עבור לתוכן
ISMS.online

כיצד למפות תהליכי MSP לסעיפים בתקן ISO 27001 שלב אחר שלב

העברת פעולות MSP מתיחות מפוזרות לזרימות עבודה מובנות וניתנות לביקורת מראה ללקוחות ולמבקרים שהשירותים שלכם מבוקרים וניתנים לחזרה על עצמם. על ידי התאמת כל תהליך לסעיפים ובקרות של ISO 27001, אתם הופכים ראיות לנכס עסקי - מה שהופך אמון, ניהול סיכונים ותאימות לגלויים בכל פעולה.

מְחַבֵּר
מארק שרון
עודכן בדצמבר 1, 2025
4/5 כוכבים

מדוע מיפוי תהליכי MSP לתקן ISO 27001 הוא כעת קריטי

מיפוי תהליכי ספק השירות המנוהל שלכם לתקן ISO 27001 הופך את העבודה היומיומית לאבטחה מובנית שלקוחות ומבקרים יכולים לסמוך עליה. על ידי הצגת האופן שבו תורי כרטיסים, זרימות עבודה לשינויים, כללי ניטור וספרי נהלים לאירועים עומדים בסעיפים ובקרות ספציפיים בתקן 2022, אתם מוכיחים שספק השירות המנוהל שלכם פועל על פי תהליכים מבוקרים וחוזרים ולא על הרגלים לא מתועדים או מעשי גבורה אישיים. מדריך זה מיועד למידע כללי בלבד; עליכם לפנות לייעוץ מקצועי מוסמך לקבלת החלטות בנוגע לחובות המשפטיות או הרגולטוריות הספציפיות שלכם.

קו הבסיס החדש של אבטחת מידע עבור ספקי שירותי ניהול רשת (MSPs)

תקן ISO 27001 עבר מתווית "נחמדה שיש" לדרישה נפוצה יותר ויותר במכרזים, שאלוני אבטחה וטפסי ביטוח סייבר. גופים בתעשייה ומקצועיים מתארים יותר ויותר אישורי אבטחה רשמיים כמו ISO 27001 כגורם המאפשר עסקים לזכייה ושימור לקוחות ולא רק תיבות סימון טכניות, דבר המשקף עד כמה קונים מקשרים כיום בין רמת האבטחה לאמון מסחרי. ככל שלקוחות מתמודדים עם ציפיות מחמירות יותר של סיכון צד שלישי מצד הרגולטורים וחברות הביטוח שלהם, הם מתמקדים יותר ויותר באופן שבו אתם מנהלים ומעידים על השירותים שלכם, ולא רק בשאלה האם אתם טוענים שאתם פועלים לפי נהלים נאותים. הנחיות רגולטוריות בנושא אבטחת שרשרת אספקה ​​וצד שלישי, כולל המלצות מגופי אבטחת סייבר אירופאיים, מדגישות כי ארגונים חייבים להתייחס לספקים מרכזיים ולספקי שירותי ניהול (MSP) כחלק מסביבת הבקרה שלהם ולא כספקים שאינם קשורים לשוק.

דו"ח מצב אבטחת המידע של ISMS.online לשנת 2025 מראה כי לקוחות מצפים יותר ויותר מספקיהם להתאים את עצמם למסגרות פורמליות כגון ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 ותקני בינה מלאכותית מתפתחים.

עבור קונים רבים, השאלה כיום היא פחות "האם יש לכם תעודה?" ויותר "האם אתם יכולים להראות שהפעילות היומיומית שלכם מבוקרת, ניתנת לחזרה וניתנת לביקורת?". אם אתם יכולים לענות על כך רק באמצעות מסמכי מדיניות ורשימת כלים, אתם מרגישים את ההשפעה במהירות באמצעות מחזורי מכירה ארוכים יותר, בדיקות נאותות מוגברות, עסקאות מוזלות או הזדמנויות שהוחמצו. פלטפורמת ISMS כמו ISMS.online יכולה להקל הרבה יותר על הצגת ראיות אלו באופן עקבי בקרב לקוחות וביקורות, והנחיות ספקים המכוונות לספקי שירותי ניהול שירותי ניהול מראות כיצד מבנים ורישומי ראיות שנבנו מראש לתקן ISO 27001 יכולים לפשט את קומת הבטחה הזו בפועל.

למה "זה עובד" כבר לא מספיק

מנהלי שירותי ניהול (MSP) בעלי יכולת תפעולית עדיין מתקשים להוכיח את הכשירות הזו בהקשר של ISO 27001. פתרונות לבקשות, שינויים מתבצעים, התראות נחקרות ואירועים מטופלים, אך חלק ניכר מהמומחיות הזו חי בראשם של אנשים, בשרשורי צ'אט ובגישת מנהל לא מתועדת, ולא במערכת רישומים התואמת את התקן.

מנקודת מבט של הסמכה או אבטחת לקוחות, שלושה תחומים בדרך כלל נכשלים:

  • הֲדִירוּת: מישהו שמחליף מהנדס מפתח יכול לעקוב אחר אותה זרימת עבודה מתועדת ולהשיג את אותה התוצאה.
  • עֵדוּת: ניתן להציג מתי פקד פעל, מי אישר אותו ומה הייתה התוצאה.
  • כיסוי: כל הלקוחות הנכללים בתוכנית מקבלים את אותה שליטה, לא רק הלקוחות הגדולים ביותר או המועדפים עליך.

מיפוי מובנה לתקן ISO 27001 מאלץ אותך להתייחס לנקודות אלו תהליך אחר תהליך, סעיף אחר סעיף, כך ש"זה עובד" יהפוך ל"זה מבוקר, מתועד וניתן להוכחה".

מיפוי כניהול סיכונים ועסקים, לא כבירוקרטיה

התייחסות למיפוי ISO 27001 ככלי עסקי ולא רק ניירת הופכת את המאמץ לקל יותר להצדקה. כשחושבים במונחים של סיכון, אמון לקוחות והערכה, מיפוי הופך לדרך להגן ולפתח את העסק, ולא לפרויקט צדדי עבור המבוקרים.

בפרט, מיפוי חזק:

  • מפחית את התלות במספר מצומצם של גיבורים על ידי הפיכת זרימות עבודה לניתנות ללימוד ולביקורת.
  • נותן לך מעמד ראוי להגנה מול דירקטוריונים, חברות ביטוח ורגולטורים.
  • הופך בגרות תפעולית לנכס מסחרי שניתן להדגים.

אתם לא מוסיפים שכבת תאימות חדשה ל-MSP שלכם; אתם חושפים ומארגנים את הבקרות שכבר קיימות ב-SOC, ב-NOC וב-service desk שלכם. בין אם אתם מחזיקים את המיפוי בגיליונות אלקטרוניים או בפלטפורמה ייעודית כמו ISMS.online, הערך נובע מהבהירות והעקביות שאתם יוצרים.

דו"ח מצב אבטחת המידע של ISMS.online לשנת 2025 מצא שרוב הארגונים כבר נפגעו מאירוע אבטחה אחד לפחות הקשור לצד שלישי או לספק בשנה האחרונה.

ברגע שרואים מיפוי באור זה, השאלה המעשית הופכת לאופן שבו עוברים מכרטיסים וסקריפטים בודדים לשירותים וזרימות עבודה שניתן לתאר, להיות בבעלות ולבקר.

הזמן הדגמה


מכרטיסי אד-הוק לבקרות מבוקרות: שינוי ה-MSP

כדי למפות עבודת MSP לתקן ISO 27001, ראשית עליכם לעבור מכרטיסים וסקריפטים מבודדים לשירותים וזרימות עבודה בעלי שם וניתנים לחזרה. כאשר אתם מקבצים פעילויות חוזרות לשירותים יציבים, תוכלו להטמיע נקודות בקרה בכלים שכבר משתמשים בהם וליצור ראיות מוכנות לביקורת בכל פעם שטכנאי מבצע את התהליך.

הפכו כרטיסים לשירותים ולעבודה סטנדרטית

הפיכת רעש הכרטיסים לקבוצה קטנה של שירותים יציבים הופכת את מיפוי ISO 27001 לקל הרבה יותר. כאשר בקשות דומות מקובצות לשירותים בעלי שם ולשינויים בתקן, בעלי שירותים, מהנדסים ומבקרים יכולים לראות מה אתם מספקים וכיצד זה קשור לסעיפים ובקרות ספציפיים.

בסקר מצב אבטחת המידע של ISMS.online לשנת 2025, כ-42% מהארגונים אמרו כי פער המיומנויות באבטחת מידע היה האתגר הגדול ביותר שלהם.

מנהיגי אספקת שירותים בדרך כלל מזהים דפוס מוכר: עשרות סוגי כרטיסים ששייכים למעשה לקומץ שירותים. איפוס סיסמאות, קליטת משתמשים, בניית מכשירים ושינויי הרשאות נמצאים בתוך ניהול גישה או נקודות קצה. משימות תיקון, שינויי תצורה ותיקוני פגיעויות נמצאים בתוך ניהול תיקונים ותצורה.

החלק הראשון של השינוי הוא לקבץ את הכרטיסים החוזרים הללו ל:

  • שירותים בעלי שם: כגון "נקודת קצה מנוהלת", "גיבוי מנוהל", "רשת מנוהלת" או "זהות מנוהלת".
  • שינויים סטנדרטיים: ו בקשות שירות עם קריטריונים ברורים, דפוסי אישור וצעדים צפויים.
  • חריגים: שהם באמת מקרים חד פעמיים וראויים לטיפול מיוחד.

ברגע שהעבודה מקובצת בצורה זו, קל הרבה יותר לדבר על האופן שבו "גיבוי מנוהל" או "ניהול אירועים" תומכים בסעיפים ספציפיים של ISO ובקרות של נספח A. אתם ממפים קבוצה קטנה של שירותים, לא אלפי כרטיסים בודדים.

הטמע נקודות בקרה בכלים שכבר משתמשים בהם

מערכת ה-PSA או ה-ITSM שלכם יכולה להיות יותר מיומן; היא יכולה להפוך למנוע הראיות העיקרי עבור ISO 27001 אם תתכננו אותה בקפידה. המטרה היא שכל תהליך עבודה שבוצע ישאיר עקבות עקביים שיראו איזו בקרה בוצעה, מי היה מעורב ואיזו תוצאה הושגה.

בדרך כלל ניתן להשיג זאת על ידי:

  • הגדרת מצבים ברורים כגון "ממתין לאישור", "בחלון שינויים" ו"ממתין לאישור לקוח".
  • הוספת שדות חובה שבהם מתקבלות החלטות בקרה, כגון דירוגי סיכונים או תוכניות החזרה למצב קודם.
  • שימוש בתבניות ואוטומציה כך שכל שינוי סטנדרטי ישאיר נתיב ביקורת עקבי.

התוצאה היא שבכל פעם שטכנאי עוקב אחר תהליך העבודה, הוא מייצר ראיות לכך שהבקרה פועלת כמתוכנן. אתם כבר לא מנסים לשחזר סיפורים מהזיכרון כאשר מבקר או לקוח מבקשים לראות הוכחות.

הפיכת עבודה בין-צוותית לגלויה

עבור ספק שירותים מנוהלים, חלק מהבקרות הקריטיות ביותר תלויות בשיתוף פעולה בין צוותים. פעילות חוצת צוותים היא בריאה מנקודת מבט של ISO, אך רק אם העברות ואחריות נראות לעין כאשר העבודה עוברת בין דלפק השירות, NOC, SOC וניהול תיקי לקוחות.

ניתן לתמוך בכך על ידי:

  • הגדרת אילו תורים וקבוצות שייכים לכל שלב בתהליך עבודה.
  • שימוש ב-runbooks המציגים תחומי אחריות ונתיבי הסלמה.
  • הבטחת קישור בין התראות ניטור ואירועים, במקום לחיות בממגורות נפרדות.

כאשר עבודה חוצת צוותים גלויה, קל הרבה יותר להדגים בעלות ואחריות ב-RACIs ובמטריצות עקיבות. עם בסיס זה במקום, ניתן לתכנן מסגרת מיפוי פשוטה שקושרת שירותים וזרימות עבודה לתקן ISO 27001 מבלי להפוך אותה לתרגיל חד פעמי בגיליון אלקטרוני.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


מסגרת מיפוי התהליכים של MSP–ISO 27001

מסגרת מיפוי פשוטה מונעת מעבודת ISO 27001 להפוך לגיליון אלקטרוני חד פעמי והופכת אותה לנכס רב פעמי. על ידי שמירה על רשימה יציבה של דרישות ISO ורשימה יציבה של שירותי MSP, ניתן להראות בדיוק אילו תהליכים, בעלים וראיות עומדים בכל סעיף ובקרה בקרב לקוחות וביקורות.

ברגע ששירותים וזרימות עבודה נראים לעין, ניתן להגדיר מסגרת המחברת אותם באופן שיטתי לדרישות ISO 27001. כאן מיפוי מפסיק להיות תרגיל אד-הוק והופך למשהו שניתן לתחזק ולעשות בו שימוש חוזר עבור ביקורות, ביקורות לקוחות ומסגרות חדשות.

כל מיפוי יעיל נמצא בין שתי רשימות קבועות: דרישות ISO 27001 וקטלוג שירותי ה-MSP שלכם. בהירות לגבי שתי הרשימות מונעת זחילת טווח והופכת ביקורות, שינויים והרחבות מרובות מסגרות מאוחרות יותר לקלות הרבה יותר לניהול.

המסגרת תמיד נמצאת בין שתי רשימות יציבות:

  • רשימת ISO: סעיפים 4-10 של תקן ISO 27001 (הקשר, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים, שיפור) בתוספת 93 בקרות בנספח א', המקובצות לפי נושאים ארגוניים, אנשים, פיזיים וטכנולוגיים. עדכון 2022 של ISO/IEC 27001 מגדיר במפורש מבנה זה, כך שהוא מספק עמוד שדרה טבעי לעבודת המיפוי שלכם.
  • רשימת MSP: רשימת השירותים והתהליכים התומכים שלך, כגון קליטה ויציאה, תפעול דלפק שירות, ניהול שינויים, ניהול תיקונים ובעיות בריאותיות, גיבוי ושחזור, ניהול גישה, ניטור, תגובה לאירועים וניהול ספקים.

על פי סקר ISMS.online משנת 2025, רוב גדול של ארגונים אומרים כי המהירות והיקף השינויים הרגולטוריים מקשים יותר ויותר על קיום תאימות לתקנות האבטחה והפרטיות.

רשמו את שתי הרשימות במפורש. מסגרת המיפוי היא אז קבוצת הקשרים בין הפריטים ברשימות אלו, בתוספת מידע על מי אחראי ואילו ראיות קיימות.

בחר את תצוגת המיפוי הראשית שלך

ניתן להציג את הקשר בין רשימת ה-ISO לרשימת ה-MSP בשתי דרכים עיקריות. בחירת תצוגה ראשית אחת שומרת על פשטות ההסבר והתחזוקה של המסגרת, ועדיין מאפשרת לך להתאים אותה לקהלים שונים.

שתי נקודות המבט הנפוצות הן:

  • תחילה סטנדרטי: עבור כל פסוקית ובקרה, הראו אילו תהליכים ושירותים של MSP מיישמים אותו.
  • שירות קודם כל: עבור כל שירות ותהליך, הצג אילו סעיפים ובקרות הוא תומך בהם.

שתי הגישות תקפות. דפוס נפוץ הוא להשתמש במטריצה ​​סטנדרטית תחילה עבור מבקרים וגופי הסמכה, ובגישה פנימית של שירות תחילה עבור בעלי שירותים ואדריכלים.

הטבלה שלהלן מסכמת כיצד שתי תצוגות המיפוי הללו קשורות בדרך כלל למשתמשים שונים.

לצפיה משתמש ראשי הכי טוב בשביל
סטנדרטי-קודם כל רואי חשבון, מנהלי מערכות מידע וירטואליות (vCISOs) הצגת כיסוי של סעיפים ובקרות
שירות קודם כל בעלי שירותים, מהנדסים הסבר כיצד שירותים מספקים ביטחון
היברידי לידים לתאימות מעבר בין תצוגות ביקורת ותפעול

מה שחשוב הוא לבחור אחד כעיקרון ארגון עיקרי ולהיצמד אליו כדי שכולם יבינו כיצד לקרוא את המיפוי. אם תאמצו סביבת ISMS כמו ISMS.online, בדרך כלל תוכלו לעבור בין תצוגות אלו מאותם נתונים בסיסיים במקום לתחזק גיליונות אלקטרוניים נפרדים לכל קהל.

החלט על פירוט וארכיטקטים

בחירת רמת הפירוט הנכונה עוזרת לכם לשמור על דיוק המיפויים מבלי ליצור עבודת תחזוקה מיותרת. שאפו לחלקי פעילות משמעותיים, יציבים וקלים להסבר לטכנאים ולמבקרים כאחד.

בפועל זה אומר:

  • חלוקת העבודה לחלקים משמעותיים ויציבים, כגון "ניהול מחזור חיי משתמש" במקום פריטים נפרדים למצטרפים, עוברים ועוזבים.
  • הימנעות מפיצול תהליכים בצורה כה דקיקה שלא ניתן לשמור על המיפוי כאשר כלים או צוותים משתנים.

לאחר מכן הגדירו קבוצה קטנה של חפצים שתשמרו:

  • A מיפוי אוגר או מטריצה ​​המחברת דרישות לתהליכים ולראיות.
  • A הצהרת תחולה שמפרט אילו בקרות של נספח א' נכללות בהיקף וכיצד הן מטופלות.
  • תרשימי RACI: עבור תהליכי עבודה עיקריים.
  • A מטריצת עקיבות שמראה דרישה ← בקרה ← תהליך ← ראיות ← בעלים.

כל הארכיטקטים הללו שואבים מאותם קשרים בסיסיים; המסגרת פשוט מחליטה כיצד להציג אותם לקהלים שונים. לאחר שהמסגרת הובהרה, השלב הבא הוא לבנות מלאי אמין של שירותים וזרימות עבודה שתוכלו למפות מולה.



שלב אחר שלב: שירותי ניהול מסמך ...

מלאי מדויק וחי של שירותים וזרימות עבודה בעולם האמיתי הוא הבסיס לכל מיפוי שימושי של תקן ISO 27001. כאשר אתם יודעים בדיוק מה אתם מספקים, כיצד זרימת העבודה והיכן מיוצרות ראיות, תוכלו לתכנן נכון את מערכות ה-ISMS שלכם ולהימנע הן מנקודות מתות והן מתיעוד מיותר עבור ספק השירות המנוהל שלכם, כך שהביקורות הופכות לחזויות יותר במקום קשות יותר ממה שהן צריכות להיות.

צעדים מרכזיים לבניית מלאי השירותים שלך

בניית מלאי שירותים אמין קלה יותר כאשר עוקבים אחר רצף ברור שמקצה בעלות, לוכד שירותים, מתעד זרימות, מקשר ראיות ואז קובע את התוצאה. שלבים אלה נותנים לכם תמונה יציבה של מה שאתם מספקים בפועל לפני שאתם מתחילים למפות סעיפים ובקרות.

שלב 1: מינוי בעל מלאי

מינוי בעלים אחראי על מלאי השירותים מונע ממנו להתרחק מהמציאות. כאשר מישהו אחראי על תחזוקת רשימת השירותים, התהליכים והראיות הקשורות, שינויים בכלים או בהצעות צפויים להשתקף במהירות במיפוי שלכם.

התחילו על ידי הקצאת בעלות ברורה. מישהו צריך להיות אחראי על התחזוקה של:

  • רשימת השירותים הפונים ללקוחות.
  • התהליכים הפנימיים התומכים.
  • קישורים לכלים, נכסים וראיות.

ב-MSP קטן יותר, זה יכול להיות ראש מחלקת אספקת השירותים; ב-MSP גדול יותר, זה יכול להיות אצל מנהל מצוינות תפעול או מנהל ISMS. המפתח הוא שכולם ידעו למי הבעלים של הרשימה וכיצד לבקש עדכונים.

שלב 2: רישום שירותים בקטלוג מובנה

אי אפשר למפות את מה שאי אפשר לנקוב בשם, אז השלב הבא הוא לתעד שירותים בקטלוג מובנה. קטלוג פשוט ומוסכם גם עוזר למכירות, למשלוחים וללקוחות לדבר על אותם דברים באותו אופן ומפחית בלבול בהיקפים ובחוזים.

עבור כל שירות:

  • תן שם לשירות, כגון "נקודת קצה מנוהלת", "גיבוי מנוהל", "רשת מנוהלת" או "זהות מנוהלת".
  • תאר מה היא עושה, את מי היא משרתת ואיזה ערך היא מספקת.
  • שימו לב לעיקר תשומות (בקשות, טריגרים, התראות) ו פלטים (פניות שנפתרו, דוחות, שינויים).

אם אתם כבר משתמשים בקטלוג שירותי IT, זהו עניין של אימות והעשרתו. אם לא, זוהי ההזדמנות שלכם ליצור קטלוג שיתמוך הן בתפעול והן במיפוי ISO.

שלב 3: מפה של תהליך העבודה

תיעוד של תהליך זרימת העבודה בפועל במערכת ניהול התשתיות (MSP) שלכם הופך את תיאורי התהליכים לאמינים ושימושיים. זרימות עבודה אמיתיות לעיתים רחוקות תואמות דיאגרמות ישנות, לכן עליכם לתאר מה באמת קורה היום ולא איך זה היה אמור לעבוד לפני מספר כלים.

עבור כל שירות, זהו את זרימות העבודה העיקריות שלו. דוגמאות אופייניות כוללות:

  • קליטת ויציאת לקוחות.
  • טיפול בדלפק השירות בתקריות ובקשות.
  • ניהול שינויים ושחרורים.
  • ניהול תיקונים ופגיעויות.
  • גיבוי ושחזור.
  • ניהול גישה למצטרפים, עוברים ועוזבים.
  • ניטור ותגובה לאירועים.

תעדו את זרימת העבודה האמיתית באמצעות דיאגרמות פשוטות או רשימות שלבים וענו על ארבע שאלות: מה מפעיל את התהליך, מהם השלבים העיקריים ונקודות ההחלטה, אילו תפקידים מעורבים בכל שלב ובאילו כלים הם משתמשים. המטרה אינה שלמות, אלא השקפה מוסכמת שהטכנאים שלכם מזהים כאמת.

שלב 4: קישור זרימות עבודה לכלים, נכסים וראיות

קישור כל תהליך עבודה לכלים, לנכסים ולרשומות שהוא נוגע בהם הופך דיאגרמות לחומר מוכן לביקורת. שלב זה מהווה את ההבדל בין "אנחנו אומרים שאנחנו עושים את זה" לבין "הנה הראיות שאנחנו עושים זאת".

כשאתם מתעדים כל תהליך עבודה, חברו אותו ל:

  • כלים: תורי PSA, מודולי RMM, מערכות ניטור, פלטפורמות גיבוי או ספקי זהויות.
  • נכסים: שרתים, נקודות קצה, סביבות ענן או מקטעי רשת הנכללים בתהליך.
  • עֵדוּת: כרטיסים, יומנים, דוחות, לוחות מחוונים, אישורים ופרוטוקולים של פגישות.

דרך פשוטה היא להוסיף לכל תיאור תהליך סעיף קטן ובו רשומים "מערכות ששימשו" ו"ראיות שהופקו". מאוחר יותר, כאשר תמפו לסעיפים ובקרות, ערכים אלה יציגו היכן ניתן למצוא הוכחות.

שלב 5: אימות והגדרת בסיס של המלאי

אימות הופך מלאי טיוטות לבסיס שניתן לסמוך עליו במהלך ביקורות. כאשר האנשים שמנהלים את העבודה בפועל מסכימים שהתיאורים מדויקים מספיק, ניתן להשתמש במלאי בביטחון במיפוי ISO 27001.

לפני השימוש במלאי זה לצורך מיפוי ISO:

  • סייר בכל תהליך עם הטכנאים שמנהלים אותו.
  • שאלו מה חסר או מיושן והתאימו.
  • הסכימו על הצהרה בסיסית פשוטה כגון "בתוקף החל מרבעון השני של 2025".

מנקודה זו ואילך, שינויים צריכים לעבור תהליך בקרת שינויים קל, כך שתוכלו לסמוך על המלאי במהלך ביקורות. לאחר שהקטלוג וזרימות העבודה שלכם יוגדרו כבסיס, תוכלו להתחיל בביטחון למפות אותם לסעיפים 4-10.



טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


שלב אחר שלב: מיפוי תהליכי MSP לסעיפים 4-10 של ISO 27001

בעזרת מלאי אמין, תוכלו כעת לחבר את התהליכים האמיתיים של ספק שירותי הניהול (MSP) שלכם לדרישות מערכת הניהול בסעיפים 4-10 של תקן ISO 27001. על ידי קישור זרימות עבודה, תפקידים וראיות אמיתיות לכל סעיף, אתם מראים שמערכת ניהול אבטחת המידע שלכם היא יותר ממסמכי מדיניות, ושתכנון, תפעול, הערכה ושיפור מתרחשים כולם באמצעות אספקת שירותים יומיומית ולא רק על הנייר.

הבנת כוונת הסעיף בשפה אופרטיבית

תרגום כל סעיף לשפה תפעולית מקל הרבה יותר על בעלי שירותים ומהנדסים לתקשר. כאשר אנשים רואים בבירור כיצד עבודתם עומדת בסעיף מסוים, הם נעשים מוכנים יותר לסייע בשמירה על המיפוי ולהציע שיפורים.

ניתן לתרגם את הסעיפים לפי ההוראות הבאות:

  • סעיף 4 (הקשר): כיצד מגדירים היקף, מבינים סוגיות מרכזיות ומזהים צדדים מעוניינים.
  • סעיף 5 (מנהיגות): כיצד ההנהלה הבכירה קובעת מדיניות, מקצה תפקידים ומגלה מחויבות.
  • סעיף 6 (תכנון): כיצד אתם מבצעים הערכת סיכונים, מחליטים על טיפולים וקובעים יעדי ISMS.
  • סעיף 7 (תמיכה): כיצד אתם מספקים משאבים, יכולת, מודעות, תקשורת ותיעוד.
  • סעיף 8 (פעולה): כיצד אתם מתכננים, שולטים ומפעילים תהליכים לטיפול בסיכונים.
  • סעיף 9 (הערכת ביצועים): כיצד אתם מנטרים, מודדים, מבקרים ובודקים את מערכת ה-ISMS.
  • סעיף 10 (שיפור): כיצד אתם מטפלים באי-התאמות ומניעים שיפור מתמיד.

כתבו סיכום קצר וברור לכל סעיף. זהו הסעיף שתשתמשו בו בסדנאות עם בעלי תהליכים וטכנאים.

ניהול סדנאות מיפוי שיתופיות

סדנאות שיתופיות הן לרוב הדרך המהירה ביותר לבנות מיפויים שימושיים של סעיפים לתהליך. שילוב מוקד שירות, NOC, SOC, ניהול שינויים ובעלי סיכונים באותה שיחה בדרך כלל חושף שיטות עבודה מומלצות קיימות שמעולם לא תועדו באופן רשמי.

בסדנאות, עבדו על סעיפים 4-10 בצורה מובנית:

  • עבור כל סעיף, שאלו "אילו מהתהליכים שלנו תורמים לדרישה זו?".
  • עבור כל תרומה, יש לרשום את שם התהליך, שלבי זרימת העבודה הרלוונטיים, התפקידים המעורבים והראיות שהופקו.

רשום זאת במטריצה ​​או בגיליון אלקטרוני פשוט. שאף לשלמות על פני שלמות; תוכל לסדר אחר כך.

הטבלה שלהלן מציגה דוגמה פשוטה לאופן שבו תהליכי MSP יכולים למפות לסעיפים נבחרים.

סעיף דוגמה לתהליך MSP ראיות אופייניות
4.3 הגדרת היקף וקטלוג שירותים מנוהלים הצהרת היקף, רשימת שירותים
5.1-5.3 פגישת היגוי של ISMS עבור שירותים מנוהלים פרוטוקולים, פעולות, רישומי תפקידים
6.1-6.2 סדנאות להערכת סיכונים וטיפול רישום סיכונים, תוכנית טיפול
7.2-7.3 תוכנית מודעות והדרכה לאבטחה של MSP יומני נוכחות, חומרי הדרכה
8.1-8.2 ניהול שינויים עבור תשתית מנוהלת כרטיסי שינוי, אישורים, רישומי בדיקה
9.1-9.3 ביקורת פנימית של שירותים וישיבות סקירת הנהלה דוחות ביקורת, פרוטוקולי סקירה

עליך להרחיב טבלה זו כדי לכסות את כל הסעיפים והתהליכים הנכללים במסגרת התוכנית. לדוגמה, שירות "גיבוי מנוהל" עשוי לתמוך בסעיף 6 (טיפול בסיכונים), בסעיף 8 (תפעול) ובסעיף 9 (הערכה) באמצעות לוח הזמנים של הגיבוי, בדיקות שחזור וסקירת ניהול של ביצועי הגיבוי.

זיהוי פערים ותעדוף תיקונים

עבודה באמצעות המיפוי תחשוף באופן בלתי נמנע פערים וחולשות. ראיית פערים בהקשר של זרימות עבודה אמיתיות מקלה על ההחלטה אילו מהם חשובים ביותר וכיצד לתקן אותם מבלי להטביע צוותים בעבודה בעלת ערך נמוך.

פערים אופייניים כוללים:

  • סעיפים ללא תהליכים או בקרות תומכים.
  • תהליכים עם ראיות חלשות או חסרות.
  • אחריות שאינה ברורה או מחולקת בדרכים מבלבלות.

רשמו את הפערים הללו ביומן הכולל את סימוכין הסעיף, תיאורו, השפעת הסיכון, הפעולה המוצעת, הבעלים ותאריך היעד. לאחר מכן, קחו סדר עדיפויות לפעולות על סמך הסיכון וההשפעה העסקית ולא על סדר הסעיפים. תיקון פער המשפיע על הטיפול באירועים עבור לקוחות רבים הוא בדרך כלל דחוף יותר מאשר שיפור תבנית סקירת הנהלה.

הטמעת מיפוי בממשל

הטמעת מיפוי הסעיפים לתהליך בקצב הממשל הרגיל שלך שומרת עליו עדכני ואמין. כאשר המיפוי נבדק לצד רישומי סיכונים, מדדי ביצועים ושינויים בשירות, הוא נשאר שימושי במקום להפוך לאובייקט מאובק.

אתה יכול לעשות זאת על ידי:

  • סקירת המיפוי לפחות פעם בשנה ובכל פעם שמוסיפים או מוציאים משימוש שירות או כלי ליבה.
  • שימוש בו ככלי עזר במהלך ביקורות פנימיות וסקירות הנהלה.
  • עדכון זה בכל פעם שמשנים תהליך באופן שמשפיע על אופן עמידה בסעיף.

התייחסו למיפוי כאל אובייקט חי של ISMS והוא יתמוך הן בביקורות והן בקבלת החלטות. לאחר כיסוי הסעיפים, תוכלו כעת לעבור לנספח א' כדי להראות כיצד העבודה הטכנית היומיומית עומדת בבקרות המפורטות.



שלב אחר שלב: מיפוי תיעוד, שינוי, ניטור ודיווח כספי לנספחים א' א.5-א.8

מיפוי זרימות עבודה של כרטוס, שינויים, ניטור ותגובה לאירועים בנספחים A.5-A.8 מראה כיצד בקרות ISO 27001 פועלות בתוך הפעילות היומיומית של ספק שירותי ניהול הרשת (MSP) שלכם. כאשר כל זרימת עבודה מרכזית קשורה לבקרות ארגוניות, אנשי צוות, פיזיות וטכנולוגיות רלוונטיות, מבקרים ולקוחות יכולים לראות שנספח A מיושם בפועל.

נספח א' הוא המקום שבו מנהלי שירותים רבים חשים שתקן ISO 27001 "נוחת" בעולמם. מיפוי זרימות עבודה יומיומיות כמו כרטוס, שינויים, ניטור ותגובה לאירועים, למערך הבקרות A.5-A.8, מראה כיצד הפעילות שלכם מגלמת את הבקרות בפועל.

סיווג זרימות עבודה לפי נושאים של נספח א'

סיווג זרימות עבודה לפי ארבעת הנושאים של נספח א' מקל על ראיית התהליכים עליהם אתם מסתמכים כדי להפעיל משפחות בקרה ספציפיות. זה עוזר לכם למקד את מאמצי השיפור במקום שבו תהיה להם ההשפעה הגדולה ביותר על אבטחת המידע.

נספח א' במהדורת 2022 מקבץ את בקרות לארבעה נושאים:

  • א.5 ארגוני: בקרות כגון מדיניות, ממשל גופי וניהול ספקים.
  • א.6 אנשים: בקרות כגון סינון, הכשרה וצעדים משמעתיים.
  • א.7 פיזי: בקרות כגון היקפים, בקרות כניסה ואבטחת ציוד.
  • א.8 טכנולוגי: בקרות כגון גישה, רישום, גיבוי, תוכנות זדוניות, תצורה, פגיעויות וניטור טכני.

סיכומים של תקן ISO/IEC 27001:2022 מאשרים שארבעת הנושאים הללו הם המבנה המארגן של בקרות 93 בנספח A, כך שהשימוש בהם כעדשה למיפוי שלכם שומר על נקודת המבט שלכם תואמת לתקן.

עבור כל תהליך עבודה מרכזי, החליטו אילו ערכות נושא הן תומכות בעיקר בהן. לדוגמה, כרטוס לשינויי גישת משתמשים ממופה לרוב ל-A.5 ו-A.8 (ממשל ובקרת גישה), ניהול שינויים ל-A.5 ו-A.8 (ממשל ותצורה), ניטור ל-A.8 (רישום וניטור טכני) ותגובה לאירועים ל-A.5 ו-A.8 (ממשל וניהול אירועים).

הטבלה שלהלן ממחישה כיצד מספר זרימות עבודה נפוצות של MSP מתיישבות בדרך כלל עם ערכות נושא של נספח A.

זרימת עבודה נושאים ראשיים של נספח א' דוגמאות לסוגי בקרה
שינויי גישת משתמש א.5, א.8 בקרת גישה, אישור ורישום
שינוי הנהלה א.5, א.8 תצורה, בדיקות והחזרה למצב קודם
מעקב והתראה A.8 רישום, זיהוי אנומליות וספי ערכים
תגובה לאירוע א.5, א.8 טיפול באירועים, תקשורת ושחזור

סיווג זה עוזר לך לחשוב באופן מכוון על אילו בקרות אתה מצפה שכל תהליך יישם.

תיוג כרטיסים ושינויים עם מזהי בקרה

תיוג כרטיסים ושינויים באמצעות מזהי בקרה מאפשר לך לאסוף ראיות אמיתיות כנגד בקרות נספח A תוך שניות. עם הזמן, זה גם מספק לך נתונים שימושיים על תדירות הפעלת בקרות והיכן הן עשויות להיות חלשות או לא עקביות.

ניתן להפוך את המיפוי למפורש בתוך הכלים שלך על ידי:

  • הוספת שדה לסוגי כרטיסים רלוונטיים או רשומות שינוי עבור "הפניה לבקרה".
  • הגדרת רשימות בחירה עבור בקרות נספח א' הרלוונטיות ביותר לתהליך זה.
  • הכשרת צוות לבחירת הבקרה כאשר הם מבצעים עבודה המיישמת אותה באופן ברור.

עם הזמן, פעולה זו בונה מערך נתונים המראה באיזו תדירות ובאיזו מידה יעילה כל בקרה מופעלת. זה גם מקל על איסוף ראיות עבור רואה חשבון מכיוון שניתן לסנן לפי הפניה לבקרה ולייצא רשומות אמיתיות.

ניטור מפה ותגובה לאירועים לבקרות

ניטור ותגובה לאירועים הם לרוב החלקים הבולטים ביותר בשירות שלך כאשר משהו משתבש, לכן חשוב למפות אותם בקפידה לבקרות של נספח א'. מיפוי זה צריך לשקף הן פעילויות גילוי והן פעילויות תגובה.

לצורך ניטור:

  • זהה אילו התראות ולוחות מחוונים תומכים באילו בקרות, כגון איסוף וניתוח יומני רישום או התראות סף לזמינות.
  • תעדו את הקשרים הללו בתיאורי התהליכים ובמטריצת המיפוי שלכם.

לתגובה לאירוע:

  • התאם את קטגוריות האירועים ודרגות החומרה שלך לציפיות של נספח א' בנוגע לטיפול באירועים ובתקריות.
  • ודאו שספרי הפעולות שלכם כוללים שלבים לסיווג, תקשורת, בלימה, ניתוח גורמי שורש ושיפור המשקפים את ניסוחי הבקרה.
  • תעדו סקירות לאחר אירוע ומעקב אחר פעולות כחלק ממערך הראיות שלכם.

בכך אתם מראים שנספח א' אינו רשימה מופשטת, אלא אוסף של ציפיות שזרימות העבודה שלכם כבר עומדות בהן.

להבהיר את האחריות המשותפת לכל בקרה

הבהרת האחריות המשותפת לבקרות נספח A מסייעת במניעת סכסוכים כאשר מתעוררים אירועים, שאלות ביקורת או משא ומתן מסחרי. עבור ספקי שירותי ניהול שירותים (MSPs), זה חשוב במיוחד כאשר האחריות מחולקת בין שכבות הפלטפורמה, הרשת והאפליקציה.

עבור כל בקרה רלוונטית, יש להחליט האם:

  • ה-MSP מתכנן ומפעיל את הבקרה על תשתית ופלטפורמות מנוהלות.
  • הלקוח מחזיק בבעלותו תפקידים ברמת האפליקציה, תוכן ואישורי עסק.
  • האחריות משותפת, עם כללי שמירה מוסכמים ובדיקות התאוששות מאסון.

ניתן לשקף זאת בתיאורי הבקרה, ב-RACI ובחוזים. כאשר מתעוררים דיונים על ביקורת או אירועים, כולם רואים את אותו מודל מוסכם.

בדקו את המיפוי בעזרת ראיות אמיתיות

מיפוי הופך אמין רק כאשר ראיות אמיתיות תואמות את מה שאתה טוען. דגימה של רשומות על פני בקרות נותנת לך ביטחון לפני שרואה חשבון או לקוח גדול יבצע את אותה התרגיל ושואל שאלות מביכות.

אימות המיפוי שלך בנספח א' באמצעות דגימה:

  • כרטיסים שתויגו עם הפניות בקרה מסוימות.
  • שינוי רשומות עבור שינויים בסיכון גבוה.
  • ניטור התראות ותגובות.
  • תיקי מקרה ורישומי סקירה.

בדקו האם הרשומות מראות את מה שהמיפוי שלכם טוען. אם כן, יש לכם הוכחה חזקה; אם לא, התאימו את המיפוי או את זרימת העבודה עד שיתאימו. לאחר שהמיפוי בנספח א' קיים, תוכלו להשתמש בו כדי לבנות RACIs, לולאות מעקב ולולאות שיפור שמבקרים מעריכים והצוותים שלכם מוצאים שימושיים בפועל.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


בניית RACIs, לולאות עקיבות ושיפור שמבקרים משתמשים בהן בפועל

RACIs, מטריצות עקיבות ולולאות שיפור מעוצבים היטב הופכים את מיפויי ISO 27001 לכלים שאנשים משתמשים בהם בפועל. במקום דיאגרמות סטטיות, אתם מקבלים מבנים חיים שמבהירים מי עושה מה, היכן נמצאות ראיות וכיצד הבקרות משתפרות עם הזמן בכל שירותי ה-MSP שלכם.

ברגע שקיימים מיפויים, השאלה היא כיצד להשתמש בהם כדי לנהל את העסק בצורה טובה יותר ולספק את בעלי העניין החיצוניים במינימום כאב. RACIs, מטריצות עקיבות ולולאות שיפור מספקות דרכים מעשיות ליישום המיפוי.

להבהיר מי עושה מה עם RACIs

מטריצות RACI מסירות עמימות על ידי קביעה מפורשת של מי אחראי, אחראי, מי מתייעץ ומי מקבל מידע עבור כל פעילות חשובה. הן גם עוזרות לך להסביר את האחריות המשותפת בין ה-MSP שלך לכל לקוח באופן שמבקרים ולקוחות יוכלו להבין במהירות.

כ-41% מהארגונים בסקר ISMS.online לשנת 2025 ציינו ניהול סיכוני צד שלישי ומעקב אחר תאימות ספקים כאחד מאתגרי אבטחת המידע העיקריים שלהם.

מטריצת RACI מפרטת:

  • הפעילויות או הבקרות המרכזיות בתהליכים שלך.
  • התפקידים המעורבים, הן בצד ה-MSP והן בצד הלקוח.
  • כיצד כל תפקיד קשור לכל פעילות (R, A, C או I).

לדוגמה, בתגובה לאירועים, מטפל האירועים של MSP עשוי להיות אחראי, vCISO של MSP או מנהל השירות עשויים להיות אחראים, ניתן להתייעץ עם איש הקשר לאבטחת הלקוח וניתן ליידע את נותן החסות הבכיר של הלקוח. יצירת RACIs עבור התהליכים העיקריים שלך מדגימה למבקרים וללקוחות שחשבת על ממשל גופי, לא רק על טכנולוגיה. אם אתה מוביל את אספקת השירות, תרשימים אלה גם נותנים לך דרך מעשית להבהיר ציפיות עם הלקוחות לפני שמשהו משתבש.

השתמש במטריצת עקיבות כדי לשמור על הכל מחובר

מטריצת עקיבות מקשרת דרישות לבקרות, תהליכים, ראיות ובעלים, כך שתוכלו לענות על רוב שאלות הביקורת והלקוחות ממקום אחד. כאשר היא מתוחזקת היטב, היא הופכת ל"מפת המפות" עבור יישום ISO 27001 שלכם ולדרך אמינה להראות כיצד שירותי ה-MSP שלכם משתלבים זה בזה.

אפשר לחשוב על מטריצת עקיבות כמבנה שמחבר:

  • מיפוי הסעיף לתהליך שבנית קודם לכן.
  • מיפוי נספח א' עבור זרימות עבודה תפעוליות.
  • הצבעות לכרטיסים, יומנים, דוחות ופרוטוקולים.

תכננו אותו כך שתוכלו לסנן ולשנות אותו בקלות לפי לקוח, שירות, משפחת בקרה או בעלים. זה הופך אותו לשימושי לביקורות, סקירות לקוחות, דיונים פנימיים על סיכונים ודיווחים של הדירקטוריון.

עקיבות טובה הופכת ביקורות לשיחות מובנות במקום ציד אוצרות מלחיצים.

אם אתם כבר מפעילים פלטפורמת ISMS כמו ISMS.online, מטריצת המעקב נוצרת לרוב מאותן רשומות בסיסיות בהן אתם משתמשים עבור סיכונים, בקרות ושיפורים, מה שמפחית כפילויות ושומר על כולם עובדים מאותה אמת.

הפכו את המיפוי למנוע שיפור מתמיד

מיפוי באמת משתלם כשמשתמשים בו כדי לבחור ולעקוב אחר שיפורים. על ידי שיקוף סטטוס הבקרה וחולשות ידועות באותם מבנים שבהם משתמשים לביקורות, נמנעים מניהול רשימת שיפורים נפרדת ומנותקת שאף אחד לא סומך עליה.

אתה יכול לעשות זאת על ידי:

  • הוספת שדות סטטוס פשוטים כגון "לא מיושם", "מיושם חלקית", "מיושם במלואו" או "אוטומטי".
  • רישום חולשות או סיכונים ידועים הקשורים לבקרות ותהליכים ספציפיים.
  • הקצאת פעולות, מצבי יעד ותאריכים לבעלים.

סקור את אלה באופן קבוע בישיבות ה-ISMS או התפעול שלך. עם הזמן, המיפוי הופך ללוח מחוונים של מידת הפעולה של הבקרות שלך ולמפת דרכים היכן להשקיע בהמשך באוטומציה, תיעוד או הדרכה. אם אתה אחראי על האבטחה והסיכונים, זה נותן לך דרך קונקרטית להראות לדירקטוריונים וללקוחות כיצד סביבת הבקרה שלך משתפרת בין ביקורות. בנקודה זו, השאלה שנותרה היא האם אתה מחזיק את כל זה יחד בגיליונות אלקטרוניים או בפלטפורמת ISMS שנבנתה לניהול מיפויים, RACI וראיות במקום אחד.



הזמן הדגמה עם ISMS.online עוד היום

ISMS.online מספק לכם מקום אחד לאחסון מיפויים, בקרות וראיות של ISO 27001, כך שלא תצטרכו להתבלבל בין גיליונות אלקטרוניים, תיקיות משותפות ומסמכים אד-הוק. הדגמה קצרה וממוקדת עוזרת לכם לראות כיצד ייראו השירותים וזרימות העבודה של ספק שירותי ה-MSP שלכם בתוך ISMS מובנה, והאם גישה זו מתאימה לאופן העבודה של הארגון שלכם.

ברגע שהגישה שלכם למיפוי ברורה, ההחלטה האמיתית היא האם לשמור אותה בגיליונות אלקטרוניים ומסמכים נפרדים או להשתמש בפלטפורמת ISMS ייעודית כדי לשמור על הכל מחובר ובשליטה. ISMS.online נועד להיות המקום המרכזי למיפויים, בקרות וראיות של ISO 27001.

ראה סביבת עבודה משולבת למיפוי בפעולה

ראיית סביבת עבודה משולבת של מיפוי בשימוש היא לרוב הדרך המהירה ביותר לדמיין כיצד המיפויים שלכם יעבדו בפועל. דוגמאות חיות של יחסים בין סעיפים, בקרה, תהליכים וראיות נותנות לכם תמונה קונקרטית של איך הסביבה שלכם יכולה להיראות.

במקום ללהטט בין היקפים במסמך אחד, תהליכים במסמך אחר, בקרות במסמך שלישי וראיות מפוזרות על פני כוננים וכלים משותפים, תוכלו לעבוד בסביבה אחת שבה:

  • סעיפי ISO ובקרות נספח A טעונים מראש ומובנים.
  • שירותי ה-MSP, התהליכים והבעלים שלך מקושרים ישירות לכל דרישה.
  • רישומי ראיות, משימות וסקירות יושבים לצד המיפויים שאליהם הם קשורים.

מידע על המוצר עבור ISMS.online, המיועד לספקי שירותי ניהול שירותים (MSPs), מתאר כיצד מסגרות וערכות בקרה מוכנות מראש של ISO 27001 זמינות בפלטפורמה, כך שתוכלו להגדיר ולחבר את השירותים שלכם למבנה קיים במקום לבנות הכל מאפס. הצגת מידע זה בהדגמה מקלה בהרבה על הבנת האופן שבו המיפויים שלכם יתנהגו בשימוש יומיומי.

השתמשו בתבניות ובתוכן המשקפים את מציאות ה-MSP

התחלה מדף ריק היא תהליך איטי ומועד לטעויות, במיוחד כשאתם נמצאים תחת לחץ זמן מצד לקוחות או מבקרים. עבודה מתוך דפוסים שכבר משקפים את המציאות של ניהול ניהול מערכות (MSP) מקצרת את הדרך לגרסה ראשונה אמינה ומפחיתה את הסיכון לפספס דרישות.

ISMS.online כולל מסגרות, מדיניות ותבניות של תקן ISO 27001:2022 שניתן להתאים להקשר של שירותים מנוהלים (MSP). ההנחיות המתמקדות ב-MSP עבור הפלטפורמה מדגישות חבילות תבניות ומבנים שתוכננו סביב תרחישים נפוצים של שירותים מנוהלים, כך שתוכלו להתחיל ממשהו קרוב לעולם שלכם ולשפר אותו במקום להתחיל מכלום. במקום לבנות מטריצות ורישומים מאפס, תוכלו:

  • התחילו מדפוסים שכבר משקפים שירותי MSP וזרימות עבודה אופייניות.
  • התאם אותם ל-PSA, RMM ומחסנית הניטור הספציפיים שלך.
  • התמקדו בתחומים שבהם המיפוי שלכם מכיל פערים ממשיים, ולא בעיצוב.

זה מפחית את הזמן והסיכון הכרוכים בהגעה למצב מוכן לביקורת ראשונה.

לשתף פעולה בין תפקידים מבלי לאבד שליטה

מיפוי מוצלח הוא לעיתים רחוקות מאמץ יחיד, במיוחד אצל ספק שירותים מנוהלים. מייסדים, מנהלי מערכות מידע (VCISO), מנהיגי אספקת שירותים, מהנדסים ומנהלי לקוחות - כולם נוגעים בחלקים של מערכת ה-ISMS וצריכים לראות את אותה האמת מזוויות שונות מבלי לאבד שליטה.

בפלטפורמה כמו ISMS.online ניתן:

  • הקצאת בעלות על בקרות, תהליכים ופעולות.
  • ספקו לצוותים שונים תצוגות מותאמות אישית של אותם מיפויים בסיסיים.
  • עקוב אחר שינויים ואישורים כדי שתמיד תדע מי שינה מה ומתי.

זה מקל על התאמה של המיפוי למציאות ככל שהשירותים, הכלים והלקוחות מתפתחים, וזה תומך הן בממשל פנימי והן באישור חיצוני.

הפחיתו את הסיכון בהחלטה שלכם בעזרת הערכה מובנית

בחינת ISMS.online באמצעות הדגמה ופיילוט ממוקדים מאפשרת לכם לבחון את ההתאמה לפני שאתם מתחייבים. על ידי מיפוי שירות יחיד מקצה לקצה, תוכלו לראות עד כמה הפלטפורמה תומכת בביקורות, שאלות לקוחות וסקירות פנימיות עבור ה-MSP שלכם.

צעד הגיוני הבא הוא:

  • בחר שירות ליבה אחד, כגון גיבוי מנוהל או נקודת קצה מנוהלת.
  • מיפוי אותו לתוך ISMS.online באמצעות זרימות העבודה והראיות הקיימות שלך.
  • השתמשו בפיילוט הזה כדי לבדוק כיצד הפלטפורמה תומכת בביקורות, שאלות של לקוחות ובסקירות פנימיות.

אם זה עובד טוב, תוכלו להרחיב את אותה גישה על פני תיק העבודות שלכם. אם לא, עדיין תבינו טוב יותר איך המיפוי שלכם צריך להיראות, בכל דרך שתבחרו. אם אתם רוצים שמיפוי ISO 27001 שלכם יהיה נכס משותף ועמיד ולא פרויקט שביר, ISMS.online נועד לעזור לכם להגיע לשם עם פחות חיכוכים ויותר ביטחון.

הזמן הדגמה


שאלות נפוצות

כיצד יכול ספק שירותי ניהול ספקי שירותי ניהול (MSP) להפוך זרימות עבודה קיימות של IT לתהליכים התואמים לתקן ISO 27001 מבלי להתחיל מחדש?

אתם הופכים זרימות עבודה קיימות של MSP לתהליכים התואמים לתקן ISO 27001 על ידי תיוג וסטנדרטיזציה של מה שאתם כבר עושים, ולאחר מכן מיפוי זרימות אלו לסעיפים, בקרות בנספח A וראיות חיות שהכלים שלכם מייצרים. השינוי הוא לראות כרטיסים, שינויים, התראות ו-runbooks כאבני בניין של מערכת ניהול אבטחת מידע (ISMS), ולא רק ניהול יומיומי.

מהם הצעדים הראשונים היעילים ביותר ליישור תהליכי עבודה קיימים?

התחילו בקטן, קרוב למציאות, והוסיפו מבנה רק היכן שזה עוזר:

  • ציינו את השירותים שהמהנדסים שלכם מפעילים בפועל: השתמשו באותם שמות ותורים שאתם רואים ב-PSA וב-RMM שלכם: גיבוי מנוהל, תיקונים, ניהול נקודות קצה, ניהול פגיעויות, ניהול זהויות וגישה, ניהול שינויים, ניטור, תגובה לאירועים, קליטה ויציאה. שפה מוכרת שומרת על מערכת ה-ISMS שלכם מבוססת על עבודה אמיתית.
  • שרטט כיצד כל שירות פועל בפועל: בעמוד אחד, תעדו את הטריגר, השלבים העיקריים, התפקידים והכלים. אם הצוות שלכם מזהה באופן מיידי את הזרימה, שמרו עליה. אם הם דוחים, שפרו עד שהתמונה תתאים להתנהגות רגילה, ולא למדיניות אידיאלית.
  • צור טבלת מיפוי קומפקטית: התחילו עם חמש עמודות: סעיף ISO 27001, בקרה בנספח A, שם התהליך, בעל התהליך ומקור הראיות (לדוגמה "שינוי כרטיסים בתור שאושר על ידי CAB" או "לוח מחוונים להצלחת הגיבוי"). השאירו את מזהי הבקרה עד שהמבנה ירגיש נכון.
  • סעיפי הליכה 4-10 עם בעלי התהליך: נסחו מחדש כל פסוקית בשפה פשוטה ושאלו, "אילו מזרימות העבודה שלנו כבר עוזרות לנו לעשות זאת?" לכוון פריטים קונקרטיים כמו תורי כרטיסים, יומני שינויים, לוחות מחוונים ופרוטוקולים של פגישות במקום להמציא מסמכים חדשים.
  • ערכות נושא של נספח א': תייג כרטיסי שינוי גישה מול בקרות גישה, תצורה וזרימת שינויים מול בקרות טכניות A.8, וניטור פלטים מול רישום וניהול אירועים. זה שומר על מבנה התקן שלם תוך שמירה על נוכחותו בפעילות שלך.

ברגע שקישורים אלה קיימים, תיוג כרטיסים ושינויים עם מזהי בקרה הופך את הכנת הביקורת לפילטר פשוט בכלי ה-PSA, RMM או ISMS שלכם במקום חיפוש של הרגע האחרון בין ייצוא. כאשר אתם מוכנים להפוך את המיפוי לעמיד, העברתו לפלטפורמה כמו ISMS.online מאפשרת לכם לחבר סעיפים, תהליכים, אחריות וראיות בסביבה מבוקרת אחת, במקום להתעסק עם מספר גיליונות אלקטרוניים וסבבי שקופיות.

אילו תהליכי MSP יומיומיים מותאמים באופן טבעי לסעיפים מרכזיים של ISO 27001 ולבקרות של נספח A?

רוב פעילויות ניהול אבטחת המידע (MSP) היומיומיות שלכם כבר תומכות בתקן ISO 27001; הפער הרגיל הוא שקישורים אלה אינם נראים או אינם עקביים. סעיף 8 מתמקד בתפעול, בעוד שבקרות A.5-A.8 בנספח A מכסות בקרות ארגוניות, אנשי צוות, פיזיות וטכניות, כך שכמעט כל דבר שעובר דרך ה-PSA וה-RMM שלכם נוגע במשהו בהיקף של מערכת ניהול אבטחת מידע.

כיצד תהליכי MSP נפוצים מתיישבים בפועל עם ISO 27001?

בדרך כלל ניתן להתחיל מדפוסים כאלה, ואז למקד עבור כל לקוח:

  • קליטת לקוחות (onboarding) ו-offboarding (offboarding) זרימות אלו מסייעות בסעיף 4 (הבנת ההקשר והצדדים המעוניינים) ובסעיף 8 (תפעול). הן מתאימות לנושאי נספח A כגון סיווג מידע, שימוש מקובל ובקרות מחזור חיים של מצטרף-עובר-עוזב, כולל הקצאת גישה וביטול גישה.
  • ניהול שינויים: כרטיסי שינוי מובנים ורישומי CAB תומכים בסעיף 8 על ידי שליטה באופן שבו שינויים מבוקשים, נבדקים, מאושרים, נבדקים, מיושמים ובוטלים. הם תואמים בצורה מסודרת לבקרות של נספח A כגון A.8.32 (ניהול שינויים), A.8.9 (ניהול תצורה) ו-A.8.20 (אבטחת רשת).
  • ניהול תיקונים ופגיעויות: לוחות זמנים של תיקונים וסריקות פגיעויות תומכים בטיפול בסיכונים בסעיף 6 ומחוברים ל-A.8.7 (הגנה מפני תוכנות זדוניות), A.8.8 (ניהול פגיעויות טכניות) ובקרות הקשורות לתצורה. לעתים קרובות הם מהווים את העדות החזקה ביותר לכך שסיכונים מטופלים באופן שיטתי.
  • גיבוי ושחזור: עבודות גיבוי, מדיניות שמירה, בדיקות שחזור וכרטיסים קשורים תומכים ביעדי הזמינות בסעיפים 6 ו-8 וממופים ישירות ל-A.8.13 (גיבוי מידע) ולבקרות ממוקדות שיבושים כגון A.5.29 (אבטחת מידע במהלך שיבושים).
  • ניהול זהויות וגישה: זרימות עבודה של מצטרף-עובר-עוזר, בקשות הרשאות וסקירות גישה תקופתיות משתרעות על פני סעיפים 6, 7 ו-8. הן מתאימות לדרישות נספח A עבור מדיניות גישה ובקרת מחזור חיים כגון A.5.15 (בקרת גישה), A.5.16 (ניהול זהויות), A.5.18 (זכויות גישה), A.8.2 (זכויות גישה מורשות) ו-A.8.5 (אימות מאובטח).
  • ניטור ותגובה לאירועים: התראות ניטור, הערות מיון, כרטיסי אירוע וספרי ריצה מכסים את סעיף 8 (תפעול) וסעיף 9 (הערכת ביצועים). הם תואמים את בקרות נספח א' לרישום וניטור (A.8.15, A.8.16), דיווח אירועים (A.6.8) וניהול אירועים (A.5.24–A.5.28).

אם תתעדו את הקשרים הללו במטריצה ​​תמציתית עם שמות תהליכים, הפניות לסעיפים, מזהי נספח א' וכמה דוגמאות קונקרטיות לראיות בכל שורה, מבקרים ולקוחות יוכלו לראות במהירות כיצד השירותים המנוהלים שלכם תומכים במערכת ה-ISMS או במערכת הניהול המשולבת של נספח ל' שלהם. אותה מטריצה ​​משמשת גם כנכס מכירות והבטחת אבטחה כאשר אתם רוצים להראות ללקוחות פוטנציאליים כיצד מודל התפעול שלכם תומך בשאיפות ISO 27001 שלהם.

כיצד צריך ספק שירותי ניהול (MSP) לתעד מיפויים של תקן ISO 27001 כדי שמבקרים ולקוחות יוכלו לעקוב אחריהם במהירות?

ניתן לתעד מיפויי ISO 27001 ביעילות על ידי יצירת קבוצה קטנה של פריטים מחוברים המאפשרים לעקוב אחר כל דרישה, החל מטקסט סטנדרטי ועד לרשומות תפעוליות בזמן אמת, בכמה לחיצות. המטרה אינה כמות; אלא מעקב מהיר ועקביות.

כיצד נראית חבילת מיפוי ISO 27001 ידידותית לביקורת עבור ספק שירותי ניהול רשתות חברתיות (MSP)?

שלוש שכבות מקושרות בדרך כלל מספיקות:

  • מטריצת עקיבות: טבלה מבוקרת אחת המציגה דרישה ← בקרה נספח א' ← תהליך ← ראיות ← בעלים, עם פילטרים עבור לקוח, שירות ומשפחת בקרה. פלטפורמת ISMS כגון ISMS.online מספקת ספריות סעיפים ונספח א' מראש, כך שתוכלו לקשר אותם ישירות לשירותים, זרימות העבודה והרשומות שלכם במקום לבנות מחדש את המבנה עבור כל ביקורת.
  • הצהרת תחולה (SoA): הסבר תמציתי על אילו בקרות בנספח א' אתם מיישמים, כיצד אתם מיישמים אותן והיכן האחריות משותפת עם הלקוחות. השתמשו באותם שמות תהליכים ומיקומי ראיות בהם אתם משתמשים במטריצה ​​שלכם, כך שהשפה תישאר אחידה ואנשים לא יצטרכו לתרגם בין מסמכים.
  • תיאורי תהליכים וספרי ריצה: תיאורים קצרים או דיאגרמות פשוטות מציגים טריגרים, שלבים מרכזיים, תפקידים ורשומות. אם runbook אומר למהנדסים "לרשום אירוע אבטחה P1 כדי להכניס את SEC‑INC לתור ולהפעיל את IR‑001", המיפוי שלך צריך להתייחס בדיוק לאותו תור ולמזהה ה-runbook ולא ל"נוהל אירוע אבטחה" כללי, כך שמבקרים יוכלו לעקוב אחר המסלול במהירות.

כדי להבהיר את תחומי האחריות המשותפים, הוסיפו קבוצה קטנה של RACIs (ממשקי ניהול תהליכים (RACIs) לפעילויות עיקריות כגון מיון אירועים, שינויי גישה מועדפת, בדיקות שחזור וסקירות ספקים המכסות הן את תפקידי ה-MSP והן את תפקידי הלקוח. כאשר המטריצה, ה-RACIs, תיאורי ה-SoA ותיאורי התהליכים שלכם חיים יחד בפלטפורמת ISMS, תוכלו לחבר אותם לסיכונים, ביקורות ופעולות שיפור כך שהתיעוד עליו אנשים מסתמכים יישאר תואם לאופן שבו אתם פועלים בפועל.

כיצד יכול MSP לבנות ולהשתמש במטריצת RACI כדי להבהיר את אחריות ISO 27001 עם לקוחות?

אתם משתמשים במטריצת RACI כדי להפוך הנחות לגבי "מי עושה מה" להסכמים מפורשים וניתנים לסקירה עבור כל פעילות רלוונטית לתקן ISO 27001. בהירות זו חיונית במודלים של שירות משותף, שבהם מבקרים ולקוחות רוצים לראות בדיוק היכן מסתיימת האחריות שלכם ומתחילה האחריות של הלקוח.

מהי דרך מעשית ליצור RACI עבור שירותים המסופקים על ידי MSP?

גישה ישירה בדרך כלל כוללת ארבעה שלבים:

  • רשום את הפעילויות המרכזיות בשירותים שלך: עבור כל קו שירות, יש לתעד משימות כגון קליטה ויציאה, הקצאת גישה וביטול, אישור וביצוע שינויים, פריסת תיקונים, תזמון וניטור גיבויים, בדיקות שחזור, ניטור ומיון התראות, סיווג וטיפול באירועים, וביקורת ביצועי ספקים.
  • הגדירו תפקידים ספציפיים משני הצדדים: הימנעו ממחלקות מעורפלות. השתמשו בתפקידים כגון מנהל שירותי MSP, ראש אבטחת MSP, מהנדס MSP, בעל IT של הלקוח, בעל נתוני הלקוח ונותן חסות עסקי של הלקוח כדי שאנשים יוכלו לראות את עצמם ברשת.
  • הקצו R, A, C ו-I לכל פעילות. קבע אחד אחראי (עושה את העבודה) ואחד אַחֲרַאִי (בעלים של התוצאה), ואז להחליט מי צריך להיות התייעץ ו הודיעלדוגמה, עבור שינוי כלל חומת אש, מהנדס ה-MSP עשוי להיות האחראי, מנהל שירותי ה-MSP אחראי, בעל ה-IT של הלקוח עשוי להיות מתוייעץ ובעלי עניין עסקיים מרכזיים יקבלו מידע.
  • הטמע את ה-RACI בין החפצים שלך. יש להתייחס למטריצה ​​בחוזים, תיאורי שירותים, ספרי ריצה ומיפויים של ISO 27001 כדי שכולם יעבדו לפי אותה תמונה. כאשר שירות או חוזה משתנים, יש לעדכן את ה-RACI פעם אחת, ולאחר מכן לוודא שהמסמכים המקושרים יורשים את ההתאמה.

ברגע ש-RACIs נמצאים בשימוש, הם מפחיתים עיכובים וחילוקי דעות במהלך אירועים, הערכות לקוחות וביקורות על ידי מתן תמונה משותפת ומוסכמת מראש לצוותים של מי מוביל, מי חותם ומי צריך להישאר מעודכן. ניהול המטריצה ​​בסביבה כמו ISMS.online פירושו ששינויים בשירות, תחומים חדשים או עדכונים רגולטוריים יכולים להפעיל ביקורות RACI באופן אוטומטי, ולשמור על הגדרות התפקידים שלכם בהתאם למודל האספקה ​​האמיתי שלכם במקום להיקבר בסבבי שקופיות ישנים.

באיזו תדירות צריכים מנהלי שירותי ניהול (MSP) לסקור את מיפויי ISO 27001, ומי צריך להיות מעורב?

עליכם לסקור את המיפויים של תקן ISO 27001 בקצב המשקף את לוח הזמנים של הביקורת שלכם ואת קצב השינויים, תוך שילוב של לפחות סקירה שנתית מלאה אחת עם עדכונים ממוקדים לאחר שינויים משמעותיים בשירותים, כלים או סיכונים. המטרה היא לשמור על דיוק המיפויים מבלי להפוך את התחזוקה לנטל מתמיד על צוותי האספקה.

איזה קצב סקירה עובד בסביבת MSP עמוסה?

רוב חברי ה-MSP מסתפקים בדפוס מעורב:

  • סקירה שנתית מקצה לקצה: לעיתים קרובות, תוך התאמה לביקורות פנימיות או סקירות ניהוליות בתקן ISO 27001, בדיקה זו בודקת שכל הסעיפים הרלוונטיים ובקרות נספח A מותאמות לשירותים ולתהליכים הנכונים, שמצביעי הראיות עדיין נפתרים כהלכה, וש-RACIs עדיין תואמים לאופן שבו העבודה מתבצעת הן בצד ה-MSP והן בצד הלקוח.
  • עדכונים מונעי שינוי: הפעל סקירה ממוקדת כאשר אתה מציג או מוציא משימוש כלים מרכזיים (לדוגמה, PSA, RMM, פלטפורמות ניטור או גיבוי), משיק או סוגר שירות ליבה כגון SOC, XDR או אבטחת ענן, נכנס לתחום חדש המפוקח מאוד, או לומד מאירועים, משוב מלקוחות או ביקורות חיצוניות שחושפות פערים במיפוי שלך.

שילוב האנשים הנכונים בסקירות אלו שומר על יעילותן. vCISO, ראש אבטחה או מנהל ISMS בדרך כלל אחראים על המיפוי הכולל ומתאם את העבודה. ראשי אספקת שירותים, ראשי NOC/SOC ומהנדסים בכירים מספקים פרטים תפעוליים ומדגישים היכן השתנו זרימות העבודה. מנהלי תיקי לקוחות מוסיפים ציפיות ספציפיות ללקוח, בעוד שעמיתים בתחום הביקורת הפנימית או האיכות עוזרים לבדוק האם המיפויים, ה-RACI והראיות יעמדו בבדיקה חיצונית. אם המיפויים, ה-SoA וה-RACI שלכם נמצאים ב-ISMS.online, זרימות עבודה, תזכורות ולוחות מחוונים יכולים לתזמן סקירות, לתעד החלטות ולעקוב אחר פעולות שיפור, כך שההנהלה תראה את תקינות המיפוי לצד שאר ביצועי ה-ISMS שלכם.

כיצד שימוש בפלטפורמת ISMS כמו ISMS.online משנה את המיפוי היומיומי של ISO 27001 עבור ספקי שירותי ניהול רשת (MSPs)?

שימוש בפלטפורמת ISMS הופך את מיפוי ISO 27001 מתרגיל עמוס במסמכים למערכת תפעולית המקשרת ישירות את התקנים לשירותים שאתם מפעילים. במקום לתחזק קבצים נפרדים עבור סעיפים, בקרות, שירותים, סיכונים, RACI, ביקורות וראיות, אתם עובדים בסביבה מובנית אחת שבה כל פריט מקושר, מבוקר גרסאות וקל לבדיקה.

אילו יתרונות מעשיים מציעה פלטפורמת ISMS על פני גיליונות אלקטרוניים עבור מיפויי MSP?

קבוצות בדרך כלל חשות את היתרונות בשלושה תחומים:

  • מיפוי מהיר ואמין יותר.: ספריות סעיפים ונספחים א' מגיעות טעונות מראש, כך שאתם מתמקדים בהחלטה אילו דרישות רלוונטיות וכיצד ספק שירותי הניהול הניהולי שלכם עומד בהן. אתם יכולים לקשר כל בקרה ישירות לשירותים, זרימות עבודה, תפקידים וראיות קונקרטיות כגון תורי כרטיסים, לוחות מחוונים לניטור, יומני גיבוי ואישורי שינויים, במקום להעתיק הפניות בין גיליונות.
  • ניהול ובעלות חזקים יותר. כל סעיף, בקרה, תהליך ומיפוי יכולים לשאת בעלים, תאריך סקירה ודגל סטטוס. ביקורות פנימיות, סקירות סיכונים ופגישות ניהול מסתמכות על אותם נתונים חיים שמהנדסים ומנהלי שירות מסתמכים עליהם מדי יום, מה שמפחית הפתעות ומבהיר מתי משהו דורש תשומת לב.
  • תגובות מהירות ועקביות יותר לבעלי עניין. כאשר מבקרים, לקוחות או חברות ביטוח שואלים אתכם כיצד אתם מטפלים בניהול גישה, רישום, גיבוי או תגובה לאירועים, תוכלו לסנן לפי בקרה או שירות ולייצא דוגמאות מקושרות במקום לבנות תשובות מאפס. זה חוסך זמן הכנה, מאיץ את תהליך שאלוני האבטחה ושומר על עקביות בתשובות בין לקוחות, שנים ומסגרות כגון ISO 27001, SOC 2 ו-ISO 27701.

ספקי שירותי ניהול (MSP) רבים מבחינים בירידה מיידית במאמץ להסמכה, מעקב והערכות לקוחות לאחר שמיפויים, SoA, RACIs וראיות חיים יחד במערכת ISMS. עם הזמן, היתרון הגדול יותר הוא שמיפוי ISO 27001 שלכם הופך לנכס משותף למכירות, תכנון שירות ושיחות סיכונים, ולא רק למשימת תאימות. אם אתם רוצים שהצוות שלכם יחווה את השינוי הזה, בילוי שעה של סיור בתצוגה מקוונת אמיתית של ISMS על השירותים והבקרות שלכם יגלה לעתים קרובות שיפורים שתוכלו ליישם הרבה לפני הביקורת החיצונית הבאה שלכם או סקירת לקוח גדולה.

מארק שרון

מארק שרון מוביל את תחום אסטרטגיית החיפוש והבינה המלאכותית הגנרטיבית ב-ISMS.online. הוא מתמקד בתקשורת כיצד ISO 27001, ISO 42001 ו-SOC 2 פועלים בפועל - קישור סיכונים לבקרות, מדיניות וראיות עם יכולת מעקב מוכנה לביקורת. מארק משתף פעולה עם צוותי מוצר ולקוחות כך שהלוגיקה הזו תוטמע בזרימות עבודה ובתוכן אינטרנט - ועוזר לארגונים להבין, להוכיח אבטחה, פרטיות וממשל בינה מלאכותית בביטחון.

טויטר

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.