת תוכנה

הפניות ISO 27002 בקרה 8.19

על מנת להגן על הזמינות והשלמות של PII, ולנהל שינויים, ארגונים צריכים:

  • ודא שעדכוני תוכנה מבוצעים על ידי צוות מיומן (ראה בקרת בקרה 8.5).
  • ודא שהקוד יצא בבטחה משלב הפיתוח, והוא נקי מכל באג.
  • בדוק את כל התוכנות לפני עדכון או התקנה, כדי לוודא שלא יגרמו התנגשויות או שגיאות.
  • שמור על מערכת ספריית תוכנה מעודכנת.
  • לשמור על 'מערכת בקרת תצורה' לניהול תוכנה תפעולית.
  • נסח 'אסטרטגיית החזרה לאחור' המשחזרת מערכות למצב שעבד בעבר, כדי להבטיח המשכיות עסקית.
  • שמור יומן יסודי של כל העדכונים שבוצעו.
  • ודא שיישומי תוכנה שאינם בשימוש - וכל החומר הנלווה להם - מאוחסנים בצורה מאובטחת לשימוש וניתוח נוסף.
  • לפעול עם מדיניות הגבלת תוכנה, הפועלת בהתאם לתפקידים ולאחריות השונים של הארגון.

בעת שימוש בתוכנה שסופקה על ידי הספק, יש לשמור על יישומים במצב תקין ובהתאם להנחיות המנפיקים.

ISO מבהיר במפורש שארגונים צריכים להימנע משימוש בתוכנות שאינן נתמכות אלא אם יש צורך בהחלט. ארגונים צריכים לשדרג מערכות קיימות, במקום להשתמש ביישומים לא מעודכנים או לא נתמכים מדור קודם.

ספק עשוי לדרוש גישה לרשת של ארגון על מנת לבצע התקנה או עדכון. יש לאשר ולנטר פעילויות כאלה בכל עת (ראה ISO 27002 בקרה 5.22).

הדרכה משלימה

  1. ארגונים צריכים לשדרג, לתקן ולהתקין תוכנה בהתאם לנוהלי ניהול השינויים שפורסמו.
  2. תיקונים המבטלים פרצות אבטחה או משפרים בדרך אחרת את הגנת הפרטיות הארגונית צריכים תמיד להיחשב כשינוי בראש סדר העדיפויות.
  3. ארגונים צריכים לנקוט בזהירות רבה בשימוש בתוכנת קוד פתוח, ועליהם לזהות את הגרסה העדכנית ביותר הזמינה לציבור כדי להבטיח שדרישות האבטחה מתקיימות במלואן.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.22
  • ISO 27002 8.5

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701 שם סעיף ISO 27701 דרישת ISO 27002 מאמרי GDPR משויכים
6.9.6.1 ניהול נקודות תורפה טכניות
8.8 – ניהול נקודות תורפה טכניות עבור ISO 27002
 		ללא חתימה
6.9.6.2 הגבלה על התקנת תוכנה
8.19 – התקנת תוכנה על מערכות תפעוליות עבור ISO 27002
 		ללא חתימה

כיצד ISMS.online עוזר

עם פלטפורמת ISMS.online, אתה יכול לשלב PIMS כדי להבטיח שתנוחת האבטחה שלך תהיה הכל במקום אחד וימנע כפילויות כאשר התקנים חופפים.

מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27001 ו-ISO 27701 עם PIMS שלך נגיש באופן מיידי לבעלי עניין.

גלה כמה זמן וכסף תחסוך במסע שלך להסמכה משולבת של ISO 27001 ו-27701 באמצעות ISMS.online.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

לינקדין

סעיפי ISO 27701

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה