רונית שדה יועצים  //  054-2277887  //  ronit@ronitsadeh.com  //           //

  • LinkedIn - White Circle
  • Facebook - White Circle

האתר נבנה ועוצב על ידי אופיר שפיגל - תקשורת וקשרי ממשל ofirpr.co.il, דרך Wix.com

פוסטים אחרונים:
Please reload

6 שלבים לטיפול באבטחת ספקים בהתאם לתקן ISO 27001.

נכון כי בעולם של היום ברשת יותר ויותר סיכונים הקשורים למידע נוצרים בגלל צד שלישי - ספקים, שותפים, אפילו לקוחות. וזה אפילו קשה יותר להגן על מידע המטופל על ידי צד שלישי. זה קשה, אבל לא בלתי אפשרי - למרבה המזל, יש מסגרת בת 6 שלבים לעשות את זה:

1. להעריך את הסיכונים הקשורים לצדדים שלישיים (6.1.2). עליך להעריך את הסיכונים לסודיות, לשלמות ולזמינות המידע שלך, אם אתה מבצע מיקור חוץ של חלק מהתהליכים שלך או מאפשר לצד שלישי לגשת למידע שלך. לדוגמה, במהלך הערכת הסיכון אתה יכול להבין שחלק מהמידע שלך עלול להיות חשוף לציבור וליצור נזק עצום, או כי חלק מהמידע עלול ללכת לאבוד לצמיתות. בהתבסס על תוצאות הערכת הסיכון, אתה יכול להחליט אם הצעדים הבאים בתהליך זה נחוצים או לא . לדוגמה, ייתכן שלא תצטרך לבצע בדיקת רקע או להוסיף סעיפי אבטחה עבור ספק הקפיטריה שלך, אך סביר להניח שתצטרך לעשות את זה עבור מפתח התוכנה שלך.

2. למיין ספקים פוטנציאליים שותפים (control A.7.1.1). זה המקום שבו אתה צריך לבצע בדיקות רקע על הספקים הפוטנציאליים שלך או שותפים . ככל שיותר סיכונים זוהו בשלב מוקדם יותר כל המיון והבדיקה צריכים להיות יסודיים יותר; כמובן, אתה תמיד צריך לוודא שאתה נשאר בתוך גבולות החוק כאשר עושים את זה. הטכניקות הזמינות משתנות במידה רבה, ועשויות לנוע בין בדיקת המידע הכספי של החברה ועד לבדיקת הרשומות הפליליות של המנכ"ל / הבעלים של העסק. ייתכן שתצטרך גם לבדוק את הבקרות והתהליכים הקיימים של אבטחת המידע.

3. הכנס סעיפי אבטחה מתאימים להסכם שלך (control A.15.1.2) . ברגע שאתה יודע אילו סיכונים קיימים ומה המצב הספציפי בחברה שבחרת כספק / שותף, תוכל להתחיל לנסח את סעיפי האבטחה שיש להכניס בהסכם. ייתכנו עשרות סעיפים כאלה, החל בבקרת גישה ותווית מידע סודי, וכלה בהדרכה ושיטות הצפנה שיש להשתמש.

4. הגבל את הגישה למידע (control A.9.4.1) . חתימת הסכם עם ספק לא אומרת שהם צריכים לגשת לכל הנתונים שלך - אתה צריך לוודא שאתה נותן להם את הגישה על בסיס "צריך לדעת". כלומר - הם צריכים לגשת רק לנתונים הנדרשים להם לבצע את עבודתם.

5. לפקח על תאימות (control A.15.2.1) . אתה יכול לקוות שהספק שלך יעמוד בכל סעיפי הביטחון בהסכם, אבל זה לא קורה לעתים קרובות. זו הסיבה שאתה צריך לפקח, ואם יש צורך, ביצוע ביקורת כדי לבדוק אם הם בכל הסעיפים שהוגדרו. למשל, אם הם הסכימו לתת גישה לנתונים שלך רק למספר קטן יותר של העובדים שלהם, זה משהו שאתה צריך לבדוק.

6. להחזיר את הנכסים עם סיום לא משנה אם ההסכם שלך הסתיים בנסיבות ידידותיות או פחות ידידותיות, עליך לוודא שכל הנכסים שלך הוחזרו (control A.8.1.4), וכל זכויות הגישה הוסרו (control A.9.2.6).

 

 

Please reload

חפש אותנו גם פה:
  • LinkedIn Social Icon
  • Facebook Social Icon