עבור לתוכן
ISMS.online

A.5.23 אבטחת מידע לשימוש בשירותי ענן – פלטפורמות ענן MSP ואחריות משותפת

פלטפורמות ענן דורשות כיום יותר מאמון - הן דורשות אחריות ברורה ומבוקרת לכל שירות, חשבון וסיכון. תקן ISO 27001 A.5.23 מצפה מספקי שירותי ניהול שירותים (MSPs) לנהל באופן פעיל את השימוש בענן, לתעד תפקידים ולהוכיח שליטה על כל מחזור חיי השירות. מבקרים ולקוחות רוצים יותר ויותר ראיות לכך שאתם מנהלים את אחריות הענן - ולא רק להסתמך על הבטחות הספק.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

מדוע אבטחת MSP בענן קרסה בן לילה

אבטחת ענן של MSP "נשברה" כאשר פלטפורמות ענן הפסיקו להיות ספקיות פשוטות והפכו לסביבות של אחריות משותפת שעליכם לנהל באופן פעיל. תקן ISO 27001 A.5.23 מבהיר את השינוי הזה בכך שהוא מצפה מכם לשלוט באופן שבו אתם בוחרים, משתמשים ויוצאים משירותי ענן בהתאם ל-ISMS שלכם, במקום להסתמך על אישורי ספק בלבד. ציפייה זו משקפת את ניסוח תקן ISO 27001:2022 A.5.23 ואת הנחיות אבטחת ענן מרכזיות, המדגישות תהליכים מוגדרים לרכישה, שימוש, ניהול ויציאה משירותי ענן במקום להסתמך על הבטחות ספק בלבד, כפי שמודגש בפרשנות על הנחיות ISO 27001 A.5.23.

שירותי ענן מאפשרים לספק שירותי ניהול ענן (MSP) שלכם לצמוח במהירות, אך הם גם חשפו פערים בבעלות, בממשל ובראיות שמודל הספק הישן מעולם לא היה צריך לפתור. כאשר לקוחות ומבקרים שואלים כעת מי אחראי על מה בענן, "הספק עושה את זה" כבר לא מספיק. A.5.23 מגבש את המתח הזה בציפייה לגישה מבוקרת ומתועדת לשימוש בענן במקום בחירות פלטפורמה אד-הוק.

ענן הופך ליתרון עבור ספקי שירותי ניהול שירותים (MSP) רק כאשר האחריות משותפת באופן מכוון, לא נלקחת בחשבון.

הענן התגבר על חשיבת ה"ספק" הישנה שלך

הענן התגבר על הרעיון שאפשר לחתום על חוזה, לסמוך על תעודה ולהניח עצירות אבטחה בקצה הספק. עבור ספקי שירותי ניהול שירותים (MSPs), A.5.23 מאלץ אותך להכיר בכך שזהויות, תצורות ותפעול יומיומי בכל פלטפורמה נמצאים כעת במסגרת אחריותך.

ספקי שירותי ניהול שירותים (MSP) רבים עדיין מתייחסים לספקי ענן כמו לספקים מסורתיים, וזה בדיוק המקום שבו A.5.23 מתחיל להיכשל. במשך שנים, יכולת לחתום על חוזה, לסמוך על אישורי גישה, להוסיף ניטור נוסף ולהמשיך הלאה. זה עבד כשהענן היה רק ​​אירוח דוא"ל או כמה מכונות וירטואליות.

כיום, קטלוגי שירותים שלמים פועלים על פלטפורמות היפר-סקייל, כאשר המהנדסים שלכם מחזיקים בתפקידי ניהול רבי עוצמה וכלי אוטומציה הנוגעים לעשרות דיירים בו זמנית. בסביבה זו, "הספק מנהל את האבטחה" מפסיק להיות נכון. ספק הענן מאבטח את התשתית ושירותי הליבה שלו, אבל אתם מחליטים על זהויות, תצורות, אינטגרציות וחלק ניכר מהחוסן התפעולי. לקוחות מבינים זאת יותר ויותר ומצפים שתראו כיצד מוגדרות אחריות משותפת וכיצד הצוות שלכם מנהל את הבקרות הללו מדי יום.

A.5.23 הוא הנקודה שבה התקן מציין במפורש את השינוי הזה. הוא מצפה ממך לעבור מאבטחת ספקים כללית לממשל אקטיבי של האופן שבו פלטפורמות ענן תומכות בשירותים שלך ובלקוחות שלך.

המורכבות הנסתרת של מחסנית הענן הנוכחית שלך

המורכבות הנסתרת של מחסנית הענן שלכם מתבררת רק כשרושמים אותה. רשימה קצרה וממוקדת בדרך כלל חושפת הרבה יותר שירותים, זרימות נתונים ותפקידי ניהול ממה שציפיתם, וזה בדיוק מה ש-A.5.23 רוצה שתראו ואז תנהלו במכוון.

רוב ספקי שירותי ה-MSP מגלים שהם מפעילים הרבה יותר שירותים, בהרבה יותר דרכים, ממה שמישהו חשב:

  • כלי SaaS פנימיים לשיתוף פעולה, ניהול כרטיסים, CRM ופיננסים.
  • פלטפורמות ענן ציבורי המפעילות תשתית מנוהלת, גיבוי, ניטור ושירותי אבטחה.
  • כלי נישה בענן שנבחרו על ידי צוותים או מהנדסים בודדים לפתרון בעיות ספציפיות.

יחד, שירותים אלה יוצרים רשת של מיקומי נתונים, תפקידי מנהל, יומני רישום ומצבי כשל. ללא תצוגה מרכזית, הסיכונים מצטברים בשקט: מהנדס אחד מחזיק בניהול גלובלי על פני מספר דיירים, כלי SaaS "זמני" הופך לקריטי לעסקים, שירות גיבוי מעולם לא נבדק עבור תרחישי שחזור אמיתיים. פלטפורמת ISMS כמו ISMS.online יכולה לעזור לכם לשמור על תצוגה מרכזית זו כך שהמורכבות לא תישאר מוסתרת.

כדי להפוך את השינוי למוחשי, כדאי להשוות את גישתה הישנה של הספקים עם הגישה הממשלתית בענן ש-A.5.23 מצפה לה.

השוואה קצרה מראה כיצד הגישה שלך חייבת להשתנות:

אספקט מודל ספק ישן A.5.23 ניהול ענן עבור ספקי שירותי ניהול רשת (MSP)
מבט על הספק "ספק אמין מטפל באבטחה." "שותפים במודל מוגדר של אחריות משותפת."
היקף השליטה חוזה בתוספת ניטור בסיסי מחזור חיים מלא: בחירה, שימוש, שינוי, יציאה
ראיות שבידך תעודות וחוזים רישומים, רישומי סיכונים, מטריצות, חפצי מחזור חיים
בעלות בתוך ה-MSP משתמע, תלוי-אדם תפקידים מפורשים, ספרי ריצה ואינטגרציה של ISMS

ברגע שתראו את המצב שלכם דרך עדשה זו, יהיה לכם קל יותר להחליט היכן אתם זקוקים למבנה במקום לתיקונים אד-הוק נוספים.

היכן שלקוחות ורואי חשבון חושפים את הסדקים

לקוחות ומבקרים חושפים את הסדקים במערך הענן שלכם על ידי שאילת שאלות ברורות לגבי שירותים, נתונים ואחריות. שאלותיהם מדגישות לעתים קרובות פערים בבעלות, במחזור החיים ובראיות הרבה לפני שפרצה או הפסקת חשמל מתרחשות. ניהול סיכוני צד שלישי ומעקב אחר תאימות ספקים צוינו כאתגר מרכזי על ידי 41% מהארגונים בסקר ISMS.online לשנת 2025.

שאלות אופייניות כוללות:

  • אילו שירותי ענן אתם משתמשים בהם עבורנו, והיכן הנתונים שלנו מאוחסנים?
  • מי אחראי על גיבוי, זהות, רישום ותצורה בכל פלטפורמה?
  • כיצד בודקים, מנטרים, ובמידת הצורך, פורשים מספקי ענן?
  • כיצד תתמכו בנו אם נרצה להתרחק משירות נתון?

שאלות אלו חושפות היכן הגישה הנוכחית שלכם מעורפלת. אם התשובות שלכם תלויות במי שנמצא בפגישה, או דורשות שמישהו ילך ויבדוק, A.5.23 כבר מהווה בעיה. הבקרה מצפה מכם שיהיו תהליכים לרכישה, שימוש, ניהול ויציאה משירותי ענן בהתאם לדרישות האבטחה המוגדרות. עבור MSP, פירוש הדבר מעבר מאחסון ענן מאולתר לאחסון מובנית שמבקרים ולקוחות יכולים לבדוק.

כאן הופך להיות חיוני ולא נחמד לרשום רישום חי של שירותי ענן, המקושר לסיכונים, תחומי אחריות ורישומי מחזור חיים.

הזמן הדגמה


מה באמת מבקש ממך תקן ISO 27001 A.5.23

תקן ISO 27001 A.5.23 מבקש מכם להתייחס לענן כאל סביבת שירותים נשלטת עם כללים, אחריות וראיות ברורים, ולא כאוסף רופף של כלים וספקים. בפועל, משמעות הדבר היא היכולת להראות כיצד שירותי ענן נבחרים, נשלטים ומוצאים משימוש בהתאם לדרישות אבטחת המידע שלכם.

דו"ח מצב אבטחת המידע לשנת 2025 מציין כי לקוחות מצפים לרוב מספקים להתאים את עצמם למסגרות פורמליות כגון ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 ותקני בינה מלאכותית מתפתחים.

במהדורת 2022, סעיף A.5.23 קובע כי עליכם לבסס וליישם תהליכים לרכישה, שימוש, ניהול ופרישה של שירותי ענן, בהתאם לדרישות אבטחת המידע שלכם. ניסוח זה עולה בקנה אחד עם טקסט הבקרה שפורסם ב-ISO 27001:2022 A.5.23 ועם הנחיות ענן תומכות כגון ISO 27017 ו-ISO 27018, אשר כולן מדגישות ניהול מקצה לקצה של שירותי ענן ולא בדיקות חד פעמיות של ספקים. פלטפורמת ISMS מרכזית כגון ISMS.online יכולה להפוך את העבודה הזו לניתנת לניהול על ידי אחסון מדיניות, סיכונים, אחריות ורישומים במקום אחד.

רואי חשבון בדרך כלל מחפשים קו ברור מטקסט הבקרה ועד למדיניות, נהלים ורישומים בפועל. אם תוכלו להסביר במילים שלכם מה המשמעות של A.5.23 עבור העסק שלכם, אתם כבר מקדים את מנהלי ה-MSP רבים שמסתמכים אך ורק על הניסוח הפורמלי.

ממשפט אחד למטרות מעשיות

הפיכת A.5.23 ליעדים מעשיים פירושה פירוק הניסוח הפורמלי לקבוצה קטנה של ציפיות קונקרטיות וניתנות לבדיקה, שסביבן ניתן לעצב בקרות וראיות. יעדים אלה מספקים לכם מסגרת להסבר הבקרה לצוות שלכם ולמבקרים. פרשנויות של מתרגלי ISO 27001 המתמקדים בענן מקבצות בדרך כלל את דרישות A.5.23 לנושאים כגון מדיניות ענן, סיכונים ודרישות, אחריות משותפת, מחזור חיים וראיות, וזו הגישה המשתקפת כאן.

בפועל, סעיף A.5.23 מצפה ממך לעשות חמישה דברים באופן עקבי ולהיות מסוגל להוכיח אותם. דרך שימושית לפרש את הבקרה היא לחלק אותה לחמש מטרות מעשיות:

  1. מדיניות והיקף ענן – הגדירו מהי משמעות המילה "ענן" עבור הארגון שלכם, אילו שירותים ונתונים נכללים במסגרת המדיניות, ומי יכול לאמץ שירותים חדשים.
  2. סיכון ודרישות – לזהות סיכונים ספציפיים לענן כגון ריבוי לקוחות, מיקום נתונים וקישוריות, ולקבוע דרישות אבטחה ופרטיות מינימליות.
  3. אחריות משותפת – לתעד מי אחראי על בקרות מפתח על פני הספק, MSP והלקוח עבור כל פלטפורמה ושירות עיקרי.
  4. ניהול מחזור חיי – לשלב אבטחה בבחירה, קליטה, שינוי, ניטור ויציאה משירותי ענן, לא רק בחוזים.
  5. ראיות ושיפור – לשמור תיעוד המראה שהתהליכים הללו פועלים ולסקור אותם ככל שפלטפורמות, לקוחות ותקנות משתנים.

יחד, יעדים אלה הופכים את A.5.23 ממשפט בודד לקבוצת הרגלים. הם גם מספקים לכם מבנה למיפוי הבקרה לתוך הצהרת הישימות שלכם ול-ISMS הרחב יותר שלכם. רישום המטרות, הבעלים והראיות התומכות במערכת כמו ISMS.online עוזר לכם לשמור על עקביותם ככל ששירותים ותקנים מתפתחים.

כיצד A.5.23 מרחיב את מודל הספק הישן יותר

A.5.23 מרחיב את מודל הספק הישן יותר בכך שהוא מכיר בכך שענן הוא בסיס טכני, ולא עוד חוזה מיקור חוץ. כאשר השירותים שלך תלויים בפלטפורמות משותפות, בחירות התצורה, הגישה והתפעול שלך משפיעות מאוד על תוצאות האבטחה, גם אם התשתית הבסיסית שייכת למישהו אחר.

בהשוואה לבקרות ספקים גנריות בתחומים כגון ניהול ספקים ואבטחת תפעול, A.5.23:

  • מדגיש את מחזור החיים של שירותי הענן, לא רק את בחירת הספק.
  • מצפה להתחשבות מפורשת באחריות משותפת ובריבוי דיירים.
  • מתמקד באופן שבו תצאו או תחליפו שירותי ענן מבלי לאבד שליטה על הנתונים.

דגשים אלה משוחזרים בפרשנויות מומחים בנושא A.5.23 ובמיפויי בקרת ענן, המדגישים את מחזור החיים, האחריות המשותפת ותכנון היציאה, בהבדלים מפיקוח מסורתי על ספקים. עבור ספקי שירותי ניהול ספקים (MSPs), A.5.23 נמצא גם לצד בקרת גישה, ניהול נכסים, ניהול אירועים ובקרות אחרות בנספח A. המטרה אינה לשכפל עבודה, אלא לוודא שהבקרות הקיימות שלכם מתחשבות במלואן בענן ובאופן שבו אתם מספקים שירותים.

קישור ברור של בקרה זו למערכת ה-ISMS שלכם עוזר למבקרים לראות שמשילות ענן משולבת, ולא מטופלת כמסלול נפרד.

סוגי מסמכים שמבקרים מצפים לראות

סוגי המסמכים שמבקרים מצפים לראות עבור A.5.23 הם אלו המוכיחים שמדיניות, תהליכים ואחריות הענן שלכם אמיתיים, עקביים ומיושמים. הם יחפשו קבוצה קטנה וקוהרנטית של מסמכים ולא כמות גדולה של מסמכים קשורים באופן רופף. מדריכי יישום ניהול ענן עבור A.5.23 מצביעים לעתים קרובות על שילוב של מדיניות, רישומי שירות, הערכות סיכונים ורישומי מחזור חיים כקבוצת הראיות המרכזית שמבקרים מצפים לה.

במהלך ביקורת, סביר להניח שתתבקשו להציג ראיות כגון:

  • מדיניות שימוש בענן או מדיניות אבטחת ענן.
  • רישום שירותי ענן המשמשים באופן פנימי ומטעם לקוחות.
  • הערכות סיכונים ותוכניות טיפול ספציפיות לענן.
  • רישומי בדיקת נאותות עבור ספקי ענן מרכזיים ומעבדי משנה.
  • מטריצות של אחריות משותפת או הגדרות תפקידים מקבילות.
  • נהלים או ספרי עבודה לקליטה ויציאה משירותים.
  • דוגמאות של יומנים, ביקורות או כרטיסים המראים את פעולת התהליכים הללו.

אם ניתן לאתר את אלה במהירות, והם מספרים סיפור עקבי, A.5.23 ירגיש מבוקר ופרופורציונלי. אם הם קיימים רק במסמכים מפוזרים או בראשים של אנשים, הבקרה הופכת למקור לממצאים ולעבודה נוספת. שימוש בפלטפורמת ISMS כמו ISMS.online כדי לאחסן את החפצים הללו במקום אחד מקל בהרבה על הצגת האופן שבו ענן מנוהל בפועל.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


החיים הכפולים של ספק שירותי ניהול ענן (MSP): לקוח וספק ענן

ל-MSP שלכם יש חיים כפולים תחת A.5.23: אתם גם לקוח ענן תובעני של ספקי upstream וגם ספק ענן אחראי ללקוחות שלכם. הבקרה מצפה מכם להבין, לתעד ולנהל את שני התפקידים, כולל כיצד הם מקיימים אינטראקציה לאורך שרשרת האחריות המשותפת.

כלקוח ענן, אתם מסתמכים על פלטפורמות היפר-סקייל וכלי SaaS כדי לנהל את העסק שלכם ולספק שירותים. כספק ענן, הלקוחות שלכם רואים בכם את הגורם האחראי על אבטחה, המשכיות ותמיכה, גם כאשר הטכנולוגיה הבסיסית שייכת למישהו אחר. A.5.23 מאחדת את שתי נקודות המבט הללו ומבקשת מכם לנהל אותן בצורה קוהרנטית.

הבנת התפקידים שלך במעלה ובמורד הזרם

הבנת התפקידים שלך במעלה ובמורד הזרם פירושה להכיר בכך שאתה צורך שירותי ענן כלקוח פנימי, ובמקביל מוכר שירותים מבוססי ענן כספק ללקוחות שלך. A.5.23 מצפה ממך לשמור על שתי נקודות המבט לנגד עיניך ולהבטיח שהן תומכות זו בזו, ולא סותרות זו את זו.

בְּתוֹר לקוח ענןאתם צורכים שירותים כגון חבילות פרודוקטיביות, שירותי כרטיסים, פלטפורמות ניטור ותשתית ענן ציבורי. אתם אחראים על אופן הגדרת השירותים הללו, למי יש גישה וכיצד הם מנוטרים. כאשר מתרחשים אירועים או כאשר רגולטורים שואלים שאלות, היכולת שלכם להראות שליטה תלויה באופן שבו אתם מנהלים את הצריכה הזו ובאיזו מידה היא מקושרת בבירור לתהליכי ה-ISMS שלכם, כגון הערכת סיכונים וניהול שינויים.

בְּתוֹר ספק או מנהל ענן, אתם מעצבים, מספקים ותומכים בשירותים הפועלים על פלטפורמות אלו. ייתכן שאתם מוכרים תשתית מנוהלת, גיבוי, שרת הפעלה (SOC), אירוח יישומים או שירותי אבטחה. הלקוחות שלכם רואים בכם את הגורם האחראי, גם כשאתם בונים על ענן של צד שלישי. הם לא מבחינים בין השירות שלכם לבין ההיפר-סקיילר עליו הוא פועל; הם מניחים שדאגתם לפרטים.

חוסר יישור נפוץ מופיע כאשר אתם מתחייבים ללקוחות לגבי שמירת יומנים או היסטוריית גיבויים, אך כלי במעלה הזרם עדיין פועל בהגדרה הקצרה בהרבה, כברירת מחדל. במקרה כזה, ההתחייבות שלכם במעלה הזרם עלתה על תצורת המעלה הזרם שלכם, ו-A.5.23 יחשוף את הפער הזה.

בניית תפיסת אחריות כפולה

בניית תפיסת אחריות כפולה פירושה מיפוי תחומי אחריות בין ספקים, צוותי MSP ולקוחות במודל יחיד וקוהרנטי. זה נותן ל-CISO, ראש מחלקת אספקת השירותים ומנהלי החשבונות תמונה משותפת של מי הבעלים של מה לאורך כל השרשרת.

דרך מעשית לעשות זאת היא ליצור מטריצת אחריות דו-תפקידית. בתחומי בקרה מרכזיים - ניהול זהויות וגישה, תצורה, רישום, גיבוי, תגובה לאירועים, בקרת שינויים, הגנת נתונים - עליך לפרט:

  • למה מתחייבים ספקי הספקים במעלה הזרם שלכם.
  • למה אתה, כ-MSP, מתחייב במעלה הזרם (לדוגמה, הפעלת תכונות מסוימות, ניהול סיכונים מסוימים).
  • למה אתם מתחייבים במורד הזרם בחוזים ובהסכמי רמת השירות של הלקוחות שלכם.
  • מה שאתם מצפים מהלקוחות לעשות בעצמם.

תרגיל זה חושף לעתים קרובות חוסר יישור: התחייבויות כלפי לקוחות שאין להם תמיכה במעלה הזרם, או הנחות לגבי ספקים שאינם מגובים בחוזים שלהם. הוא גם מבהיר היכן נדרשות בקרות חזקות יותר, ניסוח ברור יותר או עיצובי שירות שונים. כאשר משלבים נקודת מבט זו בפלטפורמת ISMS כמו ISMS.online, נותנים לצוותים מקור אחד של אמת לגבי אחריות משותפת.

הפיכת מפות אחריות לפרקטיקה יומיומית

הפיכת מפות אחריות לפרקטיקה יומיומית פירושה לוודא שכל מי שנוגע בשירותי ענן מבין את החלקים הרלוונטיים להם ויכול לפעול על פיהם במהירות. המפות צריכות לעצב את ההתנהגות במכירות, בהנדסה, בתמיכה ובניהול לקוחות.

הפיכת מפות אחריות למציאות פירושה:

  • שימוש בהם כדי לתדרך צוותי מכירות וצוותי תיקי לקוחות, כדי שלא יבטיחו יותר מדי או יאלתרו התחייבויות.
  • התאמת ספרי ריצה וספרי משחק לאחריות שהגדרת, כך שצוותים טכניים יפעלו באופן עקבי.
  • הכשרת מהנדסים כיצד ומתי לממש את זכויותיהם מול שוכרי לקוחות, כולל העלאת זכויות ואישורים מוגבלים בזמן.
  • הסכמה על אופן התקשרות וטיפול באירועים הקשורים לספקים עם הלקוחות, כולל דרכי הסלמה.

כאשר השקפתך הכפולה משובצת בצורה זו, A.5.23 מפסיקה להיות דרישה מופשטת והופכת לעדשה טבעית לאופן שבו ספק שירותי ה-MSP שלך פועל בענן. זה גם נותן לך נרטיב ברור עבור דירקטוריונים ולקוחות שרוצים להבין את מקומך בשרשרת האחריות המשותפת.



מודל אחריות משותפת מעשי עבור פלטפורמות ענן של MSP

מודל אחריות משותפת מעשי עבור פלטפורמות ענן של MSP הוא קבוצה של מטריצות ברורות המראות מי עושה מה על פני הספק, ה-MSP והלקוח עבור כל שירות. תחת A.5.23, מטריצות אלו הופכות את רעיון האחריות המשותפת למשהו שניתן להפעיל, ללמד ולבקר.

רוב ספקי הענן הציבורי מתארים חלוקה פשוטה: הם מאבטחים את התשתית; אתם מאבטחים את מה שאתם בונים עליה. דפוס זה מתועד בהסברים על מודל אחריות משותפת מספקים גדולים כמו AWS, Azure ו-Google Cloud, והוא הפך לבסיס נפוץ לתכנון בקרת ענן. עבור ספקי שירותי ניהול ענן (MSPs), זוהי רק נקודת ההתחלה. אתם זקוקים למודלים המשקפים את הפלטפורמות הספציפיות בהן אתם משתמשים, את השירותים שאתם מציעים ואת האופן שבו הצוותים שלכם פועלים בפועל.

מעבר ל"אחריות משותפת" גנרית

מעבר לתוויות גנריות של "אחריות משותפת" פירושו החלפת הצהרות מעורפלות במשימות ספציפיות בעלות שם שאנשים וצוותים מבינים. A.5.23 מתגמל בהירות זו מכיוון שמבקרים ולקוחות יכולים לראות מי אחראי לפעולות אמיתיות, ולא רק למושגים מופשטים.

תוויות גנריות של "אחריות משותפת" מסתירות סיכונים אמיתיים. כדי להתגבר עליהם, עליכם לשקול:

  • הפלטפורמות הספציפיות שבהן אתם משתמשים (לדוגמה, תשתית כשירות, תוכנה כשירות, כלי אבטחה מנוהלים).
  • השירותים הספציפיים שאתם מציעים (לדוגמה, גיבוי מנוהל, SOC מנוהל, סביבת עבודה מודרנית מנוהלת).
  • אופן הפעולה בפועל של הצוות שלך (לדוגמה, שימוש באוטומציה, ניטור מרכזי, חלונות תחזוקה).

עבור כל שילוב של פלטפורמה ושירות, מטריצת אחריות צריכה להגדיר את תחומי האחריות בפירוט מספיק כדי שאנשים יוכלו לפעול. משמעות הדבר היא לציין מי מאפשר רישום, מי בודק שחזורים, מי מטפל בבקשות גישה למידע ומי מוביל את תקשורת האירועים, במקום פשוט לציין "משותף".

נקיטת צעד נוסף זה תומכת גם בבקרות קשורות, כגון ניהול אירועים ואבטחת תפעול, מכיוון שכולם יכולים לראות היכן מתחיל ומסתיים תפקידם.

בניית מטריצות האחריות שלך

מבנה נכון של מטריצות האחריות פירושו שימוש במערך עקבי המשקף את האופן שבו המהנדסים ומנהלי השירות שלכם חושבים, ועדיין להיות מפורט מספיק כדי להנחות את הפעולה. מבנה פשוט, שחוזר על עצמו בכל השירותים, מקל הרבה יותר על ההדרכה והסקירה.

מטריצה ​​מעשית לכל שירות עשויה לכסות תחומים כגון:

  • ניהול זהות וגישה: – מי יוצר ומבטל חשבונות, מנהל תפקידים ובודק גישה.
  • תצורה והקשחה: – מי מיישם קווי בסיס, מטפל בעדכוני אבטחה ובודק סטיות תצורה.
  • רישום וניטור: – מי מפעיל יומני רישום, מאחסן אותם, בודק התראות ומגיב לאירועים.
  • גיבוי ושחזור: – מי מגדיר גיבויים, בודק שחזורים ומאמת יעדי שחזור.
  • הגנה על נתונים ופרטיות: – מי מסווג נתונים, מיישם כללי שמירת נתונים ומנהל את זכויות הנבדקים.
  • המשכיות ויציאה: – מי אחראי על דפוסי חוסן, מעבר לגיבוי וייצוא או מחיקה של נתונים בסוף חוזה.

עבור כל שורה, המטריצה ​​צריכה לסמן בבירור את האחריות: ספק, MSP, לקוח או משותפת עם משימות ספציפיות שהוקצו. כמו כן, עליכם לוודא שכל מטריצה ​​מבוקרת גרסאות ונבדקת כאשר שירותים, פלטפורמות או חוזים משתנים, כך שהיא תישאר מדויקת לאורך זמן.

דוגמה פשוטה לגיבוי מנוהל בפלטפורמת ענן ציבורי עשויה להיראות כך:

תְחוּם אחריות ספק / MSP / לקוח
תצורת גיבוי הספק מציע תכונה; **MSP** מגדיר מדיניות; היקף ביקורות לקוחות
שחזור בדיקות **MSP** מבצע שחזורי בדיקות תקופתיים; הלקוח מאמת את שלמות הנתונים
הגדרות שמירה הספק אוכף מגבלות; **MSP** קובע שמירה; הלקוח מאשר את המדיניות

לאחר מכן ניתן לעשות שימוש חוזר במטריצות אלו בקרב לקוחות המשתמשים באותו דפוס שירות, תוך התאמה רק במקומות שבהם באמת נחוץ.

קישור המודל למערכת ה-ISMS וללקוחות שלך

קישור מודל האחריות המשותפת למערכת ה-ISMS וללקוחות שלכם מבטיח שהוא ישפיע על החלטות החל משלב טרום המכירה ועד ליציאה מהמערכת, במקום לשבת בבידוד. ככל שתחברו אותו יותר, כך הוא יהפוך לשימושי ואמין יותר.

לאחר שהגדרתם את המודלים הללו, חברו אותם:

  • באופן פנימי, על ידי התייחסות אליהם במדיניות, נהלים, ספרי ריצה והדרכות.
  • מבחינה מסחרית, על ידי התאמת תיאורי השירות, ההצעות והסכמי ה-SLA שלך לאחריות שקבעת.
  • עם לקוחות, על ידי שיתוף תצוגות או דיאגרמות פשוטות במהלך הקליטה, כך שהציפיות ברורות מהיום הראשון.

כאשר מבקר שואל כיצד אתם מנהלים את האחריות המשותפת לפי A.5.23, תוכלו להצביע על מטריצות אלו, הקישורים שלהן למערכת ה-ISMS שלכם ודוגמאות כיצד הן הנחו החלטות אמיתיות. כאשר לקוח כמו מנהל מערכות מידע או ראש מחלקת IT שואל "למי שייכת הבקרה הזו?", יש לכם תשובה עקבית ברחבי העסק. פלטפורמה מרכזית כמו ISMS.online יכולה להכיל את המטריצות הללו לצד סיכונים, בקרות וחוזים כך שקל לתחזק אותן ולהוכיח אותן.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


תכנון תהליכי מחזור חיים של שירותי ענן עבור A.5.23

תהליכי מחזור חיים של שירותי ענן הם הדרך להוכיח ש-A.5.23 הוא יותר מהצהרת מדיניות: הם מראים שאתה בוחר, מפעיל ומוציא משימוש שירותי ענן בצורה מבוקרת וחוזרת על עצמה. עבור MSP, המטרה היא לשלב שלבי מחזור חיים של ענן בתהליכי ISMS הקיימים שלך, לא ליצור ביורוקרטיה נפרדת.

סעיף A.5.23 מצפה שתדגים ששירותי ענן פועלים לפי שלבים מוגדרים מהרעיון ועד ליציאה, כאשר אבטחה ואחריות משותפת נלקחות בחשבון בכל שלב. דבר זה תואם באופן הדוק את נוסח הבקרה עצמה סביב "רכישה, שימוש, ניהול ויציאה" של שירותי ענן בהתאם לדרישות אבטחת המידע, ועם מודלים נפוצים של מחזור חיים המשמשים בתקן ISO 27001 ובהנחיות לתקני ענן כגון פרשנות ISO 27001 A.5.23. דבר זה תואם באופן טבעי את סעיפי ISO 27001 בנושא טיפול בסיכונים, תכנון תפעולי, ניהול שינויים וניהול ספקים.

הגדרת מחזור חיים של שירותי ענן שאנשים יכולים לעקוב אחריו

הגדרת מחזור חיים של שירות ענן שאנשים יכולים לעקוב אחריו פירושה הפיכת A.5.23 לקבוצה קטנה של שלבים חוזרים שמתאימים לשיטות העבודה הקיימות שלכם. מחזור החיים צריך להיות פשוט מספיק כדי שבעלי מוצר, מהנדסים וצוותי רכש יוכלו ליישם אותו ללא ידע מקצועי. שני שלישים מהארגונים שהשתתפו בסקר מצב אבטחת המידע ISMS.online לשנת 2025 אומרים שהמהירות והיקף השינויים הרגולטוריים מקשים על קיום תאימות.

מחזור חיים טיפוסי עבור שירותי ענן משמעותיים עשוי לכלול שלבים כגון:

  1. רעיון והערכה – מישהו מציע שירות ענן חדש או דרך חדשה להשתמש בשירות קיים. אתם בוחנים אותו מבחינת ערך עסקי, אבטחה והתאמה לתקנות.
  2. בחירה ובדיקת נאותות – אתם בודקים אישורים, מיקומי נתונים, תנאי חוזים ויכולות תמיכה, ומשווים אפשרויות.
  3. עיצוב וקליטה – אתם מחליטים כיצד השירות יוגדר, יוטמע וינוטר, ומי יהיה הבעלים שלו.
  4. תפעול ושינוי – אתם מפעילים את השירות, בודקים יומני רישום ומדדים, מטפלים בשינויים ובאירועים, ושומרים על התצורה תואמת לסטנדרטים שלכם.
  5. סקירה וחידוש – אתם בודקים מעת לעת האם השירות עדיין עונה על הצרכים, האם הסיכונים מקובלים והאם יש צורך בשיפורים.
  6. יציאה או החלפה – אם תבטל או תחליף את השירות, אתה תטפל בייצוא נתונים, מחיקה ותקשורת עם הלקוחות.

שלבים אלה הופכים החלטות בנוגע לשירותי ענן לחוזרות במקום להיות אד-הוק. עבור כל אחד מהם, הגדירו את הפעולות, האישורים והרישומים המינימליים שאתם מצפים להם. זה עשוי לכלול הערכות סיכונים, רשימות בדיקת נאותות, קווי בסיס של תצורה, רישומי שינויים ואישורי יציאה, כולם תואמים למערכת ה-ISMS המרכזית שלכם.

כדי להפוך את זה לשימושי עוד יותר, ניתן לבטא את מחזור החיים כמערכת פשוטה של ​​צעדים שהצוותים צריכים לבצע.

שלב 1: לכידת הרעיון והקרנתו

לכוד וסנן כל רעיון לשירות ענן לפני שמישהו נרשם או משלב אותו, כך שתוכל לשקול ערך, סיכון והתאמה ל-ISMS שלך.

יש לתעד את שירות הענן המוצע, את מטרתו ואת הסיכונים הראשוניים שלו לפני שמישהו נרשם או מבצע אינטגרציה אליו.

שלב 2: השלמת בדיקת נאותות ותכנון

בדיקת נאותות ותכנון מלאים לפני אימוץ שירות ענן, כך שתצורה, ניטור ואחריות מוגדרים במקום להיות מאולתרים.

בדקו את הבטחת הביצועים, החוזים וטיפול בנתונים, ולאחר מכן הגדירו תצורה, ניטור ואחריות משותפת.

שלב 3: עלייה למטוס, תפעול ותכנון יציאה

הטמעה, תפעול ותכנון יציאה באופן מובנה, כך שתוכלו להוכיח כיצד השירות נשלט לאורך כל חייו.

הטמיעו את השירות בהתאם לקו הבסיס שלכם, עקבו אחריו ותעדו כיצד תסיימו או תחליפו בבטחה.

הטמעת בקרות מחזור חיים באופן העבודה שלך

הטמעת בקרות מחזור חיים באופן העבודה שלכם פירושה שילובן בתהליכים ובכלים שכבר משתמשים בהם הצוותים שלכם. כאשר מחזור החיים הוא נתיב ברירת המחדל, תאימות לתקן A.5.23 הופכת להרבה יותר קלה לשמירה.

לשקול:

  • יישורו לתהליכי עבודה של רכש, כך שלא ניתן יהיה לחתום על חוזים עד שיבדקו דרישות האבטחה, הפרטיות והתפעול.
  • קישור זה לתהליך הצגת השירות שלך, כך שהיצע חדש או שינויים משמעותיים יעברו דרך שערי מחזור החיים של הענן.
  • שילוב משימות מחזור חיים במערכות הכרטיסים והשינויים שלכם, לא רק במסמכי ענן נפרדים.

על ידי חיבור שלבי מחזור החיים לתהליכים מבוססים כגון ניהול שינויים וניהול ספקים, אתם מפחיתים חיכוכים ומשפרים את האימוץ. אנשים עוקבים אחר מחזור החיים משום שזוהי דרך ההתנגדות הפחותה, לא משום שנאמר להם לקרוא מדיניות אחרת.

הכנת ראיות לביקורת מחזור חיים

הכנת ראיות מחזור חיים לביקורת פירושה היכולת להציג מספר דוגמאות מלאות המדגימות את אותה היגיון המיושם על שירותים שונים. מבקרים רוצים לראות דפוסים, לא הצלחות חד פעמיות.

עבור כל דוגמה, שאפו להדגים:

  • מדוע נבחר השירות, בהתבסס על הסיכון והדרישות.
  • כיצד הוגדרו תחומי אחריות, באמצעות מודל האחריות המשותפת שלכם.
  • אילו בקרות יושמו בעת הקליטה, כולל קווי בסיס ודפוסי גישה.
  • כיצד השירות מנוטר ונבדק, עם דוגמאות לשינויים או שיפורים.
  • כיצד יטופלו נתונים וגישה בעת היציאה, גם אם יציאה זו טרם התרחשה.

אם תצליחו לייצר ראיות אלו ללא טרחה גדולה, A.5.23 ירגיש כמו טבועה במקום להיות מחוברת. מערכת כמו ISMS.online יכולה לעזור על ידי קישור שירותים, סיכונים, אחריות, שינויים ורישומי יציאה במקום אחד, כך שלא תצטרכו להרכיב את התמונה מאפס בכל פעם שמישהו שואל.



בקרות טכניות מרובות דיירים: יישום אמצעי הגנה עקביים

בקרות טכניות מרובות דיירים הן הביטוי המעשי של החלטות ניהול ענן A.5.23 שלך בעבודות ההנדסה היומיומיות. הן מתרגמות מודלים של אחריות משותפת ותהליכי מחזור חיים לקווי בסיס קונקרטיים המגנים על לקוחות רבים בו זמנית.

כאשר אתם מנהלים מספר דיירים בפלטפורמות משותפות, A.5.23 מצפה מכם לנקוט בגישה פרואקטיבית וסטנדרטית בנוגע לזהות, תצורה, רישום, גיבוי ובידוד. בדרך זו תוכלו להראות שאמצעי הבטיחות הטכניים שלכם תואמים את האחריות שקיבלתם ואת ההתחייבויות שאתם מתחייבים ללקוחות.

למה קווי בסיס מרובי דיירים חשובים

קווי בסיס מרובי דיירים חשובים משום שחולשות קטנות יכולות להיות בעלות השלכות גדולות על לקוחות רבים בו זמנית. תפקיד יחיד מתירני מדי, עדכון שהוחמצ או גיבוי שלא נבדק עלולים לפגוע ברמת אבטחת הענן הכוללת שלך. מסגרות אבטחת ענן והנחיות לאומיות, כגון דיונים על סיכונים מרובי דיירים בקטלוגי בקרה ואוספי אבטחת ענן ממרכזי אבטחת סייבר לאומיים, מדגישות באופן עקבי ניהול זהויות, תיקונים וגיבוי כתחומי סיכון מערכתיים שיכולים להתרחב במהירות על פני דיירים כאשר הם נכשלים. רוב הארגונים בסקר ISMS.online לשנת 2025 דיווחו כי הושפעו מלפחות אירוע אבטחה אחד הקשור לצד שלישי או לספק בשנה האחרונה.

בסביבת MSP, חשבון מנהל אחד עם הרשאות יתר, פעולה קריטית שלא נרשמה או תהליך גיבוי שלא נבדק יכולים להשפיע על עשרות לקוחות באירוע אחד. תקן A.5.23 מצפה מכם לנהל את הסיכונים הללו באופן שיטתי, לא באופן ריאקטיבי, ולהראות כיצד הבקרות שלכם חלות על פני שירותי הענן שאתם משתמשים בהם ומספקים. קווי בסיס עקביים מגדירים את הבקרות המינימליות הקיימות עבור כל לקוח המשתמש בפלטפורמה או שירות נתון ומעניקים למבקרים וללקוחות ביטחון שאתם לא ממציאים מחדש את האבטחה בכל פעם.

מנקודת מבט של מנהיגות, קווי בסיס אלה מספקים גם קומת ביטחון: אתם יכולים להראות לדירקטוריונים וללקוחות שאמצעי הבטיחות הטכניים תואמים את ההחלטות הממשלתיות והחוזיות שכבר קיבלתם.

נושאים טכניים מרכזיים לתקינה

נושאים טכניים מרכזיים לתקינה הם התחומים שבהם אמצעי הגנה עקביים מפחיתים את הסבירות לבעיות בין-דיירים ומעניקים למהנדסים נקודת התחלה ברורה בכל פלטפורמה.

בעוד שהפרטים משתנים בהתאם לפלטפורמה, רוב ספקי שירותי ניהול הרשת (MSP) מרוויחים מסטנדרטיזציה של לפחות הנושאים הבאים. פעולה זו מקלה על ראש האבטחה, ראש התפעול וצוותי ההנדסה שלכם לשאוב את אותו כיוון.

  • ניהול זהות וגישה: – גישה מבוססת תפקידים, מינימום הרשאות, הפרדת תפקידים, העלאה מוגבלת בזמן לפעולות בסיכון גבוה ויציאה חזקה מהצוות.
  • תצורה והקשחה: – תבניות בסיס לפילוח רשת, הצפנה, הגנות על נקודות קצה, מדיניות תיקון ומתן שמות למשאבים.
  • רישום וניטור: – תצורות רישום עקביות, צבירת רישום מרכזית, כללי התראות מוגדרים וספרי מנגנון תגובה מתועדים.
  • גיבוי ושחזור: – לוחות זמנים סטנדרטיים לגיבוי, שמירה, הצפנה, שגרות בדיקות שחזור ותיעוד יעדי שחזור הלקוח.
  • בידוד ושכירות: – דפוסים להפרדת דיירים ברשת, שכבות הזהות והנתונים, ובדיקות כדי לוודא שהבידוד מתקיים.

כל בסיס צריך לציין בבירור מה הספק מספק, מה אתם מגדירים ומתחזקים, ומה אתם מצפים מהלקוחות לעשות. יחד, נושאים אלה הופכים לעמוד השדרה הטכני של יישום A.5.23 שלכם.

לאחר שתגדירו את הנושאים הללו, השלב הבא הוא להטמיע אותם במקום בו גרים המהנדסים: תבניות, סקריפטים, תשתית כקוד, כלי ניהול מרכזיים וספרי משחק מתועדים.

חיבור בקרות טכניות ל-A.5.23 ואילך

חיבור בקרות טכניות ל-A.5.23 ולבקרות קשורות מבטיח שהממשל, ההתחייבויות המשפטיות ונהלי ההנדסה שלכם יתמכו זה בזה ולא יתפרקו. יישור זה הופך את המערכת הכוללת שלכם לקלה יותר להסבר ולהגנה.

זה אומר:

  • מיפוי כל רכיב בסיסי למטריצות האחריות המשותפת שלכם, כך שהבקרות הטכניות יתאימו לאחריות שהקצתם.
  • וידוא שסטנדרטים בסיסיים הם חלק ממחזור החיים של שירות הענן שלך, כך שהם מיושמים בעת הקליטה וייבחנו מחדש במהלך סקירות.
  • קישור נושאים כגון גישה, רישום וגיבוי לבקרות של נספח א' בנושא בקרת גישה, אבטחת תפעול, ניהול אירועים והמשכיות עסקית.

יישור זה הופך את מערכת הבקרה הכוללת שלכם לקוהרנטית. משמעות הדבר היא גם שכאשר A.5.23 נדון במהלך ביקורות או סקירות לקוחות, אתם מוכנים להציג לא רק מדיניות, אלא גם אמצעי הגנה טכניים פעילים התואמים את קומת הממשל שלכם. אם אתם מנהלים את קווי הבסיס הללו במערכת מרכזית כמו ISMS.online, תוכלו להדגים את החיבור משירות ענן, להערכת הסיכונים שלו, לבקרות הטכניות שלו, בכמה לחיצות.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


חוזים, הסכמי רמת שירות ותניות למעבד משנה שעומדות במבחן ביקורת

חוזים, הסכמי רמת שירות וסעיפי מעבדי משנה הם המקום שבו החלטות ניהול הענן שלך במסגרת A.5.23 הופכות להבטחות מחייבות מבחינה משפטית. הבקרה מצפה שההסכמים שלך עם ספקים, מעבדי משנה ולקוחות ישקפו את האחריות המשותפת, מחזור החיים והבחירות הטכניות שביצעת, ולא יסתרו אותם.

סעיף A.5.23 אינו דורש ממך לכתוב חוזים בצורה מסוימת, אך מבקרים ולקוחות יבדקו האם ההתחייבויות המשפטיות שלך והמציאות הטכנית שלך תואמות. הנחיות מבוססות עקרונות בנוגע לסעיף A.5.23 ובקרות ענן קשורות מדגישות באופן שגרתי את החשיבות של התאמת הבטחות חוזיות לבקרות בפועל ולמודלים של אחריות משותפת, מכיוון שחוסר התאמה הוא המקום שבו מתעוררות ממצאי ביקורת רבים וסכסוכים.

סעיף A.5.23 אינו דורש ממך לכתוב חוזים בצורה מסוימת, אך מבקרים ולקוחות יבדקו האם ההתחייבויות המשפטיות שלך והמציאות הטכנית שלך תואמות. אם הן לא עושות זאת, הבקרה הופכת למקור לסיכון ולממצאים.

הפיכת האחריות והציפיות למפורשות בחוזים ובהסכמי רמת שירות (SLA) משמעה תרגום מטריצות האחריות הפנימיות שלכם לניסוח ברור ויציב שכל אנשי המקצוע המשפטיים, המכירות והלקוחות יוכלו להבין. A.5.23 קל הרבה יותר להוכחה כאשר מסמכים אלה תואמים את אופן הפעולה בפועל.

חוזים והסכמי רמת שירות (SLA) הם הגורמים לחוסר הבנות הופכים לסכסוכים, במיוחד כאשר מדובר בשירותי ענן. כדי לתמוך ב-A.5.23, ההסכמים שלכם צריכים:

  • תאר את השירותים בצורה ברורה, כולל כל הסתמכות על פלטפורמות ענן של צד שלישי.
  • קבעו את התחייבויות האבטחה והגנת המידע בפירוט מספיק כדי שיהיו משמעותיות, מבלי להבטיח מה שאינכם יכולים לקיים.
  • הסבר מי אחראי על אילו היבטים של זיהוי אירועים, תגובה ותקשורת.
  • הבהירו מה קורה בסוף החוזה, כולל ייצוא או מחיקה של נתונים וכל תמיכה במעבר.

במידת האפשר, יש להתאים את השפה הזו ישירות לתחומים במטריצות האחריות המשותפת שלכם, כך שיהיה קו ברור בין המודל לניסוח. זה גם עוזר לעמוד בדרישות ISO 27001 הקשורות להתחייבויות משפטיות, רגולטוריות וחוזיות.

ברגע שתחומי האחריות מפורשים הן במטריצות והן בחוזים, לצוותים שלכם יש פחות מקום לפרשנויות סותרות כאשר מתעוררות אירועים או דרישות מורכבות של לקוחות.

התאמת המציאות הטכנית להתחייבויות משפטיות

התאמת המציאות הטכנית להתחייבויות משפטיות פירושה בדיקה שההבטחות שלכם בחוזים ניתנות להשגה בעזרת הכלים, התהליכים וקווי הבסיס הנוכחיים שלכם. זה מפחית את הסיכון שלקוחות או מבקרים יגלו פערים בין המילים לפרקטיקה. רק כ-29% מהארגונים בסקר ISMS.online לשנת 2025 אמרו שלא קיבלו קנסות בגין כשלים בהגנה על נתונים, כאשר הרוב דיווחו על קנסות וחלקם עומדים בפני קנסות מעל 250,000 ליש"ט.

קל לסעיפים משפטיים להתרחק מהמציאות הטכנית עם הזמן. אולי תבנית מבטיחה הודעה מהירה מאוד על אירועים, אבל תהליכי הניטור וההסלמה שלכם מקשים על כך בפועל. או שהסכם רמת שירות (SLA) מתחייב ליעדי שחזור שאינם תואמים את תכניות הגיבוי.

כדי להימנע מכך, סקרו את החוזים והסכמי רמת השירות שלכם במשותף בתחומי המשפט, האבטחה, התפעול וניהול החשבונות. שאלו:

  • האם נוכל לעמוד באופן עקבי בהתחייבויות שאנו מתחייבים להן, בהתחשב בניטור הנוכחי שלנו, בשעות התמיכה ובקווי הבסיס הטכניים?
  • האם ישנם תחומים שבהם עלינו להשקיע בבקרות או בכלים טובים יותר כדי לכבד אותם?
  • האם ישנן התחייבויות שצריכות להיות מוטלות על הלקוח או הספק, ולהיות מועברות ככאלה?

כאשר ההתחייבויות המשפטיות והיכולות הטכניות שלכם מתואמות, A.5.23 הופך להיות קל יותר להוכחה ופחות מסוכן לחיות איתו. אתם גם מפחיתים את הסבירות להפתעות עבור לקוחות, רגולטורים או רואי חשבון שיחפרו לפרטים מאחורי ההבטחות שלכם.

שילוב ניהול בהסכמים שלכם

שילוב ממשל בהסכמים שלכם פירושו שימוש בשפת חוזים כדי לחזק את האופן שבו אתם רוצים שספקים ולקוחות יתנהגו, ולא רק תיעוד שירותים ומחירים. זה יכול להפוך את האחריות המשותפת וחשיבה על מחזור החיים לחלק ממערכת היחסים היומיומית.

זה עשוי לכלול:

  • זכויות לקבל או לעיין באישורי הספק, כגון אישורים מעודכנים או דוחות עצמאיים.
  • ציפיות בנוגע להשתתפות בתרגילי אירוע משותפים או תרגילי המשכיות.
  • חובות להודיע ​​על שינויים משמעותיים בשירות או במיקום.
  • דרישות לעמוד בתהליכי יציאה מוסכמים, כולל לוחות זמנים ושיתוף פעולה.

על ידי שילובם של אלה בחוזים שלכם, אתם מבטיחים שממשל גופי אינו רק עניין פנימי. הוא הופך לחלק מהאופן שבו אתם, הספקים שלכם והלקוחות שלכם עובדים יחד לאורך חיי השירות. כאשר מבקרים בודקים את A.5.23, הם יכולים לראות שמחזור החיים והאחריות המשותפת משתקפים באופן עקבי בהסכמים שלכם, לא רק במדיניות שלכם.



הזמן הדגמה עם ISMS.online עוד היום

הזמנת הדגמה עם ISMS.online היא דרך מעשית לראות כיצד ספק שירותי הענן שלכם יכול להביא לשליטה בניהול ענן A.5.23 מבלי להוסיף מורכבות נוספת לצוותים שלכם. במקום אחד, תוכלו לראות כיצד שירותי ענן, סיכונים, אחריות, שלבי מחזור חיים וראיות מתחברים, כך שתהיו מוכנים לביקורות, שאלות לקוחות וסקירות דירקטוריון.

אתם מביאים שליטה על ניהול ענן A.5.23 כאשר אתם מחליפים מסמכים מפוזרים והחלטות אד-הוק במערכת אחת וקוהרנטית המקשרת שירותים, סיכונים, אחריות, שלבי מחזור חיים וראיות. עבור ספקי שירותי ניהול מערכות (MSPs) רבים, שימוש בפלטפורמת ISMS ייעודית כמו ISMS.online יכול להיות דרך מעשית להשיג איחוד זה מבלי להוסיף מורכבות נוספת.

ISMS.online עוזר לך להפוך את תחומי האחריות שלך לניהול ענן לפי A.5.23 למערכת אחת ומחוברת המחברת מלאי ענן, מודלים של אחריות משותפת, זרימות עבודה במחזור החיים, חוזים וראיות. במקום לרדוף אחר מסמכים על פני כוננים, קונסולות ותיבות דואר נכנס, תוכל לראות כיצד שירותי ענן נשלטים וכיצד תחומי האחריות מנוהלים במקום אחד.

עבור ספקי שירותי ניהול סיכונים (MSPs), משמעות הדבר היא שתוכלו להציג למבקרים, דירקטוריונים וללקוחות נרטיב ברור וקוהרנטי יותר: אילו שירותי ענן אתם משתמשים, כיצד משותפים את האחריות, אילו בקרות קיימות וכיצד הסדרים אלה משתנים עם הזמן. צופים בכלים של ממשל, סיכונים ותאימות (GRC) מציינים לעתים קרובות שפלטפורמות מרכזיות הופכות נרטיב מסוג זה לקל יותר להרכבה ולשמירה על עקביות, משום שהן מאחדות סיכונים, בקרות וראיות בסביבה אחת. אתם נשארים בשליטה על ההחלטות; הפלטפורמה עוזרת לכם להוכיח את השליטה הזו, באופן עקבי, ככל שהעסק שלכם גדל והסטנדרטים מתפתחים.

ראה את אחסון הענן שלך בתצוגה אחת

ראיית אחסון הענן שלכם בתצוגה אחת מקלה על CISO, ראשי התפעול וצוותים הפונים ללקוחות לענות על שאלות קשות ללא חיכוכים. A.5.23 הופך פחות לתרגיל תאימות ויותר לדרך פשוטה לתאר כיצד אתם באמת עובדים.

כאשר אתם מרכזים את ניהול הענן שלכם בפלטפורמת ISMS, אתם נותנים לעצמכם ולצוות שלכם נקודת ייחוס אחת עבור A.5.23. אתם יכולים:

  • ניהול רישום פעיל של שירותי ענן פנימיים ופונים ללקוחות.
  • קשר כל שירות לסיכונים, בקרות, מטריצות אחריות ושלבי מחזור חיים.
  • צרף חוזים, בדיקת נאותות, רישומי שינויים וראיות יציאה ישירות לשירותים אליהם הם מתייחסים.

יחד, יכולות אלו מקלות מאוד על מענה לשאלות של מבקרים, ביקורות אבטחה של לקוחות ומקבלי החלטות פנימיים שרוצים להבין כיצד מנוהל הענן. אינכם מסתמכים עוד על זיכרון או על גיליונות אלקטרוניים נפרדים כדי לספר את קומת הענן שלכם.

קח את הצעד הבא בביטחון

אם אתם מזהים את האתגרים המתוארים כאן מול ספק שירותי אבטחת המידע (MSP) שלכם - אחריות מטושטשת, ראיות מפוזרות, לחץ גובר מצד לקוחות ומבקרים - בחינת פלטפורמה כמו ISMS.online בהדגמה קצרה וממוקדת היא צעד מעשי הבא. למרות הלחץ הגובר, כמעט כל המשיבים בסקר מצב אבטחת המידע לשנת 2025 רשמו השגת או שמירה על אישורי אבטחה כגון ISO 27001 או SOC 2 כעדיפות עליונה.

תוכלו לראות כיצד זה תומך בכלים ובדרכי העבודה הקיימים שלכם, תוך מתן המבנה ש-A.5.23 מצפה לו.

בחרו ב-ISMS.online כשאתם רוצים מקום אחד לאחסון רישום שירותי הענן שלכם, תחומי אחריות, סיכונים וראיות, כך שתוכלו להראות, ולא רק לטעון, ש-A.5.23 נמצא תחת שליטה. אם אתם מעריכים ניהול ברור, ביקורות חלקות יותר ועמדה חזקה יותר עבור לקוחות ודירקטוריונים, הצוות שלנו מוכן לעזור לכם לראות איך זה נראה בסביבה שלכם.

הזמן הדגמה


שאלות נפוצות

מה באמת מצפה תקן ISO 27001:2022 A.5.23 מ-MSP המשתמש בשירותי ענן?

תקן ISO 27001:2022 A.5.23 מצפה מ-MSP שלך לנהל באופן פעיל את מחזור החיים המלא של כל שירות ענן עליו אתה מסתמך, לא רק לאסוף אישורי ספק ולקוות לטוב. עליכם להיות מסוגלים להראות, במהירות ובעקביות, במה אתם משתמשים, מדוע אתם משתמשים בו, מה יכול להשתבש, למי שייכים אילו בקרות, וכיצד הייתם יוצאים מבלי לאבד נתונים או שירות.

כיצד נראות ראיות "טובות" במסגרת A.5.23 עבור חבר מועצת ביטחון?

רואי חשבון ולקוחות פעילים בדרך כלל מחפשים אחר צרור קטן וקוהרנטי של ראיות, לא ארכיון ענק. עבור חבר מועצת ביטחון, מערך הליבה כולל בדרך כלל:

  • ברור שימוש בענן / מדיניות אבטחת ענן

זה מגדיר מה נחשב "ענן" בעולם שלך (IaaS, SaaS, PaaS, שירותי אבטחה מנוהלים), מי יכול לאשר שירותים חדשים, ואת הציפיות המינימליות שלך לתצורה, ניטור ויציאה.

  • A רישום שירותי ענן שמכסה:
  • כלים פנימיים (RMM, PSA, מכירת כרטיסים, חיוב, CRM, ניטור, העברת קבצים מאובטחת); ו-
  • שירותים הפונים ללקוחות (פלטפורמות IaaS, Microsoft 365 וחבילות SaaS אחרות, גיבוי/DR, SOC/XDR, חומות אש מנוהלות ו-WAFs).
  • הערכות סיכונים וטיפולים ספציפיים לענן:

אלה צריכים להדגיש חשיפה לניהול מערכות מרובות משתמשים, תפקידים חזקים בין משתמשים, נוכחות נתונים, נעילת ספקים, תלויות ב-API וניהול מפתחות. הסיכונים צריכים להיות קשורים לבקרות אמיתיות ולפעולות שיפור.

  • רישומי בדיקת נאותות: עבור ספקים מרכזיים ומעבדי משנה

בדרך כלל זה כולל סיכומי אבטחה, אישורים (לדוגמה ISO 27001, SOC 2), הסכמי הגנה על נתונים, היסטוריית זמן פעולה, היסטוריית פרצות ומגבלות או החרגות ידועות המשפיעות על העיצובים שלך.

  • מטריצות של אחריות משותפת:

עבור כל שירות עיקרי, הציגו מה עושה הספק, מה עושה ה-MSP שלכם ומה הלקוח חייב לעשות. השפה צריכה להיות קונקרטית מספיק כדי שמהנדס או לקוח יוכלו לראות את "המשימות שלי" ללא פגישה שנייה.

  • רשומות מחזור חיים של שירותי ענן:

ראיות לכך שבחירה, קליטה, תצורה, שינוי, סקירה תקופתית ויציאה מטופלים באופן מבוקר וחזרתי ולא באמצעות פניות אד-הוק.

אם אלמנטים אלה מחוברים וקלים לניווט, A.5.23 מרגיש תחת שליטה ואמין. שימוש ב-ISMS.online לשמירה על מדיניות, רישומי סיכונים, רישומי ספקים, מטריצות אחריות וראיות מחזור חיים בסביבת עבודה אחת של ISMS פירושו שאינכם צריכים לשחזר את אחסון הענן שלכם מחיפושים בתיבת הדואר הנכנס וצילומי מסך במסוף בכל פעם שרואה חשבון או לקוח מעלה את הסעיף.

כיצד צריך MSP לבנות מודל אחריות משותפת שמיש לענן תחת A.5.23?

אתה עומד בכוונת A.5.23 כאשר "אחריות משותפת" הופכת ל... מפה של משימות אמיתיות לפי שירות, לא סתם שקופית שיווקית שאומרת "גם לנו וגם לספק אכפת מאבטחה". כל מי שקורא אותה - מהנדס, איש מכירות, בודק חוזים או לקוח - אמור להיות מסוגל לראות בדיוק מה הבעלים שלו.

איך הופכים "אחריות משותפת" למשהו קונקרטי?

דפוס מעשי שעובד היטב עבור מנהלי שירותים ניידים (MSPs) הוא:

1. קטלוג שירותי הענן שלך לפי קטגוריה

התחל עם רשימה קצרה של דליים:

  • עומסי עבודה בענן ציבורי (IaaS/PaaS).
  • חבילות פרודוקטיביות SaaS (Microsoft 365, Google Workspace ודומיהן).
  • שירותי גיבוי והתאוששות מאסון מנוהלים.
  • שירותי SOC/XDR מנוהלים וזיהוי איומים.
  • כלים מבוססי ענן חוזרים אחרים שאתם מסתמכים עליהם כדי לנהל את העסק שלכם או לספק שירותים.

רשימה זו בדרך כלל משקפת את הערכים ברישום שירותי הענן שלך, מה שמקל על האיזון בין הדברים.

2. בחר קבוצה משותפת של דומייני אבטחה

בחר קבוצה קטנה של דומיינים שרלוונטיים לרוב השירותים שלך, כגון:

  • ניהול זהויות וגישה.
  • תצורה בסיסית והקשחה.
  • רישום, ניטור והתראות.
  • שגרות גיבוי, שחזור ובדיקה.
  • הצפנה וניהול מפתחות.
  • זיהוי אירועים, מיון ותגובה.
  • ניהול שינויים ואישורים.
  • שמירת נתונים, מיקום וסילוקם.

היצמדות לסט סטנדרטי מקלה על ההבנה והשימוש החוזר במודל בין שירותים.

3. הקצאת בעלות לכל דומיין, לכל שירות

עבור כל שירות וכל תחום אבטחה, החליטו מי מבצע את העבודה בפועל:

  • ספק ענן: – חוסן תשתית, אבטחה פיזית, רוב תיקוני הפלטפורמה הבסיסיים, כמה אפשרויות אחסון יומני רישום.
  • ספק השירות הניהולי שלך: – קווי בסיס של תצורת דיירים, ניתוב התראות, לוחות זמנים של גיבויים, בדיקות שחזור, מיון אירועים, דיווח לקוחות.
  • לָקוּחַ: – התנהגות משתמשים, שימוש מקובל, סיווג נתונים, אישור גישה, החלטות בנוגע למחזור חיי התוכן.

כאשר האחריות משותפת, רשמו את החלוקה כך: משימות ספציפיות, לא תוויות מעורפלות של "מפרקים". לדוגמה:

  • "הלקוח מאשר את תקופת השמירה; ספק שירותי ניהול שירותים (MSP) מיישם ובודק את התצורה מדי רבעון."
  • "MSP בודק התראות אבטחה; הספק מטפל בתגובה לאירועים ברמת הפלטפורמה."

4. הטמעת המודל בפעילות היומיומית

מטריצת אחריות חשובה רק אם היא מופיעה במקום העבודה של אנשים. ודא שאתה:

  • הפניה אליו ב ספרי ריצה וספרי משחק, כך שמהנדסים יוכלו לראות מה לעשות במהלך אירועים ושינויים.
  • ישר תיאורי שירות סטנדרטיים ו-SoWs איתו, כך שמכירות לא מבטיחות משימות שאתם לא מבצעים.
  • שיקפו את זה ב חוזים והסכמי רמת שירות, כך שהתחייבויות משפטיות תואמות את המציאות הטכנית ואת יכולות הספק במעלה הזרם.
  • כלול את זה ב חבילות קליטה, כך שלקוחות חדשים יבינו אילו פעולות נשארות אצלם ואילו נשארות אצלך.

תחזוקה מרכזית של מטריצות אלו ב-ISMS.online – המקושרות לשירותים ברישום הענן שלכם, רישומי סיכונים ורישומי ספקים – מאפשרת לכם לעדכן מטריצה ​​פעם אחת ולהפיץ את השינוי בספרי ריצה, בתיעוד ובראיות ביקורת. זה מקל הרבה יותר על הוכחת ש-A.5.23 עובד בפועל, לא רק במסמך מדיניות.

אילו סיכונים ספציפיים לענן מדגיש A.5.23 עבור ספקי שירותי ניהול שירותים (MSPs), והיכן הם נוטים להחליק?

עבור ספקי שירותי ניהול רשתות (MSP), A.5.23 עוסק פחות בסיפורים גנריים של "פריצות לענן" ויותר ב ציפיות לא מתואמות, חולשות תצורה ובקרת מחזור חיים לקויה בסביבות משותפות. בעיות נוטות להופיע במקומות שבהם הבטחות השיווק, יכולות הספק והתנהגויות הצוות אינן תואמות.

היכן חברי פרלמנט מוסלמי נתפסים בדרך כלל?

דפוסים שגורמים לצרות שוב ושוב כוללים:

הסתמכות יתר על הנחות אבטחה של ספקים

קל לדבר על "אבטחה מובנית" תוך הנחה שמשימות כמו בדיקות שחזור, סקירת יומנים, ציד איומים או הקשחה ברמת הדייר כלולות במנוי ענן. במציאות, רבות מהפעילויות הללו הן האחריות שלך כ-MSP, ולפעמים באופן חלקי של הלקוח שלך. כאשר הם אינם נלכדים במטריצות האחריות ובספרי הריצה שלך, הם לעיתים רחוקות מבוצעים באופן עקבי.

גישה מועדפת מוגזמת ומנוהלת בצורה גרועה

ספקי שירותי ניהול (MSP) מחזיקים לעיתים קרובות בתפקידים רבי עוצמה - חשבונות ניהול גלובליים, פורטלים של שותפים, זהויות שבירות - המשתרעות על פני דיירים רבים. אם הרשאות אלו חסרות אישור, רישום ובדיקה חזקים, אישורים בודדים שנפגעו או חשבון שנעשה בו שימוש לרעה עלולים להפוך לאירוע משמעותי של ריבוי דיירים. סעיף A.5.23 מצפה שתזהו את הסיכון הזה ברישומי הנכסים והסיכונים שלכם, ותציבו סביבו בקרות ברורות.

SaaS לא רשום או "צל"

צוותים מאמצים כלי SaaS המטפלים בנתונים רגישים או בנתונים של לקוחות - לתמיכה, שיתוף פעולה, פיתוח, מכירות או אוטומציה - מבלי להוסיף אותם למערכת ה-ISMS, לרישום הספקים או לתהליכי הסיכונים שלכם. שירותים אלה נופלים לאחר מכן מחוץ לתוכניות הניטור, התגובה לאירועים ותוכניות היציאה שלכם.

תוכניות יציאה חלשות או שלא נבדקו

ספקי שירותי ניהול שירותים (MSP) רבים חושבים על יציאה רק כאשר ספק מודיע על פרישה של מוצר, שינוי משמעותי במחיר או הפסקת פעילות. ללא תוכנית יציאה מתועדת - הכוללת ייצוא נתונים, הגירה, שמירת ראיות ותקשורת עם הלקוחות - אתם מאלתרים בנקודה שבה אתם זקוקים לשליטה הרבה ביותר.

הסכמי רמת שירות שמבטיחים יתר על המידה

חוזים לפעמים מחייבים אותך ליעדי שחזור, תקופות שמירה או פרטים ספציפיים לשמירת נתונים שהמערכת הבסיסית אינה יכולה להבטיח. כאשר עיצוב השירות, תכונות ספק הענן וניסוח החוזה אינם תואמים, אתה נושא בסיכון מיותר.

A.5.23 מספק לכם מסגרת להתמודדות שיטתית עם הבעיות הללו:

  • מלאי וסיווג שירותי ענן: כדי שתדעו היכן מתמקד הסיכון.
  • לְבַצֵעַ הערכות סיכונים ספציפיות לענן שמטפלים בבעיות של ריבוי דיירים, גישה פריבילגית ומצבי כשל של ספקים.
  • לתחזק מטריצות אחריות כך שמשימות מוקצות, מקבלות בעלות ונבדקות.
  • עדות שלבי מחזור החיים – מהקליטה ועד ליציאה – כדי שאנשים יוכלו לראות ששינויים, ביקורות ויציאות הם אירועים מבוקרים, לא תגובות.

כאשר ניתן לעקוב אחר סיכון - לדוגמה, גישה מוגזמת לפורטל שותפים - מהרישום שלכם ועד למטריצות האחריות, ולאחר מכן לשינוי רשומות ופעולות שיפור, לא רק שאתם עומדים בדרישות A.5.23; אתם גם מציגים סיכון ענן חזק בהרבה למבקרים וללקוחות.

כיצד יכול MSP לתעד את A.5.23 ב-ISMS שלו מבלי לעצב מחדש הכל?

בדרך כלל ניתן לכסות את A.5.23 על ידי הוספת שכבות של ניהול ספציפי לענן על גבי מערכות ה-ISMS הקיימות שלכם, במקום לבנות מבנה מקביל. המטרה היא שכל מי שמכיר את תקן ISO 27001 יוכל לעקוב אחר האופן שבו אתם בוחרים, שולטים ומוציאים משימוש שירותי ענן באותה קלות שבה הוא יכול לעקוב אחר נכסים או ספקים מסורתיים.

איך משלבים ניהול ענן במה שכבר קיים?

דפוס פשוט אך יעיל הוא להתחיל עם שלושה רכיבים מחוברים ולאחר מכן לחבר אותם למערכת ה-ISMS הקיימת שלך:

1. שימוש בענן / מדיניות אבטחת ענן

הרחב את מערך מדיניות אבטחת המידע הקיים שלך עם מסמך ממוקד אשר:

  • מגדיר מה נחשב לשירות ענן בהקשר שלך.
  • קובע ספי אישור (לדוגמה, מי יכול לאשר ספק חדש).
  • מציינת ציפיות לגבי בדיקת נאותות, קווי בסיס של תצורה, ניטור, טיפול באירועים ויציאה.

מדיניות זו הופכת לעוגן עבור נהלים ורשומות קשורים.

2. רישום שירותי ענן

צור רישום – לרוב רשימת נכסים או ספקים של ISMS.online – הכולל, לכל הפחות:

  • שם השירות וספק השירות.
  • בעלים פנימי.
  • מטרה עסקית.
  • סוגי נתונים שטופלו ומיקומי נתונים.
  • קריטיות והשפעת האובדן.
  • קישורים לחוזים, הסכמי הגנה על מידע, אישורים ומטריצות אחריות.

ניתן לשלב זאת עם מלאי הנכסים הקיים שלכם, כך ששירותי ענן לא יחיו ביקום נפרד.

3. מטריצות של אחריות משותפת

עבור השירותים החשובים ביותר, בנו ותחזקו מטריצות אחריות כפי שתואר קודם לכן. התמקדו בתחילה ב:

  • פלטפורמת הענן הציבורי העיקרית שלך.
  • חבילת הפרודוקטיביות ושיתוף הפעולה העיקרית שלך ב-SaaS.
  • הצעת הדגל שלך לגיבוי/DR מנוהל.
  • פתרונות SOC/XDR מנוהלים או פתרונות אבטחה כשירות דומים שלך.

לאחר מכן ניתן לחבר את הרכיבים הללו לרכיבי ה-ISMS שכבר מפעילים:

  • ניהול סיכונים: – לקשר שירותי ענן לרשומות וטיפולים בסיכונים, במיוחד במקרים בהם קיימים תרחישי כשל של ריבוי דיירים או ספקים.
  • ניהול ספקים: – לצרף חוזים, סיכומי אבטחה, הסכמי הגנה על מידע ודוחות ביקורת לספקים הרלוונטיים; לתעד ביקורות והחלטות תקופתיות.
  • בקרות תפעול: – התייחסו לשלבי קליטה, שינוי, סקירה ויציאה ספציפיים לענן, במסגרת תהליכי ניהול השינויים וטיפול באירועים הקיימים שלכם.
  • ניהול ראיות: – קישור אירועים, תוצאות בדיקות גיבוי, סקירות גישה ופעולות שיפור חזרה לערכים ולסיכונים הרלוונטיים בענן.

שימוש בדוגמאות מעשיות – לדוגמה, פתרון SaaS פנימי אחד, פתרון אחד הפונה ללקוחות הבנוי על ענן ציבורי ופלטפורמה נישה אך קריטית אחת – עוזר לכם להראות למבקרים שהדפוס ניתן לחזור עליו מבלי לתעד כל שירות מינורי בנפרד. ISMS.online מיועד לסגנון מידול זה: מדיניות, רישומים, סיכונים, ספקים, משימות וראיות יושבים יחד, עם קישורים שהופכים את תמונת ניהול הענן לקלה למעקב.

אילו חוזים והסכמי רמת שירות (SLA) צריך ספק שירותי ניהול שירות (MSP) ליישר קו כדי להדגים את A.5.23 ללקוחות?

כדי להדגים את A.5.23 בצורה משכנעת, עליך הן ההסכמים שלך במעלה הזרם והן בהסכמים שלך במורד הזרם כדי להתאים לאופן שבו אתם מנהלים בפועל את סיכוני הענן. משמעות הדבר היא שהחוזים והסכמי ה-SLA שלכם עם ספקים ומעבדי משנה, והתנאים שלכם עם הלקוחות, צריכים כולם להצביע על אותם חלוקות אחריות ויכולות שאתם מתעדים ב-ISMS שלכם.

מה כדאי לבדוק בהסכמי ספק במעלה הזרם ומעבדי משנה?

סקור את החלקים בכל הסכם המשפיעים ישירות על השירותים והתביעות שלך:

  • התחייבויות אבטחה וזמינות: – לוודא שיעדי RPO/RTO, הסכמי SLA של זמן פעולה ועמידות הנתונים תואמים לאופן שבו אתם מעצבים שירותים ולהבטחות בהסכמי SLA שלכם.
  • הצהרות מיקום נתונים ומגורים: – עליכם להיות מסוגלים לענות בביטחון על השאלה "היכן הנתונים שלנו?", כולל מיקומי גיבוי ואזורי כשל.
  • הודעה על אירוע והסלמה: – בדקו כיצד ומתי הספקים מתחייבים ליידע אתכם על אירועים שעשויים להשפיע על לקוחותיכם.
  • תמיכה עבור בקרות מפתח: – לאשר האם תכונות כגון רישום מפורט, מפתחות הצפנה המנוהלים על ידי הלקוח, גיבויים בלתי ניתנים לשינוי או בקרות גישה מתקדמות שאתם מסתמכים עליהן זמינות ונתמכות במפורש.
  • מנגנוני הבטחה: – זהו אישורים, דוחות אבטחה, סיכומי בדיקות חדירה או זכויות ביקורת חוזיות בהן תוכלו להשתמש כראיות במסגרת מערכות ה-ISMS שלכם ובדיווחי הלקוחות.

ייתכן שלא תצטרכו לנהל משא ומתן מחדש על כל חוזה, אך עליכם להבין ולתעד היכן התחייבויות הספק אינן עומדות בתיאורי השירות הנוכחיים שלכם, ולהתאים את ההצעות או הארכיטקטורות שלכם בהתאם.

כיצד יש לשנות חוזי לקוחות והסכמי רמת שירות כדי לשקף את A.5.23?

במורד הזרם, המסמכים הפונים ללקוחות שלך צריכים:

  • זהה בבירור אילו שירותים מסתמכים על אילו פלטפורמות ענן, במיוחד במקרים בהם הדבר משפיע על מיקום הנתונים, על חוסן הנתונים או על התמיכה.
  • להסביר מי אחראי על אילו אזורי בקרה – כגון אישורי גישת משתמשים, שימוש מקובל, סיווג, החזקות משפטיות ומחזור חיי תוכן – בהתאם למטריצות האחריות המשותפת שלכם.
  • להתחייב ל יעדי שחזור, תקופות שמירה ומסגרות זמן לתקשורת עם אירועים שההסכמים והעיצובים שלך במעלה הזרם יוכלו לספק באופן אמין.
  • הפניה, או קישור אל, מידע על אחריות ותלות באופן שבו לקוחות יכולים להבין זאת מבלי לקרוא את מערכת ה-ISMS שלכם.

כאשר חוזים במעלה הזרם, מטריצות אחריות פנימיות והסכמי רמת שירות במעלה הזרם מספרים את אותה הגרסה, קל הרבה יותר להדריך לקוח או רואה חשבון באופן ניהול סיכוני ענן תחת A.5.23. ניהול מסמכים אלה בתוך ISMS.online, לצד המדיניות והסיכונים שלכם, עוזר לכם לשמור על נרטיב מתואם ככל שספקים מעדכנים את תנאי השירות שלהם, התקנות מתפתחות והלקוחות הופכים לתובעניים יותר.

כיצד יכול ספק שירותי ניהול שירותי ענן (MSP) להשתמש ב-ISMS.online כדי לשמור על שליטה ב-A.5.23 ככל ששירותי הענן משתנים?

ISMS.online עוזר לך לשמור על A.5.23 תחת שליטה על ידי הפיכת ניהול ענן ל... מערכת מחוברת ומתעדכנת באופן שוטף, במקום קבוצה של מסמכים סטטיים שנשארים מאחור לאחר שינויים במחסנית שלך. כשאתה מאמצ, משנה או מפסיק להשתמש בשירותי ענן, תצוגת ה-ISMS שלך יכולה להישאר עדכנית, ניתנת לביקורת והסבר.

כיצד נראה ניהול יומיומי של A.5.23 ב-ISMS.online?

בהגדרה טיפוסית, הצוות שלך ישתמש ב-ISMS.online כדי:

ניהול רישום שירותי ענן פעיל

  • רשום כל שירות ענן עם בעליו, מטרתו, סוגי הנתונים, מיקומי הנתונים וקריטיותו.
  • שירותי תגיות המשמשים באופן פנימי לעומת אלו המשמשים לאספקת שירותים מנוהלים.
  • קשר כל ערך למדיניות, סיכונים, ספקים ומטריצות אחריות רלוונטיות.

צרף ומעקב אחר סיכונים וטיפולים ספציפיים לענן

  • צור ערכי סיכון עבור חשיפה מרובת דיירים, חשבונות חוצי דיירים רבי עוצמה, מיקום נתונים, נעילת ספק ותלויות API.
  • הקצאת טיפולים, בעלים ותאריכי סקירה.
  • השתמש בעבודה ובפרויקטים המקושרים של הפלטפורמה כדי לעקוב אחר פעולות תיקון ושיפור.

אחסן חוזים, אישורים ובדיקות נאותות במקום אחד

  • העלה חוזי ספקים, הסכמי הגנה על נתונים, סיכומי אבטחה ודוחות הבטחה ישירות מול רישומי הספקים.
  • תיעוד תוצאות והחלטות של הביקורות, כך שתוכלו להראות כי סיכוני הספק מנוהלים לאורך זמן.

ריכוז מטריצות של אחריות משותפת

  • לשמור על מטריצה ​​סמכותית אחת לכל שירות ענן עיקרי או משפחת שירותים.
  • קשר מטריצות למדיניות, תיאורי שירות, רישומי סיכונים ורישומי ספקים.
  • השתמשו בהם כנקודות התייחסות בעת עדכון ספרי ריצה, הסכמי רמת שירות וחומרי הקלטה.

פעילויות מחזור חיים של ראיות

  • בחירת יומן, קליטה, אישורי תצורה בסיסיים, סקירות שינויים, הערכות מחדש תקופתיות ושלבי יציאה כמשימות או פריטי עבודה מקושרים.
  • שיוך אירועים קשורים, בדיקות גיבוי, סקירות גישה ושיפורים לשירותים ולסיכונים הרלוונטיים.

כאשר אתם מעלים פלטפורמה חדשה, תוכלו לשכפל ערך קיים, להתאים תצורה ואחריות, ולחבר אותו לסיכונים ולספקים תוך דקות. כאשר אתם מוציאים שירות משימוש, תוכלו לתעד את החלטות העברת הנתונים, ניקוי הנתונים ושמירת הראיות באותו מקום.

עבור ביקורות, שאלוני לקוחות או ישיבות דירקטוריון, ניתן להרכיב חבילת ראיות ממוקדת של A.5.23 ישירות מ-ISMS.online: מדיניות הענן, הרישום הנוכחי, דוגמאות למטריצות אחריות, סיכונים וטיפולים מרכזיים בענן, בדיקת נאותות של ספקים ודוגמה לרישומי מחזור חיים ואירועים. היכולת הזו לספר סיפור עקבי מקצה לקצה היא שגורמת ל-MSP להיראות כבעל שליטה על ניהול הענן במקום להגיב כל הזמן. אם אתם רוצים שלקוחות ומבקרים יראו אתכם בקבוצה הראשונה, השקעה במבנה נכון של A.5.23 בתוך ISMS.online היא צעד הבא בעל מינוף גבוה.

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.