עבור לתוכן
ISMS.online

A.5.36 עמידה במדיניות, כללים ותקנים לאבטחת מידע – MSP Assurance

סעיף A.5.36 מעלה את הרף עבור ספקי שירותי ניהול מידע (MSPs), ודורש הוכחה לכך שמדיניות אבטחת המידע באמת מקוימת - לא רק מתועדת. לקוחות ודירקטוריונים רוצים ביטחון שהבקרות שלכם פועלות בפעילות חיה, בכל כלי וצוות. כאשר אתם מיישרים קו בין מדיניות, פעולות צוות וראיות, אתם בונים אמון, מפחיתים סיכונים לצד שלישי ובולטים בשוק מוסדר.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

מדוע A.5.36 חשוב לספקי שירותי אבטחה מנוהלים (MSPs)

A.5.36 חשוב לספקי שירותים מנוהלים משום שהוא בוחן האם כללי האבטחה שלכם באמת מיושמים בפעילות חיה, ולא רק כתובים, ודורש ראיות לכך שהאנשים והמערכות שלכם פועלים לפי כללים אלה בעבודה היומיומית. הוא כבר לא מאפשר לכם להסתתר מאחורי ספריית מדיניות; הוא מצפה מכם להוכיח שמדיניות, סטנדרטים וכללים מובנים, מיושמים ומתוקנים כאשר הם לא, הן בסביבה הפנימית שלכם והן בשירותים שאתם מפעילים עבור לקוחות, על פני כלים, צוותים ואזורי זמן רבים.

המידע כאן הוא כללי ואינו מהווה ייעוץ משפטי, רגולטורי או ייעוץ בנוגע להסמכה. לקבלת החלטות בנוגע לארגון שלך, עליך להתייעץ עם אנשי מקצוע מוסמכים ועם גוף ההסמכה שבחרת.

ברמה גבוהה, תקן ISO/IEC 27001:2022 בקרה A.5.36 דורש ממך לעשות שלושה דברים:

  • הגדירו את המדיניות, הכללים והסטנדרטים של אבטחת מידע החלים בארגון שלכם.
  • יש לבדוק באופן קבוע האם אנשים ופעילות פועלים בהתאם להם.
  • פעלו כשהם לא עושים זאת, ושמרו ראיות לכך שכל זה קורה.

עבור רוב הארגונים זהו מאתגר. עבור ספק שירותי אבטחה מנוהלים (MSP) המספק שירותי אבטחה מנוהלים, זה הרבה יותר קשה. אתם לא רק אחראים על הצוות והמערכות שלכם; אתם גם פועלים בתוך סביבות הלקוח, על נתוני לקוחות, תחת מדיניות לקוחות ותקנות מגזריות. "הכללים והסטנדרטים" שלכם כוללים במהרה:

  • מדיניות אבטחת המידע שלך וסטנדרטים ספציפיים לנושא.
  • לוחות זמנים של אבטחה של הלקוח, סעיפי שימוש מקובל ודרישות טיפול בנתונים.
  • סטנדרטים חיצוניים שאתם מתחייבים אליהם, כגון קווי בסיס של תצורה או כללי נוהג בתעשייה.

רוב המשיבים לסקר מצב אבטחת המידע של ISMS.online לשנת 2025 אמרו כי הושפעו מלפחות אירוע אבטחה אחד של צד שלישי או ספק בשנה האחרונה.

אם אתם מספקים שירותים כגון מרכז פעולות אבטחה (SOC), זיהוי ותגובה מנוהלים, ניהול פגיעויות או ניהול נקודות קצה, לקוחות רואים יותר ויותר את A.5.36 כוו לשאלה שלהם: "איך אנחנו יודעים שאתם פועלים לפי הכללים שלכם ושלנו - ומה קורה אם לא?"

זוהי אחת הסיבות לכך שדירקטוריונים ומשקיעים שואלים כעת שאלות קשות יותר לגבי ניהול ניהול ספקי שירותי סייבר (MSP). מחקר בתעשייה על תקן ISO 27001 וסיכוני סייבר רחבים יותר מציין גם בדיקה מוגברת ברמת הדירקטוריון של אבטחה וניהול, במיוחד סביב ספקי צד שלישי ומיקור חוץ, מה שמשקף שינוי רחב יותר בציפיות לגבי אופן הפיקוח על הסיכון. כלל יחיד שאינו מיושר ב-SOC או בפלטפורמת הניטור והניהול מרחוק (RMM) שלכם יכול לפגוע בלקוחות מרובים בו זמנית, ולכן הם רוצים ביטחון שהבקרות המתועדות שלכם תואמות את המציאות התפעולית. ניתוח עצמאי של חוסן סייבר והגורם האנושי מדגיש באופן דומה כיצד חולשות בפלטפורמות או תהליכים משותפים יכולות להגביר את ההשפעה של טעויות בודדות בארגונים רבים, במיוחד כאשר התנהגות אנושית ומשמעת תהליכים הן קריטיות.

פלטפורמה כמו ISMS.online יכולה לעזור בכך שהיא מספקת לכם מקום אחד להגדיר את המדיניות והסטנדרטים שלכם, למפות אותם לשירותים, להקצות אחריות ולקשר אותם לראיות אמיתיות מביקורות, סקירות וכלים תפעוליים. זה לא מבטל את הצורך לעשות את העבודה, אבל זה הופך את הקשר בין "מה שאנחנו אומרים" ל"מה שאנחנו יכולים להוכיח" לגלוי וניתן לניהול.

ציות לחוקים זוכה לאמון כאשר הראיות שלך מראות מה באמת קורה, לא מה שאתה מקווה שיקרה.

מה ש-A.5.36 דורש בפועל בשפה פשוטה

סעיף A.5.36 דורש ממך לשמור על כללי אבטחה ברורים, לוודא שאנשים פועלים לפיה ולתקן בעיות כאשר הם לא עושים זאת, ולהיות מסוגל להראות למבקרים וללקוחות שלולאה זו פועלת בפועל באמצעות ראיות מוחשיות, ולא רק כוונות. במונחים מעשיים, משמעות הדבר היא להראות כי עמידה במדיניות אבטחת המידע שלך ובמדיניות, כללים ותקנים ספציפיים לנושא נבדקת באופן קבוע וכי אי עמידה מטופלת כראוי כחלק מלולאת בקרה חיה המקשרת בין כללים, התנהגות, בדיקות ושיפורים.

עבור MSP, לולאה זו נראית בדרך כלל כך:

  • הגדר: אתם מקפידים על מערכת כללים ברורה ועדכנית החלה על צוות, קבלנים, ובמידת הצורך, על סביבות הלקוחות.
  • לתקשר: אנשים מכירים את הכללים ומכירים בהם באמצעות הכשרות, תדרוכים והטמעה.
  • צג: אתם משתמשים בניטור טכני, בדיקות תהליכים וביקורות פנימיות כדי לראות האם הכללים הללו מקובלים.
  • לְהָגִיב: כאשר אתם מוצאים אי ציות, אתם מתעדים אותו, מעריכים את ההשפעה ונוקטים בפעולות מתקנות או משמעתיות במידת הצורך.
  • שפר: אתה בודק דפוסים של אי-ציות ומתאים מדיניות, הכשרה או בקרות.

מבקרים אינם מצפים לשלמות. הם מצפים למחזור מבוקר ומוכח. לקוחות ארגוניים מצפים לאותו הדבר, במיוחד כאשר השירות שלכם הוא חלק מהתשתית הקריטית שלהם או מתחום הרגולציה שלהם. תקן A.5.36 קשור ישירות למחזור התכנון-ביצוע-בדיקה-פעולה של ISO 27001: אתם מתכננים את הכללים, מפעילים בקרות, בודקים תאימות ופועלים על סמך מה שאתם לומדים.

למה השליטה נושכת חזק יותר עבור MSPs

A.5.36 נוקשה יותר עבור ספקי שירותי ניהול אבטחה (MSP) מכיוון שחולשות קטנות באופן שבו אתם אוכפים כללים יכולות להשתנות על פני שירותים ולקוחות רבים. אם הממשל הפנימי שלכם רופף, תקן או חריג חלש יחיד יכולים לערער בשקט מספר הצעות אבטחה מנוהלות בו זמנית.

עבור ספקים רבים, A.5.36 חושף אי התאמה נסתרת: מכירות וחוזים מבטיחים רמת שליטה אחת, מדיניות מתארת ​​רמת שליטה אחרת והתפעול מספק משהו אחר לגמרי. מכיוון שהשירותים שלכם הם מרובי דיירים ומונעים על ידי כלים, חולשות יכולות להתפשט במהירות:

  • כלל רפה לחשבון מנהל בסביבה שלך יכול להחליש כל שירות אבטחה מנוהל שאתה מספק.
  • סטנדרט תיקון שמיושם באופן לא עקבי על פני לקוחות עלול להוביל לממצאים חוזרים ונשנים בביקורות לקוחות.
  • runbook משותף שאינו מתעדכן כאשר המדיניות משתנה עלול לסטות בשקט ממצב של תאימות.

כ-41% מהארגונים בסקר ISMS.online לשנת 2025 ציינו ניהול סיכוני צד שלישי ומעקב אחר תאימות ספקים כאחד מאתגרי אבטחת המידע הגדולים ביותר שלהם.

לקוחות ורגולטורים מודעים לכך יותר ויותר. הם משתמשים בשאלות התואמות את A.5.36 כדי לבחון כיצד אתם מנהלים את הצוות שלכם ואת קבלני המשנה, כיצד אתם מפקחים על עמידה בכללים בכלים מרובי דיירים וכיצד אתם מטפלים בחריגים. תגובה שטחית - יש לנו מדיניות ואנחנו מכשירים צוות - כבר לא מספקת אותם.

התייחסות ל-A.5.36 כבקרת ניהול מרכזית של ספקי שירותי ניהול (MSP), ולא כדרישת תיעוד צרה, נותנת לכם הזדמנות ליישר קו בין הבטחות, מדיניות ונהלים. כאשר אתם יכולים להראות התאמה זו באופן מהימן, היא הופכת למבדלת בהצעות מחיר תחרותיות, במיוחד עבור לקוחות הרואים בספקי שירותי ניהול שירותי ניהול (MSP) שלהם חלק מההיקף הרגולטורי שלהם.

הזמן הדגמה


הכאב: תאימות נקודתית בזמן, רק על נייר, עבור ספקי שירותי ניהול שירותים (MSPs)

תאימות עתירת נייר, המתרחשת בנקודת זמן מסוימת, מאפשרת לכם לעבור ביקורות, תוך הגדלה שקטה של ​​הסיכון, העלות והלחץ האמיתיים בין תאריכי ההערכה. הנחיות של גופי אבטחת סייבר אירופאיים בנוגע לתקן ISO 27001 מזהירות כי גישות המונעות על ידי רשימת תיוג או גישות המתמקדות אך ורק בביקורת נוטות להשאיר סיכון תפעולי ולחץ שיוריים, משום שהן אינן משקפות את אופן ההתנהגות של מערכות ושירותים בין הערכות פורמליות. הן ממקדות את המאמץ בפרקי זמן קצרים במקום לבנות בדיקות שגרתיות שעוקבות אחר התאימות לאורך כל השנה.

אם תהיו כנים לגבי האופן שבו אתם מטפלים כיום ב-A.5.36, יש סיכוי טוב שרוב המאמץ מתרחש בפרצי זמן קצרים ואינטנסיביים סביב ביקורות חיצוניות, הערכות לקוחות או בקשות להצעות מחיר (RFP) גדולות, ולא כחלק מהפעילות היומיומית.

דפוס טיפוסי נראה כך: מספר פעמים בשנה, מנהלי האבטחה והתפעול שלכם נוטשים הכל כדי לאסוף ערכות ראיות. הם רודפים אחר דוחות הניתנים לייצוא מכלי כרטוס, RMM וניהול מידע ואירועי אבטחה (SIEM), שואבים יומני הדרכה ממערכות משאבי אנוש ויוצרים מצגות מותאמות אישית ללקוחות ספציפיים. מחוץ לשיאים הללו, מתרחשת מעט מאוד בדיקות שיטתיות מעבר למה שמהנדסים ומנהלים בודדים זוכרים לעשות.

לגישה זו יש מספר עלויות. היא שורפת זמן שיכול היה להיות מושקע בשיפור בקרות. היא תלויה במידה רבה במספר קטן של אנשים מרכזיים. היא מסתירה חולשות אמיתיות מאחורי תמונות מצב שנראות מקובלות באותו היום. היא גם משאירה אתכם חשופים אם לקוח או רגולטור מבקשים הבטחה בהתראה קצרה.

ציות שמתעורר רק בזמן הביקורת בדרך כלל מפספס את האופן שבו השירותים שלכם פועלים בפועל.

היכן שהציות לדרישות נכשל בנקודת זמן מסוימת

ראיות נקודתיות בזמן יישארו חלק מביקורות חיצוניות ותרגילי בדיקת נאותות, אך הסתמכות עליהן כמודל הבטחת המידע העיקרי שלכם משאירה פערים צפויים, ועבור ספקי שירותי ניהול נתונים (MSPs) שלוש נקודות תורפה צצות שוב ושוב. הברורה ביותר היא שציות נקודתי בזמן מאפשר להפרות כללים להישאר בלתי מזוהות במשך תקופות ארוכות: אירועים ואי התאמות כוללים לעתים קרובות כללים ידועים שלא קוימו, משום שלמרות שהכללים היו קיימים, לא היו בדיקות סדירות מבוססות סיכונים.

תלות בגבורה של הרגע האחרון ובראיות מקוטעות היא חולשה נוספת. ציות תלוי בקומץ מהנדסים ומנהלים שעושים את הדבר הנכון בנוסף לעומס העבודה הרגיל שלהם, ללא הנחיות או בדיקות מובנות. הם שולפים חפצים מכלים מפוזרים לחבילות המורכבות בחיפזון. כאשר אנשים אלה עוזבים, חולים או סובלים מעומס יתר, הבקרות מתדרדרות בשקט והסיפור שאתה מספר ללקוחות הופך קשה יותר לשחזור.

אם אתם פועלים במגזרים מוסדרים מאוד, או משרתים לקוחות שכן, חולשות אלו עלולות לתרום לאובדן עסקאות, ממצאי ביקורת חמורים יותר או תוכניות תיקון מורחבות, במיוחד כאשר הן חופפות ליקויים אחרים בתכנון הבקרה או בפיקוח. אפילו בשווקים פחות מוסדרים, הן מגדילות את הסיכוי שלקוח יטיל ספק במקצועיות שלכם אם תתקשו להדגים כיצד אתם אוכפים את הכללים שלכם.

ההכרה בכאבים אלה אינה נוחה, אך היא סוללת את הבמה לחשיבה שונה לגבי A.5.36: לא כמשוכה מזדמנת, אלא כמשמעת מתמשכת המגנה על הלקוחות ועל המוניטין שלך.

עלויות נסתרות באנשים, כלים ואמון לקוחות

עלויות נסתרות של תאימות נקודתית בזמן מתגלות באנשים, בכלים וביחסים. צוותים חווים את עבודת הציות כלחץ בלתי צפוי של הרגע האחרון, אשר פוגע במורל ומחזק את התפיסה שכללים הם תקורה ולא חלק מפרקטיקות הנדסיות ושירות טובות. עם הזמן, תפיסה זו מזינה שחיקה ותחלופה בתפקידי מפתח.

לדוגמה, ספקי שירותים בינוניים רבים מדווחים על השקעת זמן משמעותי - לעתים קרובות שבועות של מאמץ - לפני בקשת הצעות מחיר גדולה או ביקורת לקוח, תוך איסוף ידני של יומני רישום, צילומי מסך ורישומי הדרכה. העבודה מלחיצה, קשה לעשות שימוש חוזר בתוצרים והצוות יוצא עם מעט מאוד תחושה שמשהו השתפר באופן שבו השירותים פועלים בפועל.

יש גם עלות של כלים. ספקי שירותי ניהול שירותים (MSP) משקיעים רבות בפלטפורמות אוטומציה של שירותים מקצועיים (PSA), RMM, SIEM, זהות ורישום. אם הראיות שאתם מספקים עבור A.5.36 נמצאות בעיקר בגיליונות אלקטרוניים וצילומי מסך, אינכם מקבלים ערך מלא של אבטחה מכלים אלה. ייתכן שאתם אפילו משלמים פעמיים: פעם אחת עבור הכלים ופעם נוספת עבור המאמץ הידני לחלץ ולשלב מידע רלוונטי.

סקר ISMS.online לשנת 2025 מצביע על כך שלקוחות מצפים יותר ויותר מספקיהם להתאים את עצמם למסגרות פורמליות כגון ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 ותקני בינה מלאכותית מתפתחים.

לבסוף, לקוחות שמים לב. שאלוני אבטחה שואלים כיום לרוב לא רק "האם יש לכם מדיניות?" אלא גם "כיצד אתם עוקבים אחר עמידה בה?" ו"אילו מדדים אתם עוקבים אחריהם?". סיקור בפרסומים מיוחדים בתחום האבטחה והממשל מראה את אותה תבנית, כאשר יותר ויותר צוותי רכש וסיכונים שואלים כיצד נאכפים ונמדדים בקרות, במקום להסתפק בשאלות פשוטות של כן/לא בנושא המדיניות. אם התשובות שלכם מעורפלות, או שאינכם יכולים לספק דוגמאות ללא שבועות של הכנה, צוותי סיכונים ורכש יסיקו את המסקנות שלהם לגבי הבשלות שלכם.

התרחקות מחשיבה נקודתית בזמן פירושה קבלת העובדה שחלק מהכללים לא יקויימו בצורה מושלמת, אך התעקשות על כך שסטיות יהיו גלויות, ניתנות להסבר וישמשו לקידום שיפור במקום להיות מוסתרות עד לביקורת הבאה. שינוי זה הוא מה שביטחון מתמשך נועד לתמוך בו.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


מסגור מחדש: מתאימות סטטית לאבטחה מתמשכת

שינוי הגדרת A.5.36 כבעיית עיצוב הופכת אותה מתיבת סימון שנתית לחלק בר-ניהול באופן שבו אתם מנהלים את פעולות ה-MSP. במקום לשאול כיצד לשרוד את הביקורת הבאה, אתם שואלים כיצד לבנות רמה סבירה של ביטחון מתמשך בעבודה היומיומית.

אבטחה מתמשכת אינה פירושה ניטור של כל כלל בזמן אמת בכל מערכת. פירושה בחירת קצב ומנגנונים הגיוניים כך שכללים חשובים ייבדקו לעתים קרובות מספיק, בדיקות ישולבו בזרימות עבודה וכלים רגילים וראיות ייאספו כתוצר לוואי של ביצוע העבודה ולא כתרגיל דיווח נפרד.

רוב משמעותי של ארגונים בסקר מצב אבטחת המידע של ISMS.online לשנת 2025 אמרו כי המהירות והיקף השינויים הרגולטוריים מקשים על קיום תאימות.

גישה זו מתיישבת היטב עם מבנה תקן ISO 27001 עצמו. התקן כבר דורש מכם לתכנן, להפעיל, לנטר ולשפר את מערכת הניהול שלכם. A.5.36 מתמקד במעגל זה בשאלה האם אתם פועלים לפי הכללים והסטנדרטים שלכם, והאם אתם מגיבים כשאינכם עושים זאת.

השוואה קטנה מבהירה את השינוי. עמידה בדרישות נקודתיות בזמן מרכזת את המאמץ בכמה שיאים מלחיצים ומשאירה תקופות ארוכות עם מעט נראות. אבטחה מתמשכת מפזרת את המאמץ, מפחיתה הפתעות ומקלה על זיהוי בעיות מוקדם. הטבלה שלהלן מסכמת את ההבדלים העיקריים.

מֵמַד תאימות נקודתית בזמן אבטחה מתמשכת
קיידנס שיאים לפני ביקורות ושאלונים גדולים בדיקות סדירות, מבוססות סיכונים, לאורך כל השנה
פרופיל מאמץ התפרצויות ידניות ומלחיצות פעילויות קטנות יותר וצפויות בזרימות רגילות
חשיפה לסיכון פערים בין ביקורות נעלמים בקלות חריגות צפו ונפתרו מהר יותר
איכות הראיות שוחזר ממקורות מפוזרים נוצר כחלק מעבודה שגרתית וניטור

המטרה אינה שלמות, אלא לולאה פשוטה שעובדת רוב הזמן וניתנת להסברה למבקרים, ללקוחות ולבעלי עניין פנימיים. כאשר מתכננים את הלולאה הזו בקפידה, מפחיתים לחץ וגורמים לעמידה במדיניות להרגיש כחלק מהפעלת שירותים טובים, ולא כפרויקט נוסף.

איך נראית אבטחה מתמשכת בפועל

אבטחה מתמשכת מקשרת את הכללים, הבקרות, הראיות וההחלטות שלך כך שהם מחזקים זה את זה. כל חלק בלולאה ניתן להתאמה ככל שהשירותים שלך מתפתחים.

תבנית פשוטה משתמשת בארבעה אבני בניין:

  • תשומות: מדיניות, סטנדרטים ודרישות לקוחות המגדירים כיצד דברים צריכים להיעשות.
  • פעילויות בקרה: בקרות טכניות וצעדים פרוצדורליים המטמיעים כללים אלה בעבודה היומיומית.
  • ממצאי ראיות: יומנים, כרטיסים, דוחות ואישורים שמראים מה באמת קרה.
  • לולאות משוב: פורומי ממשל, רישומי סיכונים וסקירות ניהוליות המשתמשות בראיות כדי לבצע שינויים.

לדוגמה, כלל לפיו "כל השינויים בסיכון גבוה חייבים להיות מאושרים הן על ידי בעלים טכני והן על ידי נציג לקוח" עשוי להיות מגולם בתהליך העבודה של ניהול השינויים שלכם, נאכף על ידי מערכת הכרטיסים שלכם, מאושר על ידי רישומי אישור ונבדק מעת לעת בביקורת פנימית או בסקירת הנהלה.

אינך צריך לשים כל כלל בלוח זמנים יומי לניטור. גישה מבוססת סיכונים עובדת היטב:

  • כללים בעלי השפעה גבוהה (גישה מורשית, שינויים בייצור, טיפול באירועים) עשויים להיבדק באופן רציף או מדי שבוע.
  • כללים בעלי השפעה בינונית (לוחות זמנים לתיקונים, בדיקות גיבוי, השלמת הדרכה) עשויים להידגם מדי חודש או רבעוני.
  • ניתן לנטר כללים בעלי השפעה נמוכה באמצעות ביקורות מזדמנות ובמהלך סקירות הנהלה.

מה שחשוב הוא שתוכלו להסביר את הרציונל שלכם ולהראות שהמנגנונים שנבחרו אכן פועלים בפועל. כאשר לקוחות או מבקרים שואלים מדוע כלל נבדק מדי חודש ולא מדי שבוע, אתם רוצים תשובה ברורה ומבוססת סיכונים.

קביעת סדרי עדיפויות והתאמה לממשל

רוב ספקי שירותי ניהול הרשת (MSP) אינם יכולים להעביר הכל למודל של אבטחה מתמשכת בבת אחת, לכן קביעת סדרי עדיפויות חשובה. תוכלו להתקדם מהר יותר על ידי התמקדות בכללים שיגרמו לנזק הרב ביותר אם יתעלמו מהם ובניית אמון שם תחילה.

גישה פרגמטית היא:

  • זהו את חמשת עד עשרת הכללים שכישלונם יפגע ביותר בלקוחות או בעסק שלכם.
  • התמקדו במאמצי התכנון והאוטומציה הראשוניים בכללים אלה.
  • בחרו תהליכי ניטור, דיווח והסלמה שקשורים ישירות לממשל הקיים.

לדוגמה, ייתכן שתתחילו ב:

  • קישור כללי גישה מועדפת למערכות הזהות והכרטוס שלך, כך שכל עלייה בדרגה תאושר, נרשמת ונסקרה.
  • חיבור סטנדרטים של תיקון לכלי ה-RMM שלך, עם לוחות מחוונים המציגים תאימות בין לקוחות ומסמנים חריגים.
  • דיווח על מדדים מרכזיים - כגון מספר הפרות המדיניות וגיל החריגים הפתוחים - לוועדת ה-ISMS שלכם ולסקירות ההנהלה.

בכך, אתם הופכים את A.5.36 לחלק מהתכנון והפיקוח הרגילים שלכם, במקום לשפה נפרדת שרק צוות ה-ISO מדבר. הצוות והלקוחות רואים אז קומה עקבית: כללים, בדיקות, ראיות ושיפורים, כולם מחוברים באופן שתואם את מעגל התכנון-ביצוע-בדיקה-פעולה.



מסגרת מעשית A.5.36 עבור ספקי שירותי ניהול רשת (MSPs)

מסגרת מעשית של A.5.36 מעניקה לכם מבנה לאופן שבו כללים, בעלים, בדיקות ותגובות משתלבים יחד ב-MSP שלכם. היא הופכת מדיניות והרגלים מפוזרים למפה ברורה של מי אחראי על מה, כיצד נבדקת הציות וכיצד אתם מגיבים כאשר דברים משתבשים.

מסגרת זו הופכת לגשר בין מדיניות ברמה גבוהה לבין הצעדים התפעוליים שמהנדסים ומנהלי שירות מבצעים. היא גם מספקת לכם דרך חוזרת ונשנית לענות על שאלות של לקוחות ומבקרים מבלי להמציא הסברים מחדש בכל פעם.

בניית מסגרת בקרה A.5.36 ספציפית ל-MSP

מסגרת A.5.36 ספציפית ל-MSP מתחילה בדרך כלל ברישום פשוט המראה כיצד כללים חשובים מיושמים, נבדקים ומוכחים בפועל. כל ערך מקשר כלל לשירותים, בעלים, ניטור וראיות.

נקודת התחלה שימושית היא רישום אשר, עבור כל כלל חשוב, לוכד:

  • המדיניות או התקן שמהם הוא מגיע.
  • השירותים וסביבות הלקוחות עליהן הוא חל.
  • בעל השליטה האחראי על האכיפה.
  • בעל התהליך האחראי על התכנון והיעילות.
  • מנגנון הניטור ותדירותו.
  • מקורות הראיות, כגון דוחות או סוגי דוחות.
  • תהליך החריגים, כולל תאריכי אישור ובדיקה.

עבור ספקי ניהול שירותים (MSPs), רישום זה צריך לכלול במפורש דרישות ספציפיות ללקוח, ולא רק את המדיניות הגנרית של החברה. אם לקוח עיקרי דורש מכם לעמוד בתקני רישום או בכללי בקרת שינויים מסוימים, התחייבויות אלו צריכות להופיע ככללים במסגרת שלכם, עם בעלים, בדיקות ומקורות ראיות.

לדוגמה, כלל "גישה מועדפת" עשוי להיכלל כמגיע ממדיניות בקרת הגישה שלך ומלוח זמנים של לקוח מרכזי. הוא עשוי לחול על שירותי SOC ותשתית, להיות בבעלות ראש האבטחה, להיות מנוטר מדי שבוע באמצעות דוחות זהות וכרטוס, להיות מוכח על ידי ביקורות גישה ואישורי שינויים, ולקבל חריגים מוגבלים בזמן שאושרו על ידי מנהל בקרת הגישה.

אינכם זקוקים למאות רשומות. התחילו עם הכללים החשובים ביותר לאבטחה ולוודאות, במיוחד במקרים בהם החוזים והטענות השיווקיות שלכם חזקים ביותר. עם הזמן, תוכלו להרחיב את הרישום לפי הצורך, בהתבסס על הסיכון וציפיות הלקוחות.

פלטפורמת ISMS כמו ISMS.online יכולה לחזק זאת עוד יותר על ידי ניהול הרישום, קישור כללים לסיכונים ובקרות ומעקב אחר תאריכי סקירה ושינויים. תצוגה משותפת זו מפחיתה בלבול ומקלה על שמירת יישור קו ככל שהשירותים שלכם מתפתחים.

הגדרת היקף, בעלות וקריטריונים להפרה

שני חלקים של המסגרת ראויים לתשומת לב מיוחדת: בעלות ומה נחשב כהפרה. שניהם קובעים האם הכללים שלך נשארים תיאורטיים או באמת מעצבים את ההתנהגות.

בעלות חזקה פירושה שלכל כלל משמעותי יש:

  • A בעל השליטה, אחראי על הבטחת יישום הכלל בכל השירותים הרלוונטיים.
  • A בעל התהליך, אחראי על שמירה על גישת תכנון הבקרה והניטור מתאימה ככל שהטכנולוגיה, הלקוחות והתקנות משתנים.

חשוב לא פחות ברור קריטריונים להפרהאתם צריכים דרך מוסכמת להבחין בין:

  • סטיות קלות שניתן לטפל בהן באופן מקומי ולתעד אותן כחלק מהעבודה הרגילה.
  • הפרות משמעותיות שיש לתעד כחריגות, להסלים ולטפל בהן באופן פוטנציאלי כאירועים.

אינך יכול לאכוף את מה שלא הגדרת כהפרה. הגדרת ספים מראש מקלה על הגדרת כלים, כגון אופן סיווג וניתוב התראות, ועל הבטחת יישום עקבי והוגן של צעדים משמעתיים וחוזיים. זה גם מקל על קישור A.5.36 לתהליכי ניהול האירועים ואי-התאמות, כך שהפרות חמורות יעברו את אותו נתיב מובנה כמו אירועי אבטחה אחרים.

מסגרת עבודה כזו מצמצמת את הצורך בעבודה חוזרת בזמן הביקורת. כאשר מבקרים או לקוחות שואלים, "איך אתם מוודאים שהכלל הזה מקויים?", תוכלו להצביע על תיאור ברור המציג את הכלל, הבקרות, הניטור והראיות, ולאחר מכן לשלוף כמה דוגמאות כדי להדגים שהמעגל פועל.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


הטמעת A.5.36 במערכות ה-ISMS, בממשל וב-SOP

הטמעת A.5.36 במערכות ניהול (ISMS), במבני הממשל ובנהלי התפעול הסטנדרטיים שלכם היא הדרך להפוך את המסגרות להתנהגות בעולם האמיתי. המטרה היא להפוך את תאימות המדיניות לחלק משגרת קבלת ההחלטות וממתן השירותים, ולא לפעילות תאימות מבודדת שמופיעה רק לפני ביקורות.

רבים מהמנגנונים הדרושים כבר קיימים במערכת ניהול סיכונים טיפוסית המותאמת לתקן ISO 27001: רישומי סיכונים, תהליכי ניהול שינויים, ניהול אירועים, הליכים משמעתיים, ביקורות פנימיות וסקירות הנהלה. המשימה היא לחבר את A.5.36 במפורש למנגנונים אלה כך שאי-ציות לחוקים יטופל כסיכון מהשורה הראשונה, ולא כמעין מחשבה שלאחר מעשה.

קישור A.5.36 לתהליכי ניהול סיכונים

קישור A.5.36 לתהליכי ניהול וסיכונים קיימים מקל על ניהול עקבי של אי-ציות. במקום ליצור מסלול נפרד, אתם חושפים הפרות מדיניות לצד סיכונים ובעיות בקרה אחרות.

שלב 1 – שילוב הפרות כללים בניהול סיכונים

הוסיפו תרחישים אופייניים של "אי-ציות למדיניות" למרשם הסיכונים שלכם, כגון אי-ציות לכללי בקרת גישה או תהליכי בקרת שינויים. קשרו אותם לסיכונים קיימים - לדוגמה, פרצות נתונים או הפסקות שירות - כך שתוכלו להצדיק מאמצי ניטור והפחתת פעולות ולוודא שהבעלות ברורה.

שלב 2 – הפיכת A.5.36 לנושא ביקורת חוזר

יש לוודא שביקורות פנימיות וסקירות תאימות בודקות באופן קבוע האם הכללים שנבחרו מקויימים. יש לדגום מספר קטן של כללים מדי שנה ולבדוק שהבקרות, הניטור והראיות המתועדים פועלים כמתואר. יש להשתמש בממצאים כדי להניע פעולות מתקנות ושיפורים, לא רק כדי לתייג התנהגות בעבר.

שלב 3 – הזנת מדדים לסקירות הנהלה

כללו מדדים הקשורים ל-A.5.36 - ספירת הפרות מדיניות, מגמות חריגים, השלמת בדיקות מתוכננות - כקלטים סטנדרטיים בסקירות הנהלה. דנו במה שהם אומרים על תרבות, בקרות ועומס עבודה, והחליטו היכן למקד את מאמצי השיפור. ביצוע פעולה זו באופן עקבי מראה למבקרים וללקוחות כי אי-ציות מנוהל באופן פעיל.

חשוב גם לוודא שהצהרת היקף ה-ISMS וניתוח ההקשר שלכם כוללים במפורש שירותים המסופקים ללקוחות ואת הכלים המשמשים למסירתם. בדרך זו, אין עמימות לגבי האם A.5.36 חל על פלטפורמות מרובות דיירים, סביבות לקוחות ושירותים המועברים לקבלני משנה.

הפיכת A.5.36 לחלק מתהליכי עבודה יומיומיים

הפיכת A.5.36 לחלק מהעבודה היומיומית נועדה בסופו של דבר ליישר קו בין ספרי ריצה והתנהגויות למסגרת, כך שהתאימות תהפוך לחלק מ"איך אנחנו עושים דברים כאן".

טכניקות שימושיות כוללות:

  • הערות על ריצות: תיוג שלבים בספרי ריצה של קליטה, שינוי, אירועים ותחזוקה הקיימים כדי לעמוד בכללים מסוימים. מזהים פשוטים, כגון מזהי כללים או הפניות למדיניות, מקלים על שמירת יישור כאשר מדיניות ותקנים משתנים.
  • עדכון טפסים ותהליכי עבודה: ודאו שתהליכים מרכזיים לוכדים את המידע הדרוש לכם כראיות לפי A.5.36 - כגון לאיזו מדיניות מתייחסת הסטייה, אילו פעולת תיקון ננקטה והאם אושרה חריגה.
  • הכשרה מבוססת תפקידים: מעבר לקורסי "מודעות לאבטחה" גנריים. ספקו הדרכה קצרה וספציפית לתפקיד לגבי המשמעות של A.5.36 עבור מהנדסים, מנהלי שירות, מנהלי תיקי לקוחות ומנהלי מכירות. הראו להם כיצד פעולותיהם מייצרות או צורכות ראיות וכיצד זה תומך בלקוחות.

עם הזמן, זה גורם לתאימות להרגיש פחות כמשימה נוספת ויותר כחלק מהאופן שבו אתם מספקים שירותים איכותיים. זה גם מקל על אוטומציה של בדיקות ודיווחים, מכיוון שהנתונים הדרושים כבר זורמים דרך הכלים שלכם בצורה מובנית.

פלטפורמת ISMS יכולה לסייע על ידי אחסון המסגרת, קישור כללים לסיכונים, בקרות, ספרי ניהול וראיות, ועל ידי מתן מקום משותף לאי-התאמות, פעולות מתקנות ורישומי סקירת הנהלה. הקשר משותף זה מפחית את הסיכון שצוותים שונים יעבדו מגרסאות שונות של האמת והופך את A.5.36 לגלוי הן לבעלי עניין טכניים והן לבעלי עניין שאינם טכניים.



כלים: הפיכת מדיניות לכללים הניתנים לבדיקה על ידי מכונה (SIEM, RMM, ITSM)

הפיכת מדיניות לכללים הניתנים לבדיקה על ידי מכונה פירושה לבטא חלקים מרכזיים ממערך המדיניות שלך כתנאים שהכלים שלך יכולים לנטר ולאכוף, כך שתצמצם בדיקות ידניות ותשיג ביטחון חזק יותר שהכללים נשמרים. ברגע שיהיו לך כללים ברורים, בעלות ותהליכים, תוכל להתחיל לבטא חלק מהכללים הללו כתנאים טכניים שהכלים שלך יכולים לבדוק, כך ש-A.5.36 ומחסנית פעולות האבטחה שלך מחזקים זה את זה, והופכים את המדיניות לאותות הניתנים לבדיקה על ידי מכונה.

המטרה אינה לבנות "מערכת תאימות" נפרדת, אלא להגדיר את המערכות שכבר משתמשות בהן - SIEM, RMM, פלטפורמות זהות, ניהול נקודות קצה וכרטוס - כך שייצרו ראיות והתראות שיתאימו לחוקים ולסטנדרטים שלכם. אם נעשה זאת נכון, הדבר מפחית את המאמץ הידני ומגביר את הביטחון שהחוקים אכן נאכפים.

ביטוי מדיניות כתנאים טכניים

אתם מבטאים מדיניות כתנאי טכני על ידי מעבר מכלל בשפה פשוטה לאותות ובדיקות ספציפיים בכלים שלכם. הדפוס פשוט, אך יישומו באופן עקבי דורש משמעת.

כדי לתרגם טקסט של מדיניות למשהו שכלים יכולים לעבוד איתו, כדאי להשתמש בתבנית שמגשרת בין שפה ותצורה:

  1. התחל עם כלללדוגמה, "כל נקודות הקצה המנוהלות חייבות להפעיל הגנה מאושרת על נקודות קצה", או "אין חשבונות מנהל משותפים".
  2. זיהוי אותות: להחליט אילו יומנים, נתוני תצורה או אירועים יציגו האם הכלל פעל או מופר.
  3. הגדר תנאים: כתוב תנאים ברורים שניתן לבדוק, כגון "סוכן נוכח ובריא" או "יותר מאדם אחד משתמש באותו חשבון מורשה".
  4. הגדר בדיקותהטמע תנאים אלה בכלי הניטור והניהול שלך, באמצעות לוחות מחוונים או דוחות המסכמים את התאימות ומדגישים חריגים.
  5. התחברות לזרימות עבודהניתוב הפרות לתורי כרטוס עם קטגוריות, סדרי עדיפויות והסכמי רמת שירות מתאימים, כך שהן יטופלו כמו כל בעיה תפעולית אחרת.

לדוגמה, קחו בחשבון את הכלל "כל נקודות הקצה המנוהלות חייבות להפעיל הגנה מאושרת על נקודות קצה". האותות עשויים להיות נתוני תקינות סוכן מ-RMM ומקונסולת האנטי-וירוס שלכם. התנאי הוא "הסוכן הותקן ומדווח ב-24 השעות האחרונות". אתם מגדירים בדיקות ולוחות מחוונים כדי לסמן סוכנים חסרים או מיושנים וליצור כרטיסים באופן אוטומטי, כך שמכשירים שאינם תואמים יהיו גלויים, במעקב ובתיקון.

אותו היגיון חל על כללים מבוססי-תהליך. לדוגמה, ניתן לבדוק כלל לפיו "כל השינויים בסיכון גבוה חייבים לעבור תהליך עבודה רשמי לאישור" על ידי קישור כרטיסי שינוי עם יומני פריסה וסימון חריגות.

התחילו עם מספר קטן של כללים בעלי השפעה גבוהה וכווננו את הספים בקפידה. בדיקות רגישות יתר שמייצרות התראות קבועות יאבדו במהירות אמינות ויכולות לגרום לאבטחה להיראות גרועה יותר מאשר טובה יותר.

שימוש בכלים שלך כדי לזהות ולאכוף כללים

לרבים מספקי שירותי ניהול שירותים (MSP) כבר יש את הכלים הדרושים לתמיכה ב-A.5.36; מה שבדרך כלל חסר הוא המיפוי המפורש מכללים לתצורת כלים ודוחות, והמשמעת לעדכון המיפוי הזה.

הזדמנויות שימושיות כוללות:

  • ניטור מרחוק וניהול נקודות קצה: השתמשו במידע זה כדי לאכוף ולדווח על סטנדרטים של תיקונים, הצפנה, פריסת הגנת נקודות קצה וזכויות ניהול מקומיות בקרב לקוחות. חריגים הופכים לקלטים גלויים וכמותיים לתהליכי סיכון וממשל.
  • ניתוח ורישום אבטחה: הגדר כללי קורלציה המקבצים הפרות מדיניות אפשריות - כגון גישה מועדפת מחוץ לשעות הפעילות או שינויי תצורה ללא פניות קשורות - ללוחות מחוונים ממוקדים. ניתן לסקור אותם בשגרה יומית או שבועית.
  • ניהול זהות וגישה: השתמשו בחברות בקבוצות, במדיניות גישה מותנית ובקרות גישה מבוססות תפקידים כדי לאכוף כללים לגבי מי יכול לעשות מה, איפה ומתי. יומני רישום ודוחות מהווים חלק מחבילת הראיות לכללים הקשורים לבקרת גישה.
  • ניהול שירותי כרטוס ו-ITSM (כרטוסים): יש לוודא שקריאות המייצגות אי-ציות מתויגות עם הכלל הרלוונטי, עוקבות אחריהן עד לסגירה ונשמרות לניתוח. עם הזמן, הדבר יוצר היסטוריה מובנית של אופן יישום ואכיפת הכללים.

אכיפה אוטומטית – כגון חסימת פעולות המפרות כללים מרכזיים או הסגר של מכשירים שאינם תואמים – יכולה להיות יעילה עבור אזורים בסיכון הגבוה ביותר. כאשר מיישמים בקרות כאלה, תיעוד התכנון, ההיקף והניטור שלהן מספק לכם חומר חזק הן עבור מבקרים והן עבור לקוחות תחת A.5.36.

ISMS.online אינו מחליף את הכלים התפעוליים הללו, אך הוא יכול לשבת מעליהם, לאחסן את הכללים, למפות אותם לשירותים ובקרות ולקשר לדוחות, לוחות מחוונים וקרשות המציגים כיצד הם פועלים. זה מונע את הצורך ליישם מחדש ניטור תוך מתן מאגר תאימות קוהרנטי המשלב טכנולוגיה וממשל.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


מדדי ביצועים (KPI), רשומות וראיות עבור רואי חשבון ולקוחות ארגוניים

סט קטן ומאורגן היטב של מדדים ורישומים יעשה יותר לאבטחת A.5.36 מאשר עשרות תרשימים וצילומי מסך קשורים באופן רופף, מכיוון שהמדדים הנכונים עוזרים לכם להראות שהכללים חשובים, נבדקים ומובילים לפעולה כאשר הם אינם מקויימים. הנחיות ייעוץ בנושא ISO 27001 וניהול סיכוני סייבר רחב יותר נוטות גם הן להעדיף מדדים ממוקדים ורלוונטיים להחלטות על פני כמויות גדולות של נתונים לא מובנים בדיוק מסיבה זו, שכן שילוב זה קל יותר לפרש עבור דירקטוריונים, רואי חשבון ולקוחות.

לאחר שנקבעו כללים ובדיקות קיימות, ניתן לעצב את הנתונים המתקבלים למדדים ולראיות שיספקו שני קהלים תובעניים: מבקרי הסמכה ולקוחות ארגוניים.

כמעט כל המשיבים לסקר ISMS.online לשנת 2025 ציינו השגה או שמירה על אישורי אבטחה, כגון ISO 27001 או SOC 2, כעדיפות עליונה.

המטרה היא סט רזה של מדדים ופריטים המדגימים שלושה דברים:

  • אתה יודע אילו כללים חשובים.
  • אתה בודק את עמידתם.
  • אתה פועל לפי מה שאתה מגלה, ולומד.

סיפורי הביטחון החזקים ביותר הם אלה שאתם יכולים לספר באופן עקבי, לא אלה שאתם מחדשים עבור כל לקוח.

תכנון מערך מדדים רזה A.5.36

מערך מדדים רזה מסוג A.5.36 מתמקד בקומץ אינדיקטורים שמדברים בבירור על סיכון, התנהגות ושיפור. מדדים רבים מדי מדללים את תשומת הלב וקשה לתחזק אותם.

אינכם זקוקים לרשימה ארוכה של מדדי ביצועים (KPI). קבוצה קטנה שנבחרה בקפידה יכולה להיות חזקה יותר וקלה יותר לתחזוקה, במיוחד כשאתם צריכים להסביר אותה שוב ושוב למבקרים, דירקטוריונים וללקוחות.

דוגמאות שעובדות היטב עבור ספקי שירותי ניהול רשת (MSPs) כוללות:

  • כיסוי פוליסה והדרכה: אחוז הצוות והתפקידים המרכזיים שהכירו והשלימו הכשרה בנוגע למדיניות ותקנים רלוונטיים.
  • שיעורי הפרות: מספר וחומרת ההפרות שזוהו של כללים מרכזיים לאורך תקופה, מחולקות לפי שירות או פונקציה.
  • זמן לתיקון: זמן ממוצע מגילוי הפרה או אי התאמה ועד לפתרון.
  • נוף חריגים: מספר החריגים שאושרו לכללים, גילם ומתי הם אמורים להיבדק.
  • כיסוי ניטור: שיעור המערכות או הלקוחות הנכללים במסגרת הפרויקט המכוסים על ידי בדיקות מוגדרות.

מדדים אלה יכולים להיות מוצגים בצורה שונה עבור קהלים שונים. דירקטוריונים ומנהלים אכפתיים ממגמות ומהשפעה עסקית. צוותים טכניים אכפתיים היכן למקד את המאמץ. לקוחות אכפתיים מהבטחה שהכללים נאכפים וישתפרו לאורך זמן. קישור מדדים כגון גיל חריגים או ניטור כיסוי לתוצאות מסחריות - למשל, כיצד הם משפיעים על ממצאי בדיקת נאותות או חידוש חוזים - מבהיר את הרלוונטיות שלהם.

ביקורות פנימיות סדירות של אמצעים אלה מסייעות בזיהוי בעיות מערכתיות, כגון הפרות חוזרות ונשנות של אותו כלל או שירותים מסוימים המתקשים לעמוד בסטנדרטים. תובנות אלו צריכות להוביל לשיפורים ממוקדים בהכשרה, בתהליכים או בכלים.

בניית חבילות ראיות רב פעמיות

חבילות ראיות רב פעמיות מאפשרות לכם להגיב במהירות ובעקביות לבקשות אבטחה. במקום להרכיב חבילות אד-הוק תחת לחץ, אתם שומרים על קומת A.5.36 ליבה שניתן להתאים אותה לכל מבקר או לקוח.

מבקרים ולקוחות כאחד מעריכים ראיות מובנות וניתנות לשימוש חוזר. במקום להתחיל מאפס עבור כל הערכה, ניתן להכין "חבילת ראיות" לפי A.5.36 שתעדכן מעת לעת ותתאים לקהל היעד.

חבילה טיפוסית עשויה לכלול:

  • הסבר תמציתי על אופן מימוש A.5.36 ב-MSP שלכם, עם דיאגרמות המציגות את המסגרת והתהליכים המרכזיים.
  • קטעים מרישום המדיניות והתקנים שלך, המדגישים כללים החלים על השירותים הנכללים במסגרת.
  • דוגמאות לרישומי הכשרה ואישור עבור צוות רלוונטי.
  • דוחות ניטור נבחרים המדגימים בדיקות מול כללים מרכזיים.
  • קבוצה קטנה של פניות שעברו עריכה, המציגות כיצד אי-ציות נרשם ומטופל.
  • סיכומים של ביקורות פנימיות או סקירות תאימות שבדקו בקרות הקשורות לתקן A.5.36.
  • ראיות לכך שההנהלה בחנה את מדדי עמידה במדיניות וקיבלה החלטות לגבי שיפורים.

עבור לקוחות, ניתן להפוך את החומר הזה לאנונימי יותר ולהתאים אותו אישית, תוך התמקדות בכללים ובשירותים הרלוונטיים להם ובאופן שבו הממשל הכולל של ספק שירותי ניהול הרשת (MSP) שלכם תומך בדרישות הספציפיות שלהם. דוגמה אנונימית מלקוח דומה - כגון MSP בינוני עם SOC ושירותי זיהוי ותגובה מנוהלים - יכולה לעזור להמחיש כיצד המסגרת שלכם פועלת בפועל מבלי לחשוף פרטים חסויים.

ISMS.online מסייע בכך שהוא מאפשר לך לאחסן תיאורי בקרה, לקשר אותם לרישומי ראיות, לעקוב אחר תאריכי סקירה ולייצא תצוגות עקביות בעת הצורך. הוא גם תומך באבטחה הפנימית שלך, מכיוון שאתה יכול לראות במבט חטוף אילו כללים כוללים ראיות מעודכנות ואילו דורשים תשומת לב לפני הביקורת או סקירת הלקוח הבאה.



הזמן הדגמה עם ISMS.online עוד היום

ISMS.online מספק ל-MSP שלכם דרך מעשית להפוך את A.5.36 מתרגיל נייר לבקרה גלויה וניתנת לניהול על פני השירותים שלכם. זה עוזר לכם לעבור מתאימות תלוית-אדם בנקודת זמן, לאבטחה מתמשכת התואמת את האופן שבו אתם מנהלים את פעולות האבטחה שלכם כבר עכשיו.

בפועל, זה אומר שאתה יכול:

  • שמרו את המדיניות והסטנדרטים שלכם במקום אחד, ממופים לשירותים, סיכונים ובקרות ISO 27001.
  • הקצאת בעלות ברורה לכללים ובקרות, עם משימות וזרימות עבודה שעוקבות אחר ביקורות ושיפורים.
  • קשרו כללים לראיות מהעולם האמיתי כגון ביקורות, דוחות ניטור וקרנות, מבלי לשכפל נתונים תפעוליים.
  • בנה ותחזק ערכות ראיות רב פעמיות עבור מבקרים ולקוחות, תוך קיצור זמן ההכנה והפחתת מתחים.
  • תמיכה בסקירות הנהלה ובדיווחי דירקטוריון עם תצוגות עדכניות של מדדי תאימות למדיניות ואי התאמות.

לראות זאת בהקשר של השירותים שלכם זה הרבה יותר עוצמתי מאשר לקרוא על כך באופן מופשט. הדגמה נותנת לכם הזדמנות לעבור על אתגרי A.5.36 שלכם, לראות כיצד הם משתלבים בפלטפורמה ולחקור כיצד ייראה מודל אבטחה רציף יותר, הנתמך על ידי כלים, עבור הארגון שלכם.

אם אתם מובילים את האבטחה, התפעול או התאימות ב-MSP וצריכים לחזק את אופן הדגמת A.5.36 למבקרים וללקוחות ארגוניים, הזמנת הדגמה היא צעד מעשי נוסף. היא מאפשרת לכם לבחון האם ISMS.online יכול לעזור לכם להראות - ולא רק לומר - שאתם עומדים במדיניות, בכללים ובסטנדרטים שלכם לאבטחת מידע בכל שירות מנוהל שאתם מספקים.


שאלות נפוצות

מה באמת דורש תקן ISO 27001:2022 A.5.36 ממנהל ניהול מערכות מידע (MSP) על בסיס יומיומי?

A.5.36 מצפה מ-MSP שלכם להוכיח שאנשים אכן פועלים לפי כללי האבטחה שלכם בעבודה היומיומית, ושאתם מזהים, מעריכים ומתקנים באופן שגרתי אי-ציות בכל האזור שלכם, בשרשרת הכלים שלכם ובסביבות של הלקוחות שלכם.

היכן מופיע A.5.36 ב-MSP אמיתי?

עבור ספק שירותים מנוהלים, בקרה זו נוגעת בשלושה מקומות בו זמנית:

הסביבה הפנימית שלך

זה כל מה שהצוות שלך משתמש בו כדי להפעיל ולתמוך בשירותים:

  • גישה לפלטפורמות PSA, RMM, SIEM, גיבוי, זיהוי וכרטוס.
  • מחשבים ניידים, שרתים, VPN ו-SaaS המשמשים מהנדסים וצוות משרדי.
  • כיצד אנשים מטפלים בנתוני לקוחות בדוא"ל, צ'אט, תיעוד ושיתופי מסך.

כאן שואלת A.5.36: האם יש לכם כללים ברורים לגבי אופן הגישה וההגנה של הצוות על הנכס הזה, האם הם מבינים אותם, והאם תוכלו להראות כיצד אתם בודקים ומשפרים אותם לאורך זמן?

ערימת השירותים מרובת הדיירים שאתה מפעיל

זוהי שכבת הכלים המשותפת שאתה מפעיל מטעם לקוחות רבים:

  • RMM, EDR, SIEM, זהות, קונסולות ניהול ענן, פלטפורמות גיבוי וכרטוס.
  • כללים עבור MFA בקונסולות, עיצוב תפקידי מנהל, שימוש בחשבונות שבירת זכוכית, גישת ספקים ואישורי שינויים.
  • התאמה בין קטלוג השירותים שלך, ספרי המכירות ומה שקורה בפועל בכרטיסים ובשינויים מחוץ לשעות הפעילות.

כאן הציפייה פשוטה: כללים מתועדים, בעלים ברורים, קצב סקירה מוגדר, והוכחות לכך שחריגים נרשמים, מוערכים ונסגרים או מתקבלים כסיכונים.

סביבות לקוח הנכללות בהיקף

אלו עומסי העבודה של התשתית וענן שאתם מנהלים במסגרת חוזה:

  • מכשירים, רשתות, דיירים, מנויים ובקרות אבטחה שאתה אחראי עליהם.
  • הסכמי רמת שירות (SLA) וריצות עבודה (runbooks) המגדירים מה המשמעות של "מאובטח מספיק" עבור כל שירות.
  • הוכחה לכך שתיקון תקלות, ניטור, בדיקות גיבוי, סקירות גישה וטיפול באירועים תואמים את מה שהבטחתם.

בשלוש השכבות הללו, רואי חשבון, חברות ביטוח סייבר ורוכשי עסקים מחפשים למעשה שלושה דברים:

  • כללים ספציפיים ל-MSP: שמדברים על גישה מרחוק, כלי עבודה מרובי דיירים, טיפול בנתוני לקוחות ושימוש בקבלני משנה.
  • ראיות לכך שאנשים פועלים לפי הכללים הללו: – הדרכה, אישורי מדיניות, דוגמאות לכרטיסים שעובדו ולספרי עבודה, רשומות סקירת גישה.
  • לולאה ניתנת למעקב: מראה שכאשר מופרים כללים, אתם רושמים זאת, מעריכים את הסיכון, נוקטים פעולה ומתאימים את הבקרות או ההדרכה.

כאשר ניתן להסביר את הלולאה הזו בשפה פשוטה ולגבות אותה בקבוצה קטנה ונבחרת בקפידה של דוגמאות, A.5.36 הופך לדרך להראות ללקוחות שאתם מנהלים את ה-MSP שלכם במשמעת, ולא סתם עוד תיבת סימון ברשימה בנספח A.

כיצד יכול מנהל שירות ניהולי (MSP) לעבור מ"תאימות ניירת" שנתית להבטחת ציות מתמשכת מבלי לשרוף אנשים?

אתם עוברים לאבטחת מידע מתמשכת על ידי מעבר מבדיקה שנתית, ובמקום זאת מחברים בדיקות קטנות יותר, מבוססות סיכונים, לתוך הכלים ותהליכי העבודה שהצוותים שלכם כבר משתמשים בהם, כך שראיות שימושיות יופיעו אוטומטית בזמן שהם מבצעים את עבודתם.

כיצד נראית אבטחה מתמשכת ב-MSP?

מודל מעשי נשען בדרך כלל על שלושה מהלכים.

השתמשו בקצב מבוסס סיכונים במקום ברשימות בדיקה שטוחות

לא כל כלל ראוי לתשומת לב שבועית:

  • תחומים בעלי השפעה גבוהה: – גישה מועדפת, שינויים בסיכון גבוה, גיבויים עבור דיירים מרכזיים, ניטור כיסוי – הצדקה רציף, יומי או שבועי המחאות.
  • תחומים בעלי השפעה בינונית: – תאימות לטלאים, קווי בסיס של תצורה, השלמת הדרכת אבטחה – התאמה חודשי או רבעוני מחזורים.
  • אזורים בעלי השפעה נמוכה יותר: – חלק מהפקדים הפיזיים או כלי נישה – ניתן לדגום ב ביקורות פנימיות ובדיקות נקודתיות.

זה מראה שאתם משקיעים מאמץ A.5.36 במקומות שבהם סיכון ואמון הלקוח דורשים זאת, לא רק במקומות שבהם תבנית ציינה "חודשי".

שלבו בדיקות בכלים שהצוותים שלכם כבר משתמשים בהם

אבטחה מתמשכת שורדת רק אם הבדיקות הן חלק מהעבודה הרגילה:

  • אישורי שינויים, שימוש מנהלי מחוץ לשעות הפעילות וחריגים נאכפים באמצעות זרימות עבודה של כרטיסים עם שדות חובה ואישורים.
  • עקרונות בסיס וכללי תיקון נאכפים ומדווחים ב כלי RMM ואבטחת נקודות קצה, לא מועתק לגליונות אלקטרוניים.
  • אירועי ניהול וזהות – תפקידים חדשים בעלי הרשאות, שינויים ב-MFA, כניסות מסוכנות – מתבצעים באמצעות יומני ביקורת וכללי SIEM מכוון למספר קטן של דפוסים משמעותיים.

המטרה היא שמערכת ה-ISMS שלכם וכל מערכת IMS המותאמת לנספח L ישתמשו באותות הקיימים הללו במקום ליצור יקום מקביל של יומני רישום ידניים שאף אחד לא בוטח בהם.

תנו לראיות להיות תוצר לוואי של פעולות טובות

כאשר המחאות מועברות לפלטפורמות שלך:

  • כרטיסים, לוחות מחוונים, דוחות, רישומי שינויים והערות סקירה הופכות לראיה A.5.36 כברירת מחדל.
  • מנהל ה-ISO או ראש האבטחה שלך מפסיק להיות "צייד ראיות" והופך ל... מקלט בקרה, באמצעות זרם זה כדי לכוונן ספים, קצב ואימון.

אם הצוות שלכם כבר חושש מהשבועות שלפני ביקורות מעקב או ביקורות לקוחות גדולות, תוכלו למקם את האבטחה המתמשכת כדרך להפוך את החיים לרגועים ומקצועיים יותר, ולא כשכבה נוספת של ניהול תאימות. ISMS.online נועד לשבת מעל מודל זה על ידי קישור סיכונים, מדיניות, ביקורות פנימיות ופעולות מתקנות במקום אחד, כך שבדיקות מתמשכות בכלים שלכם יזינו באופן טבעי את מערכת ניהול אבטחת המידע שלכם.

על אילו בדיקות ורישומים קונקרטיים צריך MSP להתמקד תחילה עבור A.5.36?

אתם לא צריכים קיר של קלסרים. אתם צריכים סט קטן וממושמע של בדיקות ורישומים שמוכיחים שקיימים כללים סביב אזורים בעלי סיכון גבוה, שהם מיושמים בפועל, ומתוקנים כאשר הם לא.

אילו תחומים בדרך כלל חשובים ביותר בביקורות ובבדיקת נאותות?

חמישה תחומים נושאים בדרך כלל את המשקל הרב ביותר עבור MSP.

1. גישה מורשית וגישה מרחוק

זה בדרך כלל המקום הראשון שמבקרים ולקוחות מחפשים.

  • הגדר: מי יכול להחזיק חשבונות מנהל מערכת, אילו תקני MFA ומכשיר חלים, כיצד נמנעים משיתוף אישורים וכיצד מבוקשת ומבוטלת גישה לחירום.
  • לִשְׁמוֹר: ייצוא של חברות בקבוצת מנהל, פרוטוקולים קצרים של סקירת גישה, וכמה כרטיסים שעברו עריכה המציגים גישה לחירום שנפתחה ונסגרה.

2. תיקון ותצורה

זה מראה האם אתם יכולים לבצע היגיינה בסיסית בקנה מידה גדול.

  • הגדר: מחזורי תיקון מינימליים לפי סוג מערכת, תצורות בסיסיות עבור נקודות קצה, שרתים וענן, וכיצד מטופלים חריגים.
  • לִשְׁמוֹר: דוחות תיקונים ופגיעויות עם היקף ותאריכים ברורים, בנוסף לכרטיסים בהם נמצאה סטייה מהקו הבסיסי, הוערכה לפי סיכונים ותוקנה.

3. ניהול שינויים בסיכון גבוה

כאן מתחילות אירועים חמורים רבים.

  • הגדר: אילו שינויים דורשים אישור רשמי (לדוגמה, כללי חומת אש, שינויי זהות, מדיניות גיבוי), מי מאשר ומה יש לתעד.
  • לִשְׁמוֹר: קבוצה קטנה של כרטיסי שינוי מלאים המציגים את המסע מהבקשה ועד לאישור, ובמידת הצורך, סקירה לאחר היישום.

4. כיסוי רישום וניטור

זה מוכיח שאתה שם לב ופועל כשמשהו משתבש.

  • הגדר: אילו אירועים יש לתעד עבור הנכס שלך ועבור שירותים מנוהלים, היכן יומני הרישום נמצאים, כמה זמן אתה שומר אותם ואילו התראות חשובות.
  • לִשְׁמוֹר: דיאגרמות או סיכומים פשוטים של כיסוי, התראות לדוגמה וכרטיסי המשך המראים כיצד הבעיה נחקרה ונסגרה.

5. חריגים ואי ציות

כאן A.5.36 באמת מראה האם אתם לוקחים את הכללים ברצינות.

  • הגדר: כיצד מועלים, מאושרים, מוגדרים בלוחות זמנים ונבדקים חריגים, וכיצד מטפלים באי-ציות חוזר ונשנה.
  • לִשְׁמוֹר: יומן חריגים חי המקושר לרישום הסיכונים שלך, וכמה מקרים שבהם לא רק תיקנת את הבעיה המיידית אלא גם שינית תבנית, עדכנת runbook או התאמת את ההדרכה.

כאשר אתם מאגדים את כל אלה ל"חבילת ראיות" קומפקטית מסוג A.5.36 ושומרים עליה מעודכנת, תוכלו לענות למבקרים, לחברות ביטוח סייבר ולצוותי רכש ארגוניים במהירות מבלי להמציא ראיות חדשות בכל פעם. ב-ISMS.online, חבילה זו יכולה להיות לצד המדיניות, הסיכונים, הביקורות הפנימיות וסקירות ההנהלה הרלוונטיות שלכם, כך שהצוות שלכם תמיד יודע לאן לפנות כשמישהו שואל, "הראו לי איך אתם יודעים שהמדיניות שלכם מיושמת".

כיצד על MSP להטמיע את A.5.36 במערכות ה-ISMS וה-IMS שלה כדי לשרוד שינויים בצוות?

A.5.36 מחזיק מעמד מעבר לכל הנחיה אחת של ISO כאשר מתייחסים אליה כחלק מקצב הממשל שלכם, ולא כפרויקט צדדי. משמעות הדבר היא שילוב תאימות למדיניות לניהול סיכונים, ביקורת פנימית, טיפול באירועים ושינויים, וביקורת הנהלה כך שהיא תידון ותפעל באופן קבוע.

איך זה נראה בתוכנית תכנון אזורית (MSP) המותאמת לנספח L?

שלוש אפשרויות עיצוב עושות הבדל מורגש.

1. התייחסו לדפוסי פריצה כסיכונים, לא לרעש

במקום להתייחס להפרות חוזרות ונשנות של מדיניות כ"מקרים חד פעמיים מעצבנים":

  • לכידת נושאים חוזרים - חשבונות מנהל לא מנוהלים, שינויים לא מאושרים, עיכובים חוזרים של תיקונים, כשלים בגיבוי - ב רישום סיכונים עם השפעה מובהקת על הלקוחות והעסקים.
  • העריכו אותם כמו כל סיכון אחר בתקן ISO 27001: סבירות, השפעה ויעילות בקרה, כך ש"יצאנו מזה בלי בעיה" אינו המדד.
  • במערכת ניהול מידע (IMS) המותאמת לנספח L, יש לקשר סיכונים אלה לסעיפים קשורים בתקני איכות, ניהול שירות או המשכיות עסקית, כך שאותה חולשה לא תפגע בשקט בכמה תעודות.

2. העלאת סעיף A.5.36 לסדר היום של סקירת הנהלה וביקורת פנימית

עמידה במדיניות צריכה להיות נושא קבוע, לא רק נספח.

  • בסקירות הנהלה, יש לכלול אינדיקטורים פשוטים ומגמתיים: מספר וחומרת הפרות המדיניות, התיישנות חריגים, בדיקות בקרה שמועדן איחור וממצאי ביקורת פנימית הקשורים לכללים שלא קוימו.
  • השתמשו בביקורות פנימיות כדי שירותים, כלים ולקוחות אמיתיים לדוגמה ולבדוק האם הכללים מיושמים באמת שם, לא רק בחשבונות הבוגרים ביותר שלך.
  • הפכו את פלטי הסקירה לפעולות מעקב: למי הבעלים של תיקון, מתי הוא אמור להגיע, כיצד תיבדק ההתקדמות וכיצד נמדדת ההצלחה.

ISMS.online תומך בדפוס זה על ידי מתן תבניות לסקירות ניהוליות, סיכונים מקושרים, ביקורות פנימיות ופעולות מתקנות במקום אחד, כך שתוכלו להראות את הלולאה מבעיה לשיפור.

3. קשרו SOPs וריצות ישירות לבקרות וחוזים

מהנדסים צריכים לראות כיצד הצעדים שלהם מתואמים להתחייבויות.

  • יש לציין את שלבי הקליטה, השינוי, האירוע והתחזוקה באמצעות המדיניות, הבקרה בנספח A או סעיף החוזה שהם עומדים בהם.
  • עדכנו טפסים כך שיתפסו את הנתונים שתסתמכו עליהם בהמשך: איזה כלל יחול, מי אישר, איזה דייר הושפע, מה נעשה כדי למנוע הישנות.
  • יש לשקף ציפיות אלו בהכשרה מבוססת תפקידים, כך שהצוות יבין מדוע שדות ואישורים מסוימים הם חובה, ולא "מנהלה נוספת".

כאשר מבנה זה נמצא בתוך מערכת ה-ISMS שלכם וכל מערכת IMS רחבה יותר – במקום להיות מפוזרת על פני מסמכים וראשים של אנשים – A.5.36 הופך ל"איך אנחנו מנהלים את מערכת ה-MSP", ולא ל"מה שאנחנו מנקים עבור המבקר". אם אתם משתמשים ב-ISMS.online, תוכלו להפוך את הקישורים הללו למפורשים באמצעות עבודה מקושרת, רישומי סיכונים, ביקורות פנימיות וסקירות הנהלה, מה שעוזר לכם להראות המשכיות גם כאשר תפקידים משתנים.

כיצד כלי SIEM, RMM וכלי כרטוס יכולים להפוך למנועי אכיפה מעשיים של כללי מדיניות?

אתם הופכים פלטפורמות קיימות למנועי אכיפה על ידי תרגום קבוצה קטנה של כללים חשובים לתנאים שהכלים הללו יכולים לבדוק באופן אוטומטי, ועל ידי הבטחה שכל תקלה הופכת לכרטיס ברור וניתן לפעולה עם בעלות ונתיב משוב למערכת ה-ISMS שלכם.

איזה דפוס יכול MSP לעקוב אחריו כדי להפוך את הכללים לניתנים לבדיקה על ידי מכונה?

דפוס פשוט בן שישה שלבים עובד ברוב התחומים.

1. כתבו את הכלל כך שגם אדם וגם כלי יוכלו ליישם אותו

לדוגמה:

  • "כל שרתי Windows המנוהלים חייבים להחיל עדכוני אבטחה קריטיים תוך 14 יום ממועד השחרור, אלא אם כן קיים חריג שאושר."
  • "לכל דייר לקוח חייבים להיות לפחות שני מנהלי מערכת גלובליים בעלי שם, שניהם מוגנים על ידי MFA וגישה מותנית."

הימנעו מביטויים דו-משמעיים כמו "במידת האפשר" אם אתם רוצים כלים שיעזרו לכם.

2. החליטו אילו אותות מוכיחים שהכלל נכון או שגוי

תראו מה המערכות שלכם כבר יכולות לראות:

  • נתוני תיקון RMM או סורק פגיעויות.
  • CMDB או תוכן מלאי נכסים.
  • תפקידי מנהל, יומני כניסה ותצורה של ספריות ו-SaaS.
  • כרטיסים וחריגים בדלפק השירות שלכם.

אותות אלה מגדירים מה ניתן לבדוק באופן אוטומטי.

3. הפכו את הכלל לתנאים קונקרטיים וניתנים לבדיקה

דוגמאות:

  • "כל שרת הנמצא בטווח מופיע במלאי, כולל סוכן עדכני ואינו מציג פגיעויות קריטיות שלא תוקנו בנות יותר מ-14 יום."
  • "לכל שרת עם תיקון שמועדו איחור יש חריג פתוח ומאושר או כרטיס תיקון עם הבעלים והסכם רמת שירות."
  • "לכל דייר יש לפחות שני מנהלי מערכת גלובליים ייחודיים עם אכיפה של MFA; אין חשבונות גנריים בעלי תפקידי מנהל."

שלב זה יוצר את הגשר בין מילות המדיניות להיגיון הכלים.

4. בנו לוחות מחוונים, שאילתות וכללים בכלים שלכם

הטמע את התנאים הללו בפלטפורמות שלך:

  • לוחות מחוונים ב-RMM וכלי פגיעויות שחושפים נכסים שאינם תואמים ומאפשרים לצוותים להתעמק.
  • כללי מתאם של SIEM או דוחות מתוזמנים המדגישים אנומליות רלוונטיות למדיניות, כגון חשבונות חדשים בעלי הרשאות ללא MFA או שינויים גדולים מחוץ לחלונות השינוי.
  • זרימות עבודה של טיפול בכרטיסים האוכפות אישורים ולוכדות את השדות הנכונים כאשר קטגוריות מסוימות מועלות.

כעת, "בדיקת תאימות" היא עניין של התבוננות בתצוגות חיות, לא של הרכבת גיליונות אלקטרוניים אד-הוק.

5. ניתוב כשלים לכרטיסים משמעותיים

כאשר משהו נכשל במבחן, הוא אמור ליצור פנייה שמישהו יכול לפעול לפיה:

  • תייגו כרטיסים עם הכלל והבקרה אליהם הם מתייחסים (לדוגמה, "ISO 27001 A.5.36 – גישה פריבילגית").
  • כלול הקשר: שם הלקוח, מזהה הנכס, חומרת האבטחה, משך הזמן בו ההפרה נמשכת וקישורים לכל חריגים קשורים.
  • קבעו SLAs ובעלים ריאליים כדי שהכרטיסים האלה לא ייקברו תחת רעש של ערך נמוך.

זה החלק ש-A.5.36 דואג לו: אתם לא רק מזהים הפרות של הכללים שלכם, אתם מתקנים אותן בצורה מבוקרת.

6. שמרו מספיק היסטוריה כדי להראות מגמות ולמידה

ראיות לכך ששולטות בעבודה מגיעות מההיסטוריה:

  • שמרו לוחות מחוונים, דוחות וכרטיסים מספיק זמן כדי להראות שיפור או נושאים חוזרים, ולתמוך בביקורות פנימיות.
  • השתמשו בקומץ מקרים שנבחרו בקפידה – כולל לפחות דוגמה אחת לא נוחה – בסקירות הנהלה, בדיקת נאותות ספקים ופגישות עם לקוחות כדי להראות שהפרות מדיניות מובילות לפעולה וללמידה.

עם הזמן, דפוס זה בונה קטלוג של כללים הניתנים לבדיקה על ידי מכונה, הכוללים גישה מועדפת, אימות גיבוי, פריסת EDR, כיסוי יומנים ועוד. ISMS.online מסייע על ידי קישור בקרות אלו והראיות שלהן למדיניות, לסיכונים ולבקרות של נספח A שלכם, כך שתוכלו להציג אותן כחלק ממערכת ניהול אבטחת מידע קוהרנטית, ולא כערימה של צילומי מסך לא קשורים.

כיצד יכול ספק שירותי ניהול ספקי (MSP) להפוך את ISO 27001 A.5.36 ליתרון מסחרי ברור בעזרת ISMS.online?

אתם הופכים את A.5.36 ליתרון מסחרי על ידי היכולת להוביל ברוגע מבקרים ולקוחות מ"הנה הכלל" ל"כך אנו אוכפים אותו ומה אנו עושים כאשר הוא מופר" - ועל ידי כך מסביבה אחת ומובנית, תוכלו לעשות בה שימוש חוזר בביקורות, מכרזים וסקירות. ISMS.online בנוי להיות סביבה זו.

איך זה נראה בביקורות, בקשות להצעות מחיר וביקורות לקוחות?

שלושה הרגלים גורמים ל-MSPs להתבלט באופן עקבי.

השתמש בתצוגה ממופה אחת מכלל לשירות לראיות

במקום להתעסק עם תיקיות וגליונות אלקטרוניים כשמישהו מזכיר את A.5.36:

  • לשמור על רישום יחיד ומובנה של מדיניות, סטנדרטים וכללים ספציפיים לשירות ב-ISMS.online, עם בעלים ששמם מוכר, היקפים ומקורות ראיות מקושרים.
  • קשר כל כלל לבקרות, סיכונים, ביקורות פנימיות ופעולות מתקנות רלוונטיות בנספח א' באמצעות עבודה מקושרת.
  • כאשר מבקר או לקוח ארגוני שואלים, פתחו את המפה, ולאחר מכן לחצו על כמה דוגמאות חיות - גישה לביקורות, פניות לשינויים, אישורי הדרכה - כדי להראות את הנתיב מכלל כתוב להתנהגות בפועל.

רמת עקיבות זו גורמת לך להיראות כמו MSP שפועל על ISMS אמיתי, לא רק על כוונות טובות.

הראו כיצד אתם מגיבים כאשר מופרים כללים

קונים רוצים יותר ויותר להבין איך אתם מתנהגים בימים רעים:

  • השתמשו ב-ISMS.online כדי לשמור יומן מובנה של הפרות מדיניות וחריגים, עם שדות עבור השפעה, שורש הבעיה, בעלים, טיפול וסגירה.
  • הביאו לפגישות כמה מקרים שעברו עריכה קפדנית כדי להראות כיצד זוהו בעיות, מה עשיתם מיד, וכיצד חיזקתם את הבקרות או את ההדרכה לאחר מכן.

כאשר מטופלים היטב, דוגמאות אלה בונות אמון; הן מראות שאתה מתייחס ל-A.5.36 כאל דיסציפלינה חיה, ולא כסיסמת שיווק.

שימוש חוזר בעבודת A.5.36 שלך בין מסגרות ולקוחות שונים

מכיוון ש-ISMS.online תומך במערכות ניהול משולבות המותאמות לתקן ISO 27001 ונספח L, כל שיפור שתבצעו עבור A.5.36 ממלא תפקיד כפול:

  • מסגרות ותקנות נוספות: – SOC 2, NIS 2, DORA או תקנים ספציפיים למגזר שואלים לעתים קרובות שאלות דומות לגבי האופן שבו אתם פועלים לפי הכללים שלכם; אתם יכולים לענות מאותם רשומות מקושרות.
  • בקשות להצעות מחיר וביטוח סייבר: – שאלוני אבטחה שבודקים עמידה במדיניות ניתנים לעיתים קרובות למענה על ידי ייצוא או סיכום של ראיות ISMS.online קיימות.
  • ביקורות לקוחות ושאלות רבעוניות: – ניתן לעשות שימוש חוזר בחלקים מחבילת הראיות A.5.36 שלכם כדי להראות כיצד אתם מגנים על הסביבה של כל לקוח לאורך זמן, לא רק באבני דרך של הסמכה.

אם אתם רוצים להיתפס כ-MSP ש"יכול להראות בפועל איך הוא עובד", הגיוני לתת לצוות שלכם פלטפורמה שנועדה לרמת שקיפות כזו. בחינת האופן שבו ISMS.online יכול לתמוך בגישת A.5.36 שלכם - לצד מערכת ניהול אבטחת המידע הרחבה יותר שלכם וכל מערכת ניהול משולבת בסגנון נספח L - היא דרך מעשית לעבור מהסמכה בסיסית לסיפור מסחרי ובעל הגנה רבה יותר על האופן שבו אתם מנהלים אבטחה עבור עצמכם ועבור לקוחותיכם.

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.