עבור לתוכן
ISMS.online

A.5.20 טיפול באבטחת מידע במסגרת הסכמי ספקים – קווי בסיס של חוזי MSP

חוזי MSP מעצבים כעת הן את תוצאות הביקורת שלכם והן את אמון הלקוחות. תחת תקן ISO 27001:2022 A.5.20, הסכמי ספקים הופכים להוכחה חיה לכך שבקרות האבטחה שלכם חורגות מעבר למדיניות, ומגיעות לכל שותף. סעיפים ברורים וניתנים לביקורת הופכים הגנה מוצדקת לאחריות אמיתית - ועוזרים לכם לעבור ביקורות ולעורר אמון בכל שיחת לקוח.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

מדוע חוזי MSP הם נקודה חמה בתקן ISO 27001:2022

חוזי MSP הם נקודה חמה בתקן ISO 27001:2022 מכיוון שכיום מבקרים מתייחסים להסכמי ספקים כראיה עיקרית לאופן שבו הבקרות שלכם משתרעות על פני שרשרת האספקה. הם מצפים להתחייבויות בכתב, תפקידים ותהליכי אירועים המראים שמערכת ה-ISMS שלכם משתרעת על השירותים שאתם רוכשים ומספקים, ולא רק על דיאגרמות או מדיניות פנימיות. פרשנויות והנחיות יישום עבור ISO/IEC 27001:2022 מדגישות כי ארגונים חייבים להדגים כיצד בקרות חלות על ספקים רלוונטיים, וגופי הסמכה משתמשים בדרך כלל בחוזים כחלק ממערכת ראיות זו. עבור ספקי שירותים מנוהלים, חוזים מסחריים יומיומיים משמשים כיום גם כממצאי אבטחה שיכולים לחזק או להחליש את ההסמכה ואת אמון הלקוחות.

הסכמי MSP אינם עוד רק כלים מסחריים; הם חלק מתצורת האבטחה שלכם. תקן ISO 27001:2022 מצפה שחובות אבטחה, אחריות וטיפול באירועים ישתקפו בחוזים ובמסמכים קשורים, אשר בארגונים רבים יכללו הסכמי שירות ראשיים (MSAs), הצהרות עבודה (SoWs), הסכמי רמת שירות (SLAs), הסכמי עיבוד נתונים (DPAs) ולוחות זמנים של אבטחה, למרות שהתקן אינו קובע תוויות מסמכים ספציפיות. אם אלמנטים אלה חסרים או מעורפלים, מבקרים יתקשו לראות כיצד בקרות נספח A שלכם פועלות בעולם האמיתי.

המידע כאן הוא כללי ואינו מהווה ייעוץ משפטי; החלטות חוזיות דורשות ייעוץ של עורך דין מוסמך.

כיצד ISO 27001:2022 מכניס חוזי MSP לתחום

תקן ISO 27001:2022 מכניס את חוזי ניהול המידע (MSP) לתחום התקנות על ידי התייחסות לאבטחת ספקים כאל אחריות חוזית שיש להגדיר ולהסכים עליה בכתב. התקן מצפה שתציגו, בהסכמים שלכם, כיצד תחומי אחריות אבטחת מידע, כללי טיפול בנתונים ותהליכי אירועים מוקצים בין הלקוח, ספק ניהול המידע (MSP) וספקי מעלה. שינוי זה מפנה את תשומת הלב הישירה של הביקורת לחוזים עליהם מסתמך העסק שלכם.

בסקר מצב אבטחת המידע של ISMS.online לשנת 2025, כ-41% מהארגונים ציינו ניהול סיכוני צד שלישי ומעקב אחר תאימות ספקים כאתגר אבטחת מידע מרכזי.

ספקי שירותים מנוהלים נמצאים בלב שרשראות אספקה ​​ארוכות. אתם תלויים בפלטפורמות ענן, מרכזי נתונים, כלי אבטחה ו-SaaS מיוחדים, והלקוחות שלכם תלויים בכם. כאשר אירועים התפשטו דרך שרשראות אלו, חוקרים ראו שוב ושוב את אותה תבנית: תנאים מסחריים פורטו, אך תפקידי אבטחה, טיפול בנתונים, תגובה לאירועים ופיקוח היו מעורפלים או חסרים בחוזים. סקירות של מתקפות שרשרת אספקה ​​בהקשרים של ענן ומיקור חוץ מדגישות לעתים קרובות כי תשומת הלב החוזית התמקדה במחיר ובתכונות השירות בעוד שאחריות האבטחה נותרה מרומזת, מה שהגביל משמעותית את המינוף כאשר התרחשו כשלים. אם הציפיות מרומזות ולא כתובות, יש לכם מעט מינון כאשר משהו משתבש.

סקר מצב אבטחת המידע לשנת 2025 מצא כי רוב הארגונים הושפעו מלפחות אירוע אבטחה אחד הקשור לצד שלישי או לספק בשנה הקודמת.

רגולטורים ולקוחות הגיבו על ידי שאילת שאלות חדות הרבה יותר. כבר לא מספיק לומר "אנחנו תואמים לתקן ISO" או "הספקים שלנו פועלים לפי תקני התעשייה". קונים רוצים לדעת כיצד מחולקים תחומי אחריות, באיזו מהירות תודיעו להם על בעיות, כיצד מעבדי משנה נשלטים ומה קורה לנתונים כאשר מערכת יחסים מסתיימת. הנחיות פיקוח במגזרים רבים מתייחסות כיום במפורש להסדרי מיקור חוץ בכתב ומצפות מחברות להוכיח כיצד הן מפקחות על צדדים שלישיים, כך שמבקרים דוגמים באופן שגרתי הסדרים אלה בעת הערכת יעילות הבקרה. בתחומים כמו חוסן תפעולי ומיקור חוץ של שירותים פיננסיים, למשל, כללי זהירות מפרטים את הצורך באחריות מתועדת, חובות הודעה והוראות יציאה בחוזי מיקור חוץ, וחשיבה זו משתקפת יותר ויותר בפרקטיקה רחבה יותר של סיכוני צד שלישי.

עבור ספקי שירותי ניהול מערכות (MSPs), משמעות הדבר היא שחוזים הם כעת חלק ממשטח התקיפה וחלק ממערך הראיות. אם דרישות אבטחה, רמות שירות, תהליכי אירועים וזכויות ביקורת לא מתועדות, מבקרים יטילו ספק האם בקרות נספח A באמת משתרעות על פני שרשרת האספקה. חשוב מכך, אתם עלולים לאבד את היכולת להתעקש על תיקון או שיתוף פעולה כאשר ספק במעלה הזרם נכשל או מתנגד לבדיקה.

פלטפורמה כמו ISMS.online יכולה לעזור על ידי קישור רישומי ספקים, הערכות סיכונים וראיות חוזיות במקום אחד, אך נקודת המוצא שלך היא תמונה ברורה של מה שנספח A.5.20 מצפה שההסכמים שלך יכילו.

חוזים ברורים הופכים ביטחון משוער לאחריות ניתנת לאכיפה.

למה זה חשוב לביקורות MSP ולאמון הלקוחות

חוזים ברורים ומודעים לאבטחה הופכים את ביקורות ה-MSP לחלקות יותר ומעניקים ללקוחות ביטחון רב יותר בשירותים שלכם. כאשר הסכמים מראים מי אחראי על בקרות מפתח, כיצד יטופלו אירועים וכיצד מוגנים הנתונים, ההסברים שלכם במהלך הערכות ושיחות מכירה הופכים מדויקים יותר ופחות הגנתיים.

על פי סקר ISMS.online לשנת 2025, לקוחות מצפים יותר ויותר מהספקים שלהם להתאים את עצמם למסגרות פורמליות כגון ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 ותקני בינה מלאכותית מתפתחים.

התייחסות לחוזים כאל פריטים ביטחוניים משנה את האופן שבו הביקורות שלכם מרגישות ואת האופן שבו לקוחות שופטים אתכם. מבקרים יכולים לייחס סיכונים להתחייבויות; לקוחות רואים שאבטחה היא חלק מהאופן שבו אתם עושים עסקים, לא מחשבה שנייה. כאשר אלמנטים אלה חסרים, שתי הקבוצות נאלצות לנחש למה התכוונתם, וחוסר הוודאות הזה שוחק את האמון.

עבור ספקי שירותי ניהול שירותים (MSPs), ההשפעה המעשית פשוטה: בכל פעם שאתם מנהלים משא ומתן או מחדשים הסכם, אתם מחזקים או מחלישים את עמדת האבטחה שלכם. אם אתם מתקנים סעיפים חזקים ומיישמים אותם באופן עקבי, אתם בונים בסיס בר הגנה שעומד בביקורות הסמכה, בקשות להצעות מחיר (RFP) ובסקירות רגולטורים. אם אתם מסתמכים על ניסוח אד-הוק, אתם יוצרים שונות שהופכת לגלויה בדיוק ברגעים שבהם אתם הכי רוצים יכולת חיזוי ושליטה.

הזמן הדגמה


מה דורש בפועל תקן ISO 27001:2022 A.5.20

תקן ISO 27001:2022 A.5.20 דורש ממך לזהות דרישות אבטחת מידע עבור כל מערכת יחסים עם ספק ולשלב אותן בהסכמים הניתנים לאכיפה. בכל מקום בו ספק יכול להשפיע על הסודיות, השלמות או הזמינות של המידע או השירותים שלך, עליך להגדיר מה אתה מצפה ממנו בחוזים או במסמכים מקבילים ששני הצדדים מבינים ויכולים לפעול לפיהם. זה תואם את ניסוח נספח A.5.20 בתקן ISO/IEC 27001:2022, הקורא לזהות דרישות אבטחת מידע עבור יחסים עם ספקים וליישם אותן בהסכמים, כך שציפיות כתובות אלו יהוו חלק מראיות הביקורת שלך.

בפועל, נספח A.5.20 מעביר את דרישות האבטחה ממסמכים פנימיים בלבד אל ההסכמים המסדירים את אופן אספקת השירותים. עבור ספקי שירותי ניהול שירותים (MSPs), משמעות הדבר היא שחוזי לקוחות וחוזי ספקים במעלה הזרם צריכים להראות כיצד משותפים תחומי אחריות לאבטחה, כיצד מטפלים בנתונים וכיצד מנהלים אירועים. מבקרים יחפשו את הקשר הניתן למעקב בין סיכוני הספק, בקרות פנימיות וניסוח החוזה.

הבחנה בין A.5.20 לבין בקרות ספק אחרות

A.5.20 שונה מבקרות ספקים שכנים משום שהוא מתמקד במה שכתוב בחוזים ולא באופן שבו ספקים נבחרים או מנוטרים. הבנת הבחנה זו עוזרת לך לתכנן את הראיות הנכונות עבור כל בקרה ולהימנע מלהתייחס לכל דבר כדרישה אחת ומטושטשת.

A.5.19, "אבטחת מידע ביחסי ספקים", מתמקד במחזור החיים הכולל: בחירת ספקים, הערכת סיכונים, ניטור ביצועים וניהול שינויים. A.5.21, "ניהול אבטחת מידע בשרשרת האספקה ​​של טכנולוגיות מידע ותקשורת", מדגיש שרשראות מורכבות, ספקי משנה וסיכון פרטיות או מידע אישי, במיוחד כאשר ספקים מרובים משתלבים יחד כדי לספק שירות. סקירות של ISO/IEC 27001:2022 והנחיות קשורות מציגות באופן עקבי את A.5.19 כבקרת ניהול מחזור החיים ואת A.5.21 כבקרת שרשרת האספקה ​​הספציפית של טכנולוגיות מידע ותקשורת, התומכת בשימוש בהן לצד A.5.20 במקום להתייחס אליהן ככפילויות. יחד, הן מתארות כיצד אתם מנהלים את הסיכון של צד שלישי לאורך זמן.

נספח A.5.20, "טיפול באבטחת מידע במסגרת הסכמי ספקים", מתמקד בתוכן: מה שמופיע בחוזים, בלוחות זמנים ובתנאים. מבקרים רואים לעתים קרובות עבודה מוצקה בנושא A.5.19 (רישומי ספקים, הערכת סיכונים, שאלוני בדיקת נאותות) אך ביצוע חלש בנושא A.5.20, שבו החוזים עדיין אומרים מעט יותר מ"הספק יעמוד בחוקים ובסטנדרטים הרלוונטיים בתעשייה". שפה מסוג זה כמעט ולא מראה שסיכונים ספציפיים תורגמו להתחייבויות שניתן לאכוף ולבחון.

התחייבויות ליבה A.5.20 מציבה בהסכמי MSP

סעיף A.5.20 מציב מספר התחייבויות מרכזיות בהסכמי MSP, שבמרכזן תיעוד תחומי אחריות ברורים וציפיות אבטחה מינימליות. עבור כל ספק המשפיע על מערכת ה-ISMS שלכם, עליכם להיות מסוגלים להראות היכן תפקידים, כללי טיפול בנתונים, תהליכי אירועים, חובות רגולטוריות ומנגנוני פיקוח מוגדרים ומקובלים על ידי שני הצדדים.

במונחים קונקרטיים, A.5.20 מצפה ממך:

  • הגדירו תפקידים ואחריות רלוונטיים לאבטחה בינכם לבין כל ספק בשפה פשוטה.
  • ציין כיצד ניתן לגשת למידע, לעבד אותו, לאחסן אותו, להעביר אותו ולמחוק אותו.
  • רישום דרישות דיווח על אירועים ושיתוף פעולה, כולל תזמון וערוצי תקשורת.
  • לשקף התחייבויות רגולטוריות רלוונטיות, במיוחד סביב כללי מידע אישי וכללי מיקור חוץ.
  • לספק מנגנוני ניטור, סקירה, ובמידת הצורך, ביקורת או מנגנוני אבטחה עצמאיים.

עבור ספקי שירותי ניהול שירותים (MSPs), יש לפרש את המונח "ספק" באופן רחב. פלטפורמות ענן, ספקי קישוריות, כלי כרטוס, תוכנות ניטור מרחוק, שותפי SOC, מהנדסי קבלני משנה וכמה יועצים אסטרטגיים עשויים להיכלל במסגרת התקן אם הם עלולים להשפיע על שירותי לקוחות או לטפל במידע רגיש. התקן אינו מניח שרק ספקי מיקור חוץ גדולים וברורים חשובים.

המפתח הוא עקיבות. עבור כל סיכון ספק חשוב שאתם רושמים במערכת ה-ISMS שלכם, מבקר ירצה לדעת היכן הוא מטופל: בבקרות טכניות, בתהליכים תפעוליים ובסעיפי חוזה. סעיף A.5.20 הוא המקום שבו הציפיות הפנימיות שלכם הופכות למחויבויות חיצוניות שלקוחות, רגולטורים ומבקרים יכולים לראות.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


תרגום A.5.20 לנושאי חוזים קונקרטיים של MSP

תרגום A.5.20 לנושאי חוזים קונקרטיים של MSP פירושו הפיכת ציפיות אבטחה רחבות לרשימה קצרה וחוזרת על עצמה של סעיפים. אם כל הסכם ספק משמעותי מכסה תחומים אלה ברמת פירוט מתאימה, תעמוד ברוב כוונת הבקרה ותקל על ניהול ביקורות וחידושים.

עבור ספקי שירותי ניהול שירותים (MSPs), היתרון של גישה מבוססת נושא הוא עקביות. לאחר שתחליטו אילו נושאים חייבים להופיע כמעט בכל חוזה, הצוותים המשפטיים, האבטחוניים והמסחריים שלכם יכולים לעבוד לפי רשימת תיוג משותפת במקום לאלתר ניסוחים כל מקרה לגופו. זה מקל על השוואת הסכמים, איתור פערים והסבר הגישה שלכם למבקרים וללקוחות.

נושאים בסיסיים שכל חוזה ספק MSP צריך לכסות

נושאי חוזים בסיסיים הם הנושאים החוזרים ונשנים שאתם רוצים לראות כמעט בכל הסכם ספק שנוגע למערכת ה-ISMS שלכם. הם מספקים לצוותים שלכם רשימת בדיקה פרגמטית ועוזרים לכם להראות למבקרים שסיכונים ספציפיים טופלו בשפה עקבית ומובנת ולא בסעיפים מפוזרים וחד-פעמיים.

בסיס מעשי כולל בדרך כלל לפחות את הדברים הבאים:

  • היקף ושימוש במידע: – נתונים ומערכות מורשים, שימושים מותרים, שימושים אסורים.
  • ציפיות לבקרת גישה: – שיטות אימות, גישה עם הרשאות מוגבלות, גישה מרחוק וכללי מחזור חיי חשבון.
  • רישום וניטור: – יומני רישום נדרשים, תקופות שמירה וזמינות רשומות במהלך חקירות.
  • ניהול ותיקון פגיעויות: – בעלות על גילוי, הערכה ותיקון, עם לוחות זמנים לבעיות בסיכון גבוה.
  • זיהוי ודיווח על אירועים: – מה נחשב כאירוע אבטחה, כמה מהר אתם מקבלים הודעה וכיצד אתם משתפים פעולה.
  • המשכיות עסקית והתאוששות מאסון: – זמינות מינימלית, יעדי התאוששות והשתתפות בבדיקות במידת הצורך.
  • קבלני משנה ומעבדי משנה: – מתי ניתן להשתמש בהם, כיצד מקבלים הודעה או מאשרים אתכם, וכיצד החובות עוברות מכך.
  • הגנה על נתונים ופרטיות: – תנאים לעיבוד נתונים אישיים, מיקומים, מנגנוני העברה, סודיות ותמיכה בזכויות הנבדקים.
  • שמירת נתונים, החזרה ומחיקה: – תקופות שמירה, פורמטי החזרה בעת היציאה, וכיצד מוכחת מחיקה מאובטחת.
  • הבטחה ופיקוח: – דוחות, אישורים, שאלונים או ביקורות מוסכמות שתוכלו לסמוך עליהם, ומתי הם מסופקים.

לא כל הנושאים הללו דורשים סעיפים ארוכים, אך הם צריכים להיות ניתנים לזיהוי בתפקידים הסטנדרטיים שלכם ובחוזים בעלי סיכון גבוה. לאחר סקירת מדגם של הסכמים, עליכם להיות מסוגלים לענות בביטחון: "היכן אנו מכסים כל אחת מהנקודות הללו, וכיצד זה משתנה לפי רמת הספק?"

עבור ספקי שירותי ניהול נתונים (MSPs) המטפלים במידע אישי מטעם לקוחות, תנאי הפרטיות חייבים להיות תואמים לסעיפים אלה של אבטחה. הוראות עיבוד, התחייבויות סודיות, כללים לגבי מעבדי משנה וזכויות ביקורת צריכים לתמוך, ולא להתנגש, בדרישות האבטחה הרחבות יותר שלכם. זה מונע מצב שבו הסכם עיבוד הנתונים אומר דבר אחד, לוח הזמנים של האבטחה אומר דבר אחר, ואף אחד מהם לא תואם את הבקרות המתוארות ב-ISMS שלכם.

קישור נושאי חוזים לשאלות פנימיות בנושא ISMS

קישור נושאי חוזים לשאלות פנימיות במערכת ISMS פירושו לוודא שכל משפחת סעיפים עונה על שאלת סיכון ברורה שאתם כבר עוקבים אחריה. כאשר רישומי הסיכונים, הבקרות והחוזים שלכם משתמשים באותו מודל מנטלי, קל הרבה יותר להסביר למבקרים כיצד אתם מנהלים ספקים מקצה לקצה.

טבלה קצרה יכולה לעזור לך להתאים את הנושאים הללו לשאלות שאתה שואל באופן פנימי:

נושא החוזה שאלה מרכזית שיש לענות עליה מיקום מסמך טיפוסי
בקרת גישה מי יכול לגשת למה, וכיצד גישה ניתנת או מוסרת? לוח זמנים לאבטחה / הצהרת עבודה
הודעה על אירוע מתי ואיך תשמעו על אירועים? לוח זמנים לאבטחה / הסכם רמת שירות
מעבדי משנה מי עוד מעורב ומי מאשר אותם? הסכם עיבוד נתונים / סעיף קבלנות משנה
החזרת נתונים ומחיקה מה קורה לנתונים כאשר הקשר מסתיים? הוראות יציאה או סיום
ביקורת ואבטחה כיצד ניתן לוודא שהאבטחה פועלת כפי שסוכם? סעיף זכויות ביקורת או אבטחה

ברגע שהקישורים הללו ברורים, תוכלו לתעד, עבור כל ספק חשוב, היכן מטופלים סיכונים ספציפיים. זה נותן למבקרים ביטחון שאתם לא מסתמכים על ניסוחים כלליים ומעניק ללקוחות סיפור עקבי כשהם שואלים כיצד אתם מנהלים את סיכוני מיקור החוץ.



תכנון בסיס חוזה MSP לשימוש חוזר

תכנון בסיס חוזה MSP רב פעמי פירושו יצירת מבנה סטנדרטי ומערכת סעיפים שעובדים על פני עסקאות רבות עם וריאציות מבוססות סיכון. במקום להמציא ניסוח מחדש בכל פעם, אתם שומרים על בסיס מבוקר אחד ומתאימים את העומק והעוצמה בהתאם להשפעת הספק על השירותים והלקוחות שלכם.

קו בסיס רב פעמי הופך רשימה ארוכה של נושאים למבנה חוזים מעשי שתוכלו לפרוס בכל תיק ההשקעות שלכם. המטרה היא להפסיק לנסח מחדש בכל עסקה ולשמור על קבוצה אחת של עמדות שתוכלו להדק או להקל עליהן באופן מבוסס סיכון, תוך שמירה על עקביות כוללת.

בניית מבנה חוזים מודולרי עבור ספקי שירותי ניהול רשת (MSPs)

מבנה חוזה מודולרי מאפשר לך לשמור על בסיס קוהרנטי אחד תוך מתן בעלות ברורה לצוותים משפטיים, מסחריים וטכניים על החלקים שלהם. על ידי הפרדת תיאורי שירות, תקנון משפטי ותוכן אבטחה, אתה מקל על עדכונים ומפחית את הסיכון ששינוי בתחום אחד יחליש בטעות תחום אחר.

רוב ספקי שירותי ניהול שירותים (MSP) מוצאים שמבנה מודולרי עובד בצורה הטובה ביותר משום שהוא מאפשר לעדכן חלקים בודדים מבלי לכתוב הכל מחדש. הפרדה ברורה בין סטנדרטים משפטיים, תיאורי שירות וציפיות אבטחה גם עוזרת לצוותים שונים להחזיק בשליטה על החלקים שלהם.

רכיבים אופייניים כוללים:

  • A הסכם שירות ראשי (MSA) המכילים מונחים משפטיים מרכזיים ואחריות ברמה גבוהה.
  • אחד או יותר הצהרות עבודה (SoWs) תיאור שירותים, נכסים ומיקומים ספציפיים.
  • A נספח רמת השירות הגדרת יעדי זמינות, תגובה ופתרון, דיווח וזיכויי שירות.
  • A לוח זמנים לאבטחה ריכוז חובות אבטחת המידע והפרטיות הנדרשות על ידי A.5.19-A.5.21.
  • כאשר מעובדים נתונים אישיים, א הסכם עיבוד נתונים (DPA) בהתאם ללוח הזמנים של האבטחה.

בתוך מבנה זה, לוח הזמנים של האבטחה הופך לכלי העיקרי עבור A.5.20. הוא אינו צריך להיות ארוך, אך עליו לכסות באופן שיטתי את הנושאים המרכזיים מהסעיף הקודם. שימוש בפסקאות או בטבלאות קצרות וממוספרות, במקום הפניות מפוזרות, מקל על שני הצדדים להבין ולתחזק את התוכן לאורך זמן.

הפיכת קו הבסיס שלך לספריית פסוקים חיה

הפיכת הבסיס שלכם לספריית סעיפים חיה פירושה לכידת ניסוחים לשימוש חוזר, קישורם לבקרות והקלה על הצוותים ליישם את הגרסה הנכונה. המטרה שלכם היא להימנע מביטויים חד-פעמיים הקבורים בחוזים ישנים ובמקום זאת לשמור על סט סעיפים מאורגן שמתפתח בהתאם לתיאבון הסיכון ולהקשר הרגולטורי שלכם.

כדי לעבור מתיאוריה לשימוש יומיומי, אתם זקוקים לניסוח שאינו קשור לטכנולוגיה, שניתן לייחס לבקרות וקלה להתאמה לרמות סיכון שונות. בדרך זו תוכלו ליישם את אותן עמדות ליבה על פני אירוח, SOC, SaaS ושירותים מקצועיים, ועדיין לשקף את פרופילי הסיכון השונים שלהם.

כדי לבנות בסיס, ניתן:

שלב 1 – התחילו ממערכת ה-ISMS שלכם

התחילו בזיהוי הבקרות והמדיניות שספקים חייבים לכבד, כגון סטנדרטים של סיסמאות, ציפיות הצפנה, רישום ומסגרות זמן לתגובה לאירועים, כך שתדעו אילו דרישות חייבות להופיע בחוזים.

שלב 2 – קיבוץ דרישות לנושאי חוזה

קבצו כל ציפייה לסעיפים כמו בקרת גישה, ניהול אירועים, המשכיות או טיפול בנתונים, כך שתצמצמו כפילויות ותוכלו לראות במהירות היכן קיימים פערים בטיוטות הסכמים.

שלב 3 – ניסוח ניטרלי לטיוטה, מבוסס תוצאות

כתבו סעיפים המתארים תחומי אחריות ותוצאות, לא כלים או תצורות ספציפיים, כך שהניסוח שלכם ישרוד את השינויים הטכנולוגיים ויישארו רלוונטיים בין סוגים שונים של ספקים.

שלב 4 – תיוג סעיפים לבקרות ISO באופן פנימי

בתיעוד הפנימי שלכם, רשמו אילו תקן ISO 27001 ובקרות קשורות תומכים בכל סעיף כדי לפשט את הסברי הביקורת, לתמוך בבדיקות בקרה ולהדגיש כל חפיפה או סתירה.

שלב 5 – הגדרת וריאנטים סטנדרטיים ומשופרים

צור סעיף ברירת מחדל בתוספת גרסאות מחמירות יותר עבור מצבים בעלי סיכון גבוה יותר, כגון לוחות זמנים קצרים יותר לאירועים או זכויות ביקורת חזקות יותר עבור שירותים קריטיים, כך שהנוהגים ונותנים ידעו מאיזה עמדות להתחיל ומתי להסלים את העניינים.

הטמעת קו הבסיס היא תוכנית שינוי בפני עצמה. גישה נפוצה היא ליישם את קו הבסיס על כל עסקאות חדשות עם לקוחות וספקים, להשתמש בחידושים ובשינויים משמעותיים כדי לשדרג חוזים קיימים בסיכון גבוה, ולתחזק רישום של חריגים שבהם מקבלים תנאים חלשים יותר עם נימוקים מתועדים ובקרות מפצות.

ISMS.online יכול לתמוך בכך על ידי אחסון ספריית הסעיפים שלך, קישור כל סעיף לבקרות וספקים, ורישום הגרסה של הבסיס שכל חוזה משתמש בה. זה מפחית את תקרת הניהול ומקל על מענה לשאלות כגון "אילו ספקי אירוח עדיין משתמשים בתקן הקודם של הודעות על הפרות?"



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


איחוד A.5.19, A.5.20 ו-A.5.21 לסעיפים "תמיד פעיל"

איחוד סעיפי A.5.19, A.5.20 ו-A.5.21 לסעיפי "פעילים תמיד" פירושו תכנון קבוצה קטנה של משפחות סעיפים המכסות יחד את ניהול מחזור חיי הספק, תוכן החוזה וסיכוני שרשרת האספקה ​​של טכנולוגיות מידע ותקשורת (ICT). במקום להתייחס לשלוש בקרות כפרויקטים נפרדים, משתמשים בניסוחים חוזרים המתאימים להן יחד בכל מקום בו פרופיל הסיכון דורש זאת.

אם מתייחסים ל-A.5.19, A.5.20 ו-A.5.21 כאל שלוש רשימות בדיקה בלתי תלויות זו בזו, ניהול ספקים הופך במהרה למורכב וקשה להסבר. תקני סיכון זהירות ותפעולי במגזרים כמו שירותים פיננסיים עברו לכיוון מיקור חוץ משולב ומסגרות צד שלישי במקום רשימות דרישות מקוטעות, ואותו היגיון חל גם כשמתכננים בקרות עבור סעיפי ספקים בתקן ISO 27001. תכנון משפחות סעיפים שעוקבות אחר ספקים משלב הקליטה ועד ליציאה נותן לכם נרטיב אחד: כיצד בוחרים ספקים, כיצד מתקשרים איתם בחוזים וכיצד מפקחים על אבטחתם לאורך כל מערכת היחסים.

רוב הארגונים בסקר מצב אבטחת המידע לשנת 2025 דיווחו כי כבר חיזקו את ניהול הסיכונים של צד שלישי ותכננו להשקיע בו עוד.

משפחות סעיפים העומדות יחד בתנאים A.5.19, A.5.20 ו-A.5.21

משפחות סעיפים הן קבוצות של התחייבויות קשורות, החלות על פני בחירת ספקים, התקשרות ופיקוח מתמשך. על ידי הגדרה חד פעמית של התחייבויות אלה ויישומן לאורך מחזור החיים, אתם הופכים את הגישה שלכם לקלה יותר להסבר, לקלה יותר למשא ומתן ועמידה יותר כאשר צוות או ספקים משתנים.

משפחות שימושיות כוללות:

  • קליטה ובדיקת נאותות: – גילוי מידע ביטחוני מרכזי במהלך הבחירה, קבלת הבסיס שלכם ואישור של אישורים או דוחות רלוונטיים.
  • סקירת ביצועים ואבטחה: – פגישות סדירות, מדדים, דיווח על אירועים ופגיעויות, והזכות לבקש תוכניות תיקון.
  • שינוי הנהלה: – הודעה על שינויים מהותיים בתשתית, במעבדי משנה, במיקומים או בבקרות אבטחה לפני שהם מתרחשים, בנוסף לזכות להתנגד או להעריך מחדש את הסיכון.
  • ניהול ספקי משנה: – שקיפות בשרשרת הספק עצמו, אישור מראש למעבדי משנה חדשים וצמצום התחייבויות מינימליות.
  • יציאה ומעבר: – סעיפי סיום מודעים לאבטחה המבטיחים מסירה מבוקרת, החזרה או השמדה של נתונים וביטול גישה.

משפחות אלו מאפשרות לך ליישם את ניהול מחזור החיים של A.5.19 (בחירה, ניטור, שינוי, סיום), את תוכן החוזה של A.5.20 ואת המיקוד של A.5.21 בשרשראות אספקה ​​מורכבות בתחום ה-ICT, מבלי לכתוב שלוש קבוצות שונות של סעיפים. אתה מתאר את מחזור החיים פעם אחת, ולאחר מכן מתאים את עוצמת הספק לפי רמת הספק במקום להמציא מחדש את המבנה בכל פעם.

חלוקה לרמות מבוססות סיכון עבור חוזי ספקים

חלוקה לרמות מבוססות סיכון עבור חוזי ספקים פירושה יישום משפחות סעיפים בעוצמות שונות בהתאם לכמות הנזק שעלולה להיגרם על ידי כשל אצל אותו ספק. על ידי הגדרת רמות וציפיות תואמות מראש, אתם נמנעים מאלתור של כל מקרה לגופו ויכולים להסביר למבקרים מדוע חוזים מסוימים מחמירים יותר מאחרים.

חלוקה לרמות מבוססות סיכון משפרת את משפחות הסעיפים כך שספקים קריטיים נושאים בחובות חזקות יותר בעוד שספקים שגרתיים עדיין עומדים בסטנדרט הבסיסי המינימלי. זה עוזר לך להסביר למבקרים וללקוחות מדוע ציפיות האבטחה משתנות ומראה שהשונות היא מכוונת, לא אקראית.

לדוגמה, ייתכן שתגדיר:

  • שלב 1 - ספקים קריטיים: כגון שותפי אירוח ראשיים או SOC, עם זכויות ביקורת באתר, זמני דיווח קצרים יותר על אירועים, התחייבויות המשכיות מחמירות יותר ודיווח מפורט יותר.
  • רמה 2 – ספקים חשובים: כגון ספקי SaaS בתחום העסקים השונים, בהסתמך על דוחות אבטחת מידע עצמאיים בתוספת שאלונים ממוקדים וזמני הודעה סטנדרטיים.
  • דרגה 3 - ספקים סטנדרטיים: כגון כלים קלים, תוך שימוש בקו בסיס פשוט עם סעיפים בלתי ניתנים למשא ומתן בנוגע לסודיות, הודעה על אירועים וקבלני משנה.

בכל הרמות, ישנן ציפיות מסוימות שצריכות להיות "תמידיות": סודיות, היקף עיבוד מוגדר, שיתוף פעולה מינימלי באירועים וחובות לכבד את כללי הסיווג והטיפול במידע רגיש. חלוקת הרמות הופכת אז לעניין של חיזוק, לא של הסרה, של יסודות אלה.

על ידי עיצוב סעיפים בדרך זו, ניתן להראות למבקרים וללקוחות כי פיקוח הספקים הוא מובנה ולא אד-הוק, וכי הציפיות החוזיות מתחזקות עם הסיכון. זה גם מקל על ההחלטה היכן למקד את מאמצי התיקון כאשר מגלים חולשות בהסכמים קיימים.



פערים נפוצים בביקורת בחוזי MSP והשלכותיהם

פערים נפוצים בביקורת בחוזי MSP מופיעים כאשר נושאי אבטחה מרכזיים חסרים, מעורפלים או לא עקביים בהסכמים. מבקרים ולקוחות מבחינים במהירות בדפוסים כגון לוחות זמנים חלשים לאירועים, היעדר הוראות לקבלני משנה וזכויות ביקורת לא מספקות, ופערים אלה מתפתחים לעתים קרובות לממצאים, תוכניות תיקון או אובדן הזדמנויות.

כאשר גופי הסמכה ולקוחות בודקים חוזי MSP מול A.5.20, הם מוצאים שוב ושוב חולשות דומות. הנחיות רגולטוריות בנוגע להסדרי ענן ומיקור חוץ מתעדות גם בעיות חוזרות כגון תנאי אבטחה מעורפלים, אטימות של קבלני משנה וזכויות ביקורת חלשות, דבר המשקף את מה שמדווחים על ידי מבקרים רבים כאשר הם דוגמים חוזי MSP. זיהוי מוקדם של דפוסים אלה מקל על הטיפול בהם לפני שהם הופכים לאי-התאמות, שאלות רגולטוריות או סכסוכים חוזיים.

דפוסים שמסומנים על ידי מבקרים ולקוחות בהסכמי MSP

דפוסים שמבקרים ולקוחות מציינים בהסכמי MSP נוטים להתקבץ סביב ניסוח מעורפל בכמה תחומים חוזרים. כאשר חוזים שנדגמו מציגים את אותה שפה רכה לגבי אירועים, קבלני משנה, זכויות ביקורת וחובות רגולטוריות, הבודקים ממהרים לתהות האם קו הבסיס של הספק שלכם חזק מספיק עבור הסיכונים שאתם עומדים בפניהם.

רואי חשבון מתחילים בדרך כלל בדגימה של מספר קטן של חוזים כדי לראות כיצד קו הבסיס שלכם מיושם בפועל. אם דגימות אלו מראות התחייבויות מעורפלות ונושאים חסרים, הם יכולים להעלות במהירות חששות לגבי פיקוח הספקים שלכם באופן כללי יותר. תקני הערכת תאימות וביקורת פנימית בדרך כלל מבחינים בין ממצאים קלים לממצאים גדולים על סמך חומרתם והיקף הכיסוי, כך שניתן לדרג סעיפים חלשים בצורה שונה בהתאם לתפוצתם ולמידת הנזק שהם עלולים לגרום.

פערים אופייניים כוללים:

  • הבטחות ביטחון מעורפלות: כאשר ביטויים כגון "אבטחה סטנדרטית בתעשייה" חסרים פרטים על בקרת גישה, רישום או תגובה לאירועים.
  • לוחות זמנים לא מוגדרים של אירועים: כאשר ספקים מבטיחים לדווח "ללא דיחוי בלתי סביר" אך לא נקבע מסגרת זמן להודעה ראשונית או עדכונים.
  • אין אזכור של קבלני משנה: כך שלא ניתן לראות אם הספק עשוי להשתמש במעבדי משנה או כיצד החובות מוטלות מטה.
  • זכויות ביקורת חסרות או חלשות: מה שלא משאיר אותך ללא דרך אמינה לוודא שהבקרות פועלות כצפוי.
  • חובות רגולטוריות לא מתואמות: כאשר חוזים משמיטים דרישות מיקור חוץ או הגנת מידע ספציפיות למגזר החלות עליך.

כאשר מבקרים מזהים דפוסים אלה, הם עשויים לסווג אותם כחריגים קלים או גדולים בהתאם לחומרתם ולכיסוי. לקוחות, במיוחד במגזרים מוסדרים, עשויים להתייחס לפערים דומים כעילה לדרישה לתוכניות תיקון, תנאים מחמירים יותר או, במקרים מסוימים, החלפת ספק.

כיצד סעיפים חלשים הופכים לממצאים, סכסוכים ואובדן אמון

סעיפים חלשים הופכים לממצאים, סכסוכים ואובדן אמון כאשר אירועים או חילוקי דעות חושפים את הפערים בציפיות החוזיות שלכם. ללא אחריות ברורה, לוחות זמנים ודרכי הסלמה, אתם מסתכנים בתגובות איטיות, התחייבויות שנויות במחלוקת ונרטיב שפוגע באמון עם הלקוחות והרגולטורים.

השוואה פשוטה ממחישה מדוע פרטים חשובים:

אזור דוגמה לסעיף חלש דוגמה לסעיף חזק
הודעה על אירוע "להודיע ​​ללא דיחוי בלתי סביר." "הודעה תוך ארבע שעות ממועד הגילוי, ולאחר מכן עדכונים יומיים."
מעבדי משנה אין אזכור. "לזהות, לבקש אישור ולחייב את כל מעבדי המשנה."
ביקורת ואבטחה "לספק דוחות כנדרש, במידת האפשר." "לספק דוחות שנתיים ולשתף פעולה עם ביקורות."

הודעות מאוחרות או לא שלמות פירושן שאתם עלולים לגלות אירוע דרך העיתונות או הלקוחות שלכם במקום דרך הספק שלכם, מה שמפחית את יכולתכם להגיב ולתקשר בצורה אמינה. הנחיות לסיכוני צד שלישי במגזרים מוסדרים תיעדו מקרים בהם חובות הודעה חלשות גרמו לארגונים ללמוד על בעיות ממקורות חיצוניים ולא מספקיהם, וזה בדיוק התרחיש שאתם רוצים להימנע ממנו. אחריות מעורפלת מובילה להצבעה אשמה בזמן הגרוע ביותר. היעדר זכויות ביקורת מקשה על דחיפה לתיקון או לאמת תיקונים, במיוחד אם רגולטורים או לקוחות צופים.

הצד החיובי הוא שממצאים בתחום זה בדרך כלל ניתנים לתיקון. הפיכתם לתוכנית שיפור מובנית - עדכון תבניות בסיס, הכשרת משא ומתן מחדש ומיקוד תיקון בחוזים בעלי הסיכון הגבוה ביותר תחילה - נותנת לכם תמונה ברורה של ההתקדמות בביקורת או בסקירת הלקוח הבאה. ISMS.online יכול לעזור לכם לתעדף את התוכנית על ידי הצגת סעיפים ישנים יותר או עמדות חלשות יותר, וכיצד הם מתואמים לרמות הסיכון של הספקים.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ניהול: שמירה על יישור קו בסיסי וניתן לביקורת

ממשל תאגידי (ממשל ממשלתי) שומר על קו הבסיס של A.5.20 שלכם מיושר וניתן לביקורת על ידי הגדרת בעלות, מחזורי סקירה וראיות לסעיפי אבטחת ספקים. ללא ממשל תאגידי ברור, אפילו ספריית סעיפים מעוצבת היטב עלולה להיסחף עם הזמן, וליצור פערים שקטים בין תיאבון הסיכון המוצהר שלכם, החוזים שלכם והמציאות התפעולית שלכם.

בדוח מצב אבטחת המידע לשנת 2025, כשני שלישים מהארגונים אמרו כי המהירות והיקף השינויים הרגולטוריים מקשים על קיום תאימות.

בסיס חוזה מספק ערך רק אם הוא מתוחזק ומיושם באופן עקבי. ממשל גופי הוא השכבה המחברת את ספריית הסעיפים שלך להחלטות יומיומיות, יחסי ספקים וראיות ביקורת, ולעתים קרובות הוא ההבדל בין ניקוי חד פעמי לבין יישום בר-קיימא של תקן A.5.20.

הקצאת בעלות על חוזי אבטחת ספקים

הקצאת בעלות על חוזי אבטחה לספקים פירושה להיות מפורש לגבי מי מגדיר ציפיות, מי מנהל משא ומתן על ניסוחים, מי מנטר ביצועים ומי בודק התאמה. כאשר תחומי אחריות אלה ברורים, הרבה פחות סביר שסעיפים חשובים ידוללו או יעקפו בהסדרי צד.

מודל פשוט מתחיל לרוב ב:

  • אבטחת מידע: הגדרת ציפיות שליטה, תיאבון לסיכון ועמדות שאינן ניתנות למשא ומתן.
  • צוותים משפטיים וחוזים: תרגום אלה לניסוחים ברי אכיפה וניהול משא ומתן.
  • מנהלי שירות וספקים: ניטור ביצועים, פיקוח על התחייבויות ואיסוף ראיות.
  • ביקורת פנימית או תפקיד מקביל: בדיקה מעת לעת האם חוזים ונהלים תואמים.

קישור סקירות של הבסיס לתהליכי ISMS שלכם שומר על עדכניותו. כאשר הערכות סיכונים מדגישות איומים חדשים, כאשר מתרחשים אירועים משמעותיים או כאשר תקנות משתנות, יש להזין טריגרים אלה לסקירות תבניות מתוזמנות. סקירות הנהלה יכולות לאחר מכן לשקול האם סעיפי החוזה עדיין תואמים את מצב הסיכון של הארגון והאם יש צורך בשינויים נוספים.

כלים וסקירות ששומרים על ראיות A.5.20 עדכניות

כלים וסקירות שומרים על ראיות A.5.20 עדכניות על ידי מתן נראות לגבי אילו חוזים משתמשים באילו סעיפים והיכן קיימות סטיות. בעזרת תצוגה זו, תוכלו לתעדף עדכונים, לתמוך במשא ומתן ולתת למבקרים הסבר ברור כיצד נשמרות ציפיות הספקים לאורך זמן.

ניהול קל יותר כאשר ניתן לראות, במבט חטוף, אילו חוזים משתמשים באילו סעיפים והיכן נמצאים חריגים. נראות זו תומכת הן בקבלת החלטות תפעוליות והן בהכנה לביקורת, במיוחד בסביבות MSP עם לקוחות וספקים רבים. שיטות עבודה מתחומים של בקרת גרסאות וניהול שינויים מראות שמעקב אחר אילו גרסאות מסמכים חלות באילו הקשרים הוא חלק מרכזי בהוכחת בקרה, ואותו עיקרון חל על קווי בסיס וסטיות של חוזים.

ערכת כלים מעשית לניהול כוללת לעתים קרובות:

  • A רישום חוזים וספקים המציג את גרסת הבסיס שבה משתמשת כל קשר, רמת הסיכון, תאריכים מרכזיים וכל סטייה שאושרה.
  • A תהליך סטייה תיעוד מי יכול לאשר חריגים לקו הבסיס, על אילו נימוקים ועם אילו בקרות פיצוי.
  • הדרכה והכוונה: עבור צוותי מכירות, רכש ומשפט כדי שיבינו אילו תפקידי ביטחון אינם ניתנים למשא ומתן וכיצד להסביר אותם.
  • בדיקה לדוגמה: על ידי ביקורת פנימית, השוואת מבחר חוזים מול דרישות הבסיס ודרישות A.5.20, ובדיקה האם המציאות התפעולית תואמת את ההסכמים.

שימוש במערכת במקום בגיליונות אלקטרוניים הופך את התהליך להרבה יותר חלק. פלטפורמת ISMS יכולה לאחסן מלאי של ספקים, לקשר אותם לחוזים ובקרות, ולעקוב אחר ביקורות ואישורים. ISMS.online, לדוגמה, יכול לתעד אילו ספקים נופלים תחת איזו רמת סיכון, אילו סעיפים חלים והיכן אושרו חריגים. זה מספק נתיב ביקורת ברור ומפחית את הסיכוי ששינוי חוזה שקט יפגע במצב האבטחה שלכם.

עם ממשל גופי קיים, יישום A.5.20 שלכם מפסיק להיות תרגיל תיקון חד פעמי והופך לחלק בר-קיימא באופן שבו אתם מנהלים סיכוני צד שלישי ומדגימים ביטחון ללקוחות ולמבקרים.



הזמן הדגמה עם ISMS.online עוד היום

ISMS.online עוזרת לכם להפוך את ISO 27001 A.5.20 לחוזה MSP חוזר, אשר שומר על הסכמי הספקים שלכם מאובטחים, עקביים וניתנים לביקורת. על ידי ריכוז רישומי ספקים, ספריות סעיפים, מיפויי בקרה וראיות, הפלטפורמה מקלה על ההצגה שדרישות אבטחת המידע מטופלות בהסכמים ונתמכות על ידי הפרקטיקה היומיומית.

לראות את קו הבסיס של A.5.20 שלך עובד במערכת ISMS אמיתית

לראות את בסיס A.5.20 שלכם עובד במערכת ISMS אמיתית פירושו היכולת לעקוב אחר ספקים, סיכונים, חוזים ובקרות בסביבה אחת. כאשר אתם יכולים לעשות זאת, שיחות עם מבקרים ולקוחות עוברות מחיפוש מסמכים להסבר כיצד פועל ניהול הספקים שלכם וכיצד מנוהלים חריגים.

כאשר ניתן לקשר ספקים, סיכונים, חוזים ובקרות נספח א' במקום אחד, שיחות עם מבקרים ולקוחות הופכות לפשוטות ובטוחות יותר. במקום לחפש בשיתופי קבצים ותיבות דואר נכנס, ניתן להצביע על תצוגה אחת שמראה איזו גרסה בסיסית חלה על כל קשר, אילו חריגים קיימים וכיצד החלטות אלו נומקו.

בתוך סביבה אחת, ISMS.online יכול לעזור לכם לחבר ספקים להערכות סיכונים, חוזים ומערכות בקרה, כך שיהיה קל יותר לראות אילו הסכמים תומכים באילו חלקים של ISMS שלכם. זרימות עבודה תומכות בבדיקות, אישורים וחידושים, ועוזרות לכם להבטיח שעסקאות חדשות מאמצות את הבסיס וכי חוזים בעלי סיכון גבוה מקבלים עדיפות לשדרוגים. לוחות מחוונים מעניקים להנהלה תמונה תמציתית של כיסוי הספקים, פעולות שטרם נמשכו וחלונות חידוש קרובים.

למה לצפות כשאתם חוקרים את ISMS.online

כאשר אתם חוקרים את ISMS.online, תוכלו לראות כיצד ניהול ספקים מובנה וקווי בסיס של חוזים A.5.20 פועלים ב-ISMS חי ולא בתיאוריה. המוקד הוא כיצד ניתן לארגן את החוזים, הסיכונים והבקרות הקיימים שלכם לתמונה אחת ניתנת לביקורת, שתפחית את המאמץ הידני ותגביר את הביטחון.

בחינת ISMS.online נועדה לראות כיצד ניהול הספקים הנוכחי שלכם יכול להתפתח למערכת מובנית וניתנת לביקורת, במקום להוסיף כלי נוסף לתחזוקה. תוכלו לעיין בדוגמאות של סעיפים, מיפויים ודוחות במסגרת A.5.20, המותאמים לספקי שירותים מנוהלים, ולבחון כיצד הם יתאימו לחוזים ולתהליכים הקיימים שלכם.

עבור ראשי אבטחת מידע, צוותים משפטיים ובעלי ספקי שירות ניהולי (MSP), שילוב זה של מבנה ונראות מקצר את ההכנה לביקורת, מפחית חיכוכים במשא ומתן ומחזק את הביטחון. בחירה ב-ISMS.online הגיונית כאשר אתם רוצים שהסכמי הספקים שלכם יתמכו בהסמכת ISO 27001 שלכם, ידגימו שליטה ללקוחות ויצמצמו את הסיכון לצד שלישי מבלי להוסיף מורכבות מיותרת. אם תוצאות אלו חשובות לכם, לראות את הפלטפורמה בפעולה הוא הצעד הבא הטבעי.

הזמן הדגמה


שאלות נפוצות

כיצד צריך MSP לפרש את תקן ISO 27001:2022 A.5.20 בחוזים יומיומיים של ספקים ולקוחות?

עליך להתייחס ל-A.5.20 כדרישה עבור התחייבויות אבטחה ספציפיות וניתנות לבדיקה בחוזים שלך, לא הצהרות מרגיעות אך מעורפלות לגבי אבטחה "חזקה" או "סטנדרטית בתעשייה".

כאשר רואה חשבון, לקוח גדול או רגולטור קוראים את ההסכמים שלכם, הם אמורים להיות מסוגלים לראות מי אחראי על אילו בקרות, מה נראה כמו "טוב", וכיצד אתם בודקים שזה אכן קורה.

כיצד נראים בפועל "סעיפי אבטחה ברורים וניתנים לביקורת"?

עבור ספק שירותי ניהול רשתות (MSP), סעיף A.5.20 מתקיים כאשר ספק ולקוח חוזים באופן עקבי:

  • הקצאת אחריות אבטחה:

פרטו מי מנהל את תיקוני המעקב, הגנת נקודות הקצה, גיבויים, ניהול זהויות וגישה, ניטור ומיון אירועים - כולל כל אחריות משותפת.

  • תאר כיצד מטפלים במידע:

יש לכסות כיצד נגישים, מעובדים, מאוחסנים, מועברים, מגובים, נשמרים ומוחקים נתונים הנמצאים במסגרת המחקר, בשפה שגם בודק לא טכני יכול להבין.

  • הגדרת כללי דיווח ושיתוף פעולה של אירועים:

השתמשו בטריגרים קונקרטיים ("פגיעה מאומתת בנתוני לקוחות", "הפסקת שירות > X דקות"), בלוחות זמנים ("התראה ראשונית תוך X שעות"), נתיבי קשר מוגדרים וציפיות לחקירות ותקשורת משותפות.

  • יש לשקף את התקנות והכללים הרלוונטיים בתחום:

שלבו התחייבויות של פרטיות, מיקור חוץ, חוסן או התחייבויות ספציפיות למגזר להסכם, במקום להסתמך על מדיניות או הבטחות בלתי פורמליות בלבד.

  • כלול מנגנוני אבטחה ופיקוח שמישים:

מתן זכות לראות ראיות (תעודות ISO 27001, דוחות SOC 2, סיכומי בדיקות ע"פ, שאלונים ממוקדים) בקצב מוסכם, ולבצע מעקב במידת הצורך.

בדיקה עצמית מהירה שמהדהדת בקרב מבקרים היא:

אם רק היה לנו את החוזה הזה על השולחן, האם היינו יכולים להראות שדרישות אבטחת המידע שלנו מוגדרות, מבוססות סיכונים וניתנות לאכיפה - או שמא היינו ממלאים את הפערים ב"מה שכולם יודעים שהתכוונו"?

אם התשובה קרובה יותר לאחרונה, מערכת ה-ISMS שלך אמורה לתעד זאת כחולשה ולהוביל לשינוי בניסוח, בתבניות או בכללי האישור.

פלטפורמה כמו ISMS.online הופכת את ההדגמה להרבה יותר קלה. ניתן לקשר כל סעיף בחוזה לסיכונים ולבקרות שהוא תומך בהן, ולהראות כיצד A.5.20 מיושם באמצעות הסכמים אמיתיים במקום להסתמך על זיכרון או הערות לא פורמליות.

כיצד A.5.20 משתלב לצד A.5.19 ו-A.5.21 עבור MSP?

שלושת הפקדים יוצרים מחזור חיים של אבטחה של צד שלישי יחידעם מי אתם עובדים, מה אתם דורשים על הנייר, וכיצד אתם מנהלים את שרשרת האספקה ​​הרב-שכבתית שמספקת את השירותים שלכם.

כיצד צריך MSP לראות את שרשרת A.5.19–A.5.21?

עבור רוב מנהלי ה-MSP, הדפוס נראה כך:

  • A.5.19 – מחזור חיי ספק:

כיצד אתם בוחרים, מעריכים, מאשרים, מכניסים למערכת, מנטרים ובמידת הצורך, יוצאים מספקים - כולל קריטריונים, בדיקת נאותות וסקירות תקופתיות.

  • A.5.20 – אבטחת מידע חוזית:

כאשר ציפיות אלו הופכות להתחייבויות מחייבות בהסכמי שירות ראשיים (MSAs), הצהרות עבודה (SoWs), הסכמי SLA, הסכמי DPA ולוחות זמנים של אבטחה.

  • A.5.21 – סיכון שרשרת אספקה ​​של טכנולוגיות מידע ותקשורת (ICT) וסיכון פרטיות:

כיצד אתם שולטים ומפקחים על ספקים מרובי שכבות - פלטפורמות ענן, כלים מיוחדים, קבלני משנה - והאופן שבו הם מטפלים במידע אישי ורגיש.

בפעילות היומיומית, A.5.20 הוא ה- גשר בין תפיסת הסיכון שלך לבין מעמדך המשפטי:

  • רישום ספקים והערכת סיכונים (A.5.19) תאר את הסיכון ואת הבקרות עליהן ברצונך להסתמך.
  • חוזים (A.5.20) לקבוע באופן פורמלי מי חייב לבצע את הבקרות הללו ומה קורה כאשר הן לא עושות זאת.
  • פיקוח על שרשרת האספקה (A.5.21) בודק שהמציאות תואמת הן את מערכת ה-ISMS והן את החוזה, כולל זרימת נתונים וספקי משנה.

רואי חשבון ולקוחות גדולים יעשו זאת באופן טבעי. אם רישום הסיכונים שלכם מציין שספק ענן הוא "קריטי, בעל סיכון גבוה" אבל החוזה מכיל רק ניסוח כללי לגבי "אבטחה סבירה", הם יציינו זאת.

ISMS.online מאפשר לכם לחבר את הנקודות הללו במקום אחד: רישומי ספקים המקושרים לסיכונים, בקרות וסעיפי חוזה ספציפיים. משמעות הדבר היא שכאשר מישהו שואל "כיצד אתם מנהלים את מעבדי המשנה שלכם תחת A.5.21?", תוכלו להציג את הספקים, החוזים, הבקרות ומחזור הבדיקה יחד במקום לענות מהזיכרון.

כיצד ניתן להפוך את תקן ISO 27001 A.5.20 למערכת מעשית של נושאי סעיפי חוזה של MSP?

אתה הופך את A.5.20 לפרקטי על ידי הסכמה על רשימת בדיקה קצרה ובלתי ניתנת למשא ומתן של נושאי אבטחה יש לקחת זאת בחשבון תמיד, ולאחר מכן להחליט היכן כל נושא נמצא בדרך כלל בחבילת החוזה שלך.

זה הופך כל עסקה חדשה או חידוש לתרגיל ביישום דפוס במקום להמציא ניסוחים תחת לחץ של דד-ליין.

מה שייך לרשימת הבדיקה A.5.20 המוגדרת כברירת מחדל של MSP?

רוב ספקי ה-MSP מקבלים רשימה מרכזית בסגנון הזה:

  • היקף ושימוש מותר: – אילו שירותים, מערכות ונתונים נכללים במסגרת הפרויקט; מה הצד השני רשאי ומה לא רשאי לעשות; כל גבולות גיאוגרפיים או רגולטוריים.
  • בקרת גישה: – כיצד נוצרים, מאושרים, נבדקים ומוסרים זהויות וחשבונות; טיפול בגישה מועדפת; ציפיות ממשרד החוץ.
  • רישום וניטור: – ציפיות מינימום לרישום נתונים, תקופות שמירה וכיצד ניתן להשיג יומני רישום לצורך חקירות או ביקורת.
  • ניהול פגיעויות ושינויים: – ציפיות לתיקון תקלות וגילוי פגיעויות; הודעה מראש על שינויים מהותיים שעלולים להשפיע על האבטחה או הזמינות.
  • ניהול אירוע: – מה נחשב כאירוע, גורמים להודעה ולוח זמנים, התוכן הנדרש להודעות, נתיבי הסלמה וציפיות לחקירה משותפת.
  • המשכיות עסקית והתאוששות מאסון: – RTO/RPO רלוונטיים, תדירות גיבוי ובדיקות, ציפיות לגיבוי בעת כשל כאשר הזמינות באמת חשובה.
  • ספקי משנה: – מתי ניתן להשתמש בספקים נוספים, מה יש לחשוף או לאשר, וכיצד עליהם לרשת את דרישות האבטחה והפרטיות שלך.
  • הגנה על נתונים ופרטיות: – הוראות עיבוד, קטגוריות נתונים, מיקומים והעברות, תמיכה בזכויות נושא והודעות על הפרות.
  • שמירת נתונים, החזרה ומחיקה: – כמה זמן הנתונים נשמרים, מה קורה ביציאה, כיצד מתבצעת המחיקה בצורה מאובטחת ומוכחת על כך.
  • הבטחה ופיקוח: – הראיות שתוכלו בפועל לבקש ולהסתמך עליהן (אישורים, דוחות, מכתבי אישור, תשובות לשאלונים ממוקדים) ובאיזו תדירות.

זה עוזר לתפוס תמונה פשוטה של ​​היכן אלה בדרך כלל חיים:

תחום נושא בית חוזי טיפוסי עבור MSP
היקף, שימוש מותר MSA / SoW
גישה, רישום, ניטור לוח זמנים לאבטחה / נספח טכני
פגיעות, שינוי, אירועים לוח זמנים לאבטחה / הסכם רמת שירות
המשכיות, DR לוח זמנים לאבטחה / הסכם רמת שירות
ספקי משנה, הגנת מידע לוח זמנים לאבטחה + DPA
שמירה, החזרה, מחיקה לוח זמנים לאבטחה + הוראות יציאה ב-MSA
אבטחה ופיקוח לוח זמנים לאבטחה / סעיפי ממשל

לאחר קביעת דפוס זה, ניתן לבנות רשימות תיוג פנימיות ולסקור את השלבים סביבו. לאחר מכן, ISMS.online יכול לחבר כל נושא לספקים, לסיכונים ולבקרות הרלוונטיים, כך ש, לדוגמה, סיכון של הודעה על אירוע יוביל אתכם אוטומטית חזרה לסעיפים הרלוונטיים ולחוזים המושפעים.

כיצד יכול MSP לתכנן בסיס חוזה A.5.20 לשימוש חוזר שעדיין יחזיק מעמד במשא ומתן בעולם האמיתי?

גישה מעשית היא לבנות מבנה חוזה מודולרי ולשמור א ספריית פסוקיות מתויגות שיושב לצד מערכות ה-ISMS שלכם, עם כללים ברורים לגבי מתי וכיצד ניתן לשנות ניסוחים.

המטרה היא להיות מסוגלים להסביר, באופן עקבי, מדוע החוזים שלכם נראים כפי שהם נראים וכיצד הם תומכים בתצורת הסיכון שלכם, גם לאחר משא ומתן קשה.

כיצד נראית בסיס מודולרי של A.5.20 עבור ספקי שירותי ניהול נתונים (MSPs)?

חברות ציבור רבות (MSPs) מתכנסות למבנה כזה:

  • A הסכם שירות ראשי (MSA) למונחים משפטיים כוללים, אחריות, בעלות ואחריות ברמה גבוהה.
  • הצהרות עבודה (SoWs): המגדירים שירותים, מערכות ונתונים הנכללים במסגרת הפרויקט, מיקומים וכל דרישה או וריאציה ספציפיים ללקוח.
  • A נספח רמת השירות קביעת יעדי זמינות, תגובה ופתרון, כולל היכן אלה תומכים באבטחה (לדוגמה, זמני תגובה לאירועים).
  • ייעודי לוח זמנים לאבטחה שמאחד את הנושאים A.5.19–A.5.21 במקום אחד עם שפה מבוססת תוצאות, כך שתוכלו לעדכן ציפיות מבלי לכתוב מחדש את כל ה-MSA.
  • כאשר מעובדים נתונים אישיים, א הסכם עיבוד נתונים (DPA) שמתייחס וליישר קו עם לוח הזמנים של האבטחה במקום לשכפל אותו או לסתור אותו.

מאחורי המבנה הזה, אתם מתחזקים ספריית פסוקים פנימית כאשר כל פסוקית מתויגת ב:

  • השמיים נושא אבטחה הוא מטפל (למשל, סקירות גישה, לוחות זמנים של אירועים, גילוי נאות של ספקי משנה).
  • השמיים ISO 27001 ובקרות קשורות הוא תומך, במיוחד ב-A.5.19, A.5.20 ו-A.5.21.
  • אחד או יותר שכבות סיכון – לדוגמה, שירותים או לקוחות סטנדרטיים, חשובים וקריטיים.

זה נותן לך שלושה מנופים מרכזיים:

  • סט של עמדות בסיס מינימליות שמתחתיו אתה כמעט ולא נע (לדוגמה, עיכובים מקסימליים בהודעות על אירועים).
  • סט של גרסאות משופרות מוכנים למצבים בעלי סיכון גבוה יותר, כך שתוכלו לחזק חוזים עבור שירותים קריטיים מבלי לאלתר.
  • סט של כללי חריגים, כולל מי יכול לאשר סטיות מהקו הבסיסי, אילו אמצעי פיצוי אתם מצפים, ומתי החלטות אלו ייבחנו.

אם ספריית הסעיפים ונתיב האישור נמצאים בתוך פלטפורמה כמו ISMS.online, ומקושרים למרשם הסיכונים ולרישומי הספקים שלכם, תוכלו להראות שעדכונים לקו הבסיס של A.5.20 נובעים משינויים אמיתיים - איומים חדשים, אירועים, הנחיות רגולטוריות - במקום קווים אדומים אד-הוק.

במשא ומתן, מבנה זה גם הופך את השיחות לפחות אישיות. במקום להתווכח על סגנון ניסוח, אתם והצדק שלכם יכולים לבחור מבין וריאציות מוגדרות בבירור הקשורות לפרופיל סיכון מוסכם, ותוכלו לתעד בדיוק מדוע נבחרה אפשרות חזקה יותר או חלשה יותר.

אילו דרישות אבטחת מידע צריכות להופיע כמעט תמיד בהסכמי ספקי MSP תחת A.5.20?

ישנן דרישות כה בסיסיות עד שהן שייכות ל... כמעט כל הסכם ספקים הנמצא במסגרת החוזה, ללא קשר לערך החוזה או לקטגוריית השירות. אלמנטים "תמיד פעילים" אלה מהווים את בסיס יישום A.5.20 שלך.

מה בדרך כלל שייך לשכבת A.5.20 "תמיד פעילה" של MSP?

רוב חברי הכנסת מסתיימים ברשימה תמציתית שמשתנה רק בחריגים ועם נימוק ברור:

  • סודיות ושימוש מקובל:

חובות להגן על המידע שלך ועל מידע של לקוחות, בנוסף לדוגמאות להמחשה של התנהגות אסורה כגון העתקה, גילוי או כריית נתונים בלתי מורשית.

  • התאמה למדיניות המרכזית שלך:

דרישה לפעול לפי מדיניות מוגדרת בנוגע לאבטחת מידע, שימוש מקובל, וכאשר רלוונטי, פיתוח מאובטח, שאתם מפרסמים ומתחזקים באמצעות מערכת ה-ISMS שלכם.

  • בקרת גישה וזהות:

ציפיות לשימוש באימות חזק, אכיפת הרשאות מינימליות, סקירת גישה בקצב מוגדר וביטולה באופן מיידי כאשר היא אינה נחוצה עוד.

  • דיווח על אירועים ושיתוף פעולה:

קריטריונים ברורים לגבי מה שחייבים לדווח, מסגרות זמן להודעות ראשוניות ומעקב, תוכן מינימלי (לוח זמנים, השפעה, נתונים מושפעים, פעולות בלימה) וכיצד מטופלות חקירות משותפות ותקשורת חיצונית.

  • שקיפות ספקי משנה:

חובות לחשוף ספקי משנה מהותיים, לתת הודעה מראש על שינויים משמעותיים ולהטיל תנאי אבטחה ופרטיות דומים באופן מהותי לצדדים אלה.

  • תנאי הגנת מידע:

כאשר מדובר בנתונים אישיים, תנאים התואמים את חובותיך החוקיות (לדוגמה, במסגרת GDPR או CCPA) ואת מדיניות הפרטיות והשמירה שלך.

  • החזרת נתונים ומחיקה מאובטחת:

הוראות כיצד נתונים יוחזרו, יועברו או יימחקו בצורה מאובטחת בסוף הקשר או השירות, וציפייה סבירה להוכחה לכך שהמחיקה התרחשה.

  • מנגנוני הבטחה:

דרכים מוסכמות עבורכם לניטור מצב האבטחה - כגון אישורי ISO 27001, דוחות SOC 2, שאלונים קצרים או אישורים רשמיים - ובאיזו תדירות תקבלו אותם.

שאלה מועילה שכדאי לזכור היא:

אם הספק הזה חווה תקרית חמורה הלילה, האם יש לנו מספיק בחוזה הזה כדי לפעול במהירות, להתעקש על תיקון מתאים ולהסביר את הפיקוח שלנו ללקוחות או לרגולטורים?

אם אתם מהססים, ייתכן שאחד מהתחומים הללו, שפועלים תמיד, חסר או חלש מדי. לכידתם כחלק מנקודת הבסיס שלכם והטמעתם בתבניות סטנדרטיות מפחיתים את ההסתמכות על האינסטינקטים של מנהלי משא ומתן בודדים ומעניקים למבקרים וללקוחות נקודת מבט ברורה.

ISMS.online יכול לחזק זאת עוד יותר על ידי קישור סעיפי הבסיס הללו לרישומי ספקים, סיכונים וסקירות הנהלה, כך שתוכלו להראות שהשכבה הבסיסית קיימת, מיושמת ונבדקת כאשר הנסיבות משתנות.

כיצד יכול ספק שירותי ניהול נתונים (MSP) לשמור על קו בסיס החוזה A.5.20 שלו תואם ל-ISMS ולשמור על קלות להוכחה לאורך זמן?

אתה שומר על יישור A.5.20 על ידי התייחסות לניסוח החוזה כאל חלק מניהול האבטחה שלך, עם בעלים ששמם מוכר, סקירות מתוכננות וקישורים ברורים לניהול ספקים וטיפול בסיכונים, במקום תרגיל משפטי נפרד שנסחף עם הזמן.

כיצד נראה ממשל בר-קיימא של A.5.20 עבור מנהל רשתות חברתיות (MSP)?

אפילו ב-MSPs קטנים יותר, מודל ממשל פשוט עושה הבדל גדול:

  • אבטחת מידע:

מגדיר ציפיות אבטחה, אלמנטים פעילים תמידיים ועמדות שאינן ניתנות למשא ומתן בשפה פשוטה, תוך התאמה לבקרות ISO 27001 ומסגרות אחרות עליהן אתה מסתמך.

  • צוות משפטי או חוזי:

אחראי על ניסוח הפרויקט, מייעץ במהלך משא ומתן, ורושם היכן חורגים או מרעננים את קווי הבסיס, כולל נימוקים וכל אמצעי הגנה מפצים.

  • מנהלי ספקים או בעלי שירותים:

לנטר האם הספקים עומדים בהתחייבויותיהם בפועל, לאסוף ראיות (אישורים, דוחות, תגובות) ולהעלות בעיות כאשר הציפיות אינן מתקיימות.

  • ביקורת פנימית או מקבילה:

דוגם מעת לעת קבוצת חוזים, משווה אותם לנתוני הבסיס, לרישום הספקים ולרישומי הסיכונים, וממליץ על שיפורים.

תפקידים אלה פועלים לפי קצב צפוי:

  • תבניות חוזים וספריות סעיפים נבדקות כחלק מההתחייבויות שלך הערכת סיכונים ומחזורי סקירה ניהוליים, כך שאירועים, כמעט תאונות ושינויים רגולטוריים מובילים לעדכונים מדודים בניסוח.
  • רישום מרכזי מראה אילו חוזים משתמשים באיזו גרסה בסיסית, אילו ספקים נמצאים באיזו רמת סיכון והיכן קיבלתם חריגות, כולל רישום של מי אישר אותן ומדוע.
  • קצר ספרי משחק ורשימות בדיקה לעזור לצוותי מכירות, רכש וחשבונאות להבין אילו תנאים הם חובה, היכן יש להם גמישות ומתי עליהם להביא מומחי אבטחה או משפט.

בקנה מידה קטן מאוד, ניתן לאחסן חלק ניכר מזה יחד עם מסמכים ותיקיות משותפות. ככל שבסיס הלקוחות, רשימת הספקים וכיסוי המסגרת גדלים, זה הופך במהירות לשברירי.

ISMS.online מאפשר לך לאסוף מלאי ספקים, קווי בסיס של חוזים, בקרות, סיכונים, ביקורות וסקירות ניהוליות לתצוגה אחת, כך שכאשר מישהו שואל:

  • "כיצד אתם מבטיחים ש-A.5.20 מיושם באופן עקבי על ספקים קריטיים?"
  • "היכן אתם רושם חריגים לעמדות הסטנדרטיות שלכם?"
  • "כיצד שינויים בחוזים מזינים את מאגר הסיכונים שלכם?"

אתה יכול לענות באמצעות ראיות עדכניות ומקושרות במקום באמצעות טלאים של קבצים.

רמת מבנה זו מאותתת ללקוחות, למבקרים ולרגולטורים שאתם מנהלים את אבטחת הספקים והלקוחות כתחום מנוהל. זה מראה שהחוזים שלכם, מערכת ה-ISMS שלכם וההתנהגות היומיומית שלכם כולם תואמים, מה שמקל על זכייה ושמירה על סוג הלקוחות שאכפת להם יותר מכל מסיכון צד שלישי.

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.