זיכערן אויסגעסאָורסט שפּיל אַנטוויקלונג: ISO 27001 A.8.30 דערקלערט פֿאַר סטודיאָס

ווען אייער שפּיל פֿאַרלאָזט דאָס געביידע: די נײַע אַוצאָרסינג ריזיקאָ־פֿלאַך

אויסגעסאָורסטע אַנטוויקלונג פֿאַר ISO 27001 A.8.30 ווערט באַהאַנדלט ווי עס וואָלט געשען אין אייער אייגענעם סטודיאָ, אונטער אייערע כּללים און פֿאַראַנטוואָרטלעכקייט. יעדע עקסטערנע מאַנשאַפֿט וואָס רירט אָן קאָד, בילדס אָדער מכשירים פֿאַרברייטערט אייער אַטאַק־פֿלאַך, און איר בלייבט פֿאַראַנטוואָרטלעך פֿאַר ווי זיי באַשיצן אייער אינטעלעקטועלע פאַרמעגן, אינפֿראַסטרוקטור און שפּילער־צוטרוי. זען אויסגעסאָורסטע מאַנשאַפֿטן ווי אַ טייל פֿון אייער סביבה, נישט "ערגעץ אַנדערש", איז דער אָנהייב־פּונקט פֿאַר קאָנטראָלן וואָס אַרבעטן אין עכטער פּראָדוקציע. די אינפֿאָרמאַציע איז אַלגעמיין און שטעלט נישט פֿאָר לעגאַלע אָדער סערטיפֿיקאַציע־עצה.

געזונטע אויטסאָרסינג הייבט זיך אָן ווען איר נעמט אָן אַז פּאַרטנערס טיילן זיך מיט אייערע ריזיקעס, נישט נאָר מיט אייער אַרבעטסלאָוד.

אין מאָדערנער שפּיל אַנטוויקלונג, אַרבעטן קאָ-דעוועלאָפּער פּאַרטנערס, קונסט הייזער, פּאָרטינג טימז און פרילאַנסערס זעלטן אויף אפגעזונדערטע טעקעס. זיי פאַרבינדן זיך טיפּיש צו געטיילטע גיט אָדער פּערפאָרס רעפּאָזיטאָריעס, בויען סיסטעמען, וואָלקן סטאָרידזש פֿאַר קונסט און אַודיאָ, טעלעמעטרי דאַשבאָרדז און אינערלעכע פּראָבלעם טראַקערז. א שוואַך פּאַראָל ביי אַ פאַרקויפער, אַן אַנמאַנידזשד לאַפּטאַפּ אָדער אַן אַלטמאָדישער VPN קליענט קען איצט זיין גענוג צו ליקן אַ גאַנצע סעזאָן ווערט פון אינהאַלט אָדער געבן אַטאַקירער אַ רוט אין דיין באַקענד.

דער פּראַקטישער אונטערשייד צווישן "אינערלעכער" און "עקסטערנער" אַרבעט איז פֿאַרשוואומען געוואָרן. עקסטערנע מאַנשאַפֿטן זיצן אָפֿט אין די זעלבע שמועס קאַנאַלן, ניצן די זעלבע בילעט קיוז און טייל מאָל טיילן זיי זיך אפילו SSO טענענטן פֿאַר מכשירים. אויב איר פּלאַנירט נישט באַוואוסטזיניק קאָנטראָלן פֿאַר יענער רעאַליטעט, וועט אייער ISMS ווערן געבויט אַרום אַ סטודיאָ מאָדעל וואָס עקזיסטירט שוין נישט, לאָזנדיק לעכער וואָס שפּילער, פֿאַרלעגער און אוידיטאָרן וועלן עווענטועל באַמערקן.

פארוואס אוטסאָרסינג ענדערט אייער אטאקע ייבערפלאַך

אויטסאָרסינג ענדערט אייער אטאקע-איבערפלאַך ווייל עס פארמערט די צאָל וועגן אין אייער קאָד, אינהאַלט און לייוו-אָפּ סיסטעמען. איר באַזיצט נאָך אַלץ די ריזיקע אויף יעדן איינעם פון די וועגן, נישט קוקנדיק אויף וואו די מענטשן אדער האַרדווער זיצן.

אויסגעסאָורסטע אַנטוויקלונג מיינט אַז צוטריט צו אייער שפּיל איז ניט מער באַגרענעצט צו אייערע אייגענע נעטוואָרקס, דעוויסעס און שטאַב. דריט-פּאַרטיי קינסטלער וואָס ציען טעקסטשערז, קאָ-דעוועלאָפּער טימז וואָס קאָמיטן קאָד, QA ווענדאָרס וואָס טעסטן פריע בילדס און לייוו-אָפּס פּאַרטנערס וואָס לויפן טולינג - אַלע שאַפֿן נייע רוטעס אין אייער IP און אינפראַסטרוקטור. אויב איר רעגירט נישט די רוטעס מיט קלאָרע צוטריט כּללים, טעכנישע קאָנטראָלס און אָפּשאַצונג פונקטן, ירשעט איר וועלכע זיכערהייט פּראַקטיקעס יענע פּאַרטנערס האָבן - אָדער נישט האָבן - אין פּלאַץ.

אין פילע סטודיאָס, קענען עקסטערנע פּאַרטנערס איצט אָנרירן בויען פּייפּליינז, טעלעמעטריע מכשירים און אינערלעכע אַדמין דאַשבאָרדז, נישט נאָר אַסעט טעקעס. דאָס פֿאַרשטאַרקט דעם אימפּאַקט פֿון פּשוטע דורכפֿאַלן. אַ געטיילטער חשבון וואָס ווערט געלאָזט אַקטיוו נאָכדעם וואָס אַ קאָנטראַקט ענדיקט זיך, אַ פּערזענלעכער לאַפּטאָפּ געניצט פֿאַר טעסט בילדס אָדער אַ קאָפּירטע רעפּאָזיטאָרי אויף אַן אַנמענעדזשד סערווער קענען אַלע ווערן אַרייַנגאַנג פונקטן פֿאַר אַטאַקערז אָדער קוואלן פֿון ליקס וואָס שאַטן רעוועך, רעפּוטאַציע און פּלאַטפאָרמע באַציִונגען.

ערשטע טריט: מאַכן די אומזעיקבארע אויססאָרסינג מאַפּע קענטיק

כּדי צו מאַכן A.8.30 באַדײַטפֿול, דאַרפֿסטו ערשט אַ קלאָר בילד פֿון ווער בויט וואָס פֿאַר דיר און וועלכע צוטריט זיי נוצן. אַ פּשוטע אויסגעסאָורסטע אַנטוויקלונג מאַפּע פֿאַרוואַנדלט וואַגע הנחות אין קאָנקרעטע פֿאַקטן וואָס דו קענסט פֿאַרוואַלטן, מאָניטאָרירן און פּרעזענטירן צו אָדיטאָרס ווי אַ טייל פֿון דיין ISMS.

אייער ערשטער פּראַקטישער שריט איז צו מאַכן אייער אויססאָרסינג פֿוסשטאַפּ קענטיק אויף אַ וועג וואָס איר קענט האַנדלען אויף. דאָס מיינט גיין ווייטער ווי אַ ליסטע פֿון פֿאַרקויפֿער אין פֿינאַנץ און בויען אַן אויססאָרסינג מאַפּע וואָס ענטפֿערט קלאָרע פֿראַגעס: ווער דיזיינט, קאָדירט, טעסט אָדער אָפּערירט עפּעס וואָס איז פֿאַרבונדן מיט אייערע שפּילן, און וואָס פּונקט קענען זיי זען אָדער ענדערן?

הייבט אן מיט אויסרעכענען יעדן שותף וואס איז פארמישט אין אנטוויקלונג: קא-אנטוויקלונג סטודיאס, קונסט און אודיא סופלייערס, פארטירונג טימס, QA פארקויפער, לייוו-אפס שותפים, געצייג ספעציאליסטן און שטאב-אויגמענטאציע קאנטראקטארן. פאר יעדן איינעם, רעקארדירט וואס זיי קענען צוקומען: ספעציפישע רעפאזיטאריעס, צווייגן, דעפאס, סביבות, דאטאבאזעס, דעשבאָרדז אדער געצייג. איר פרובירט צו פארטרעטן מיר טראכטן זיי זעהן נאר קונסט מיט דעם שותף קען ארויסציען די דריי דעפאס און לויפן די צוויי דעשבאָרדז.

ווייטער, קלאַסיפֿיצירט יעדע באַציִונג לויט אימפּאַקט. אַ קליין קאָנצעפּט-קונסט קראָם וואָס באַקומט בלויז פלאַכע בילד רעפֿערענצן איז נישט אין דער זעלביקער קאַטעגאָריע ווי אַ קאָ-דעוועלאָפּער סטודיאָ מיט שרייב אַקסעס צו גאַמעפּלייַ סיסטעמען און מאַטשמעיקינג לאָגיק. אַ QA הויז וואָס קען אראָפּלאָדן כּמעט-ענדגילטיקע בילדס האט אַנדערע ריסקס צו אַ לאָקאַליזאַציע אַגענטור וואָס אַרבעט בלויז פֿון ספּרעדשיטס. די פּשוטע טיערינג גיט איר אַ באַזע צו באַשליסן וווּ ISO 27001 A.8.30 דאַרף שווערע באַווייַזן און וווּ אַ לייטערער ריר איז פּאַסיק.

צום סוף, פֿאַרבינדט די מאַפּע מיט אייער איצטיקער פאַרוואַלטונג. פרעגט ווער איז דער אייגנטימער פֿון יעדער באַציִונג, ווער באַשטעטיקט צוטריט, ווער באַטראַכט עס און ווער וואָלט באַמערקט אויב יענער פּאַרטנער וואָלט מאָרגן קאָמפּראָמיטירט געוואָרן. זייער אָפֿט איז די ערלעכע ענטפֿער נישט קיין איין מענטש, וואָס איז פּונקט דער ריס וואָס A.8.30 איז בדעה צו פֿאַרמאַכן. דאָס איז אויך וווּ אַ סטרוקטורירטע פּלאַטפאָרמע ווי ISMS.online קען העלפֿן, דורך געבן אײַך אַ קאָנסיסטענטן וועג צו רעקאָרדירן אייגנטימערשאַפֿט, צוטריט און באַשלוסן איבער פּראָיעקטן, אַזוי אַז איר זאָלט נישט אָפּהענגען פֿון יחידישע זכּרון אָדער צעוואָרפֿענע דאָקומענטן.

ספר אַ דעמאָ

וואָס ISO 27001 A.8.30 טאַקע פֿאָדערט פֿון שפּיל סטודיאָס

ISO 27001 A.8.30 ערוואַרטעט פֿון אײַך צו באַהאַנדלען אויסגעסאָורסטע אַנטוויקלונג ווי עס וואָלט געשען אין אײַער סטודיאָ, מיט די זעלבע זיכערהייט־רעגולאַציעס און פֿאַראַנטוואָרטלעכקייט וואָס גילטן נאָך אַלץ פֿאַר יענער אַרבעט, נישט קיין חילוק ווער בויט טאַקע די שפּיל־סיסטעמען אָדער אינהאַלט. עקסטערנע מאַנשאַפֿטן מוזן נאָכפֿאָלגן אײַערע אינפֿאָרמאַציע־זיכערהייט־פֿאָדערונגען פֿאַר אַנטוויקלונג, און איר מוזט קענען ווײַזן ווי איר פֿירט, מאָניטאָרירט און איבערקוקט יענע אַרבעט איבער צײַט; נישט־אַנטפּלעקונג־אַגרעמס אַליין זענען נישט גענוג, ווײַל איר דאַרפֿט באַווײַזן פֿון עכטער קאָנטראָל.

פּשוט־שפּראַכיקע אינטערפּרעטאַציע פֿון A.8.30 פֿאַר שפּיל־סטודיאָס

אין פשוטע ווערטער, זאגט A.8.30 אז ווען איר אויטסארסירט יעדן טייל פון אנטוויקלונג, קאנטראלירט איר נאך אלץ ווי אזוי די ארבעט ווערט געטאן. אייערע אינפארמאציע-זיכערהייט רעקווייערמענטס מוזן ווערן דערפילט, נישט קוקנדיק אויף ווער שרייבט דעם קאוד אדער שאפט די רעסורסן.

פֿאַר רובֿ סטודיאָס, אַרייַננעמען "אינפֿאָרמאַציע-זיכערהייט רעקווייערמענץ" לפּחות קאָנפֿידענציאַליטעט פֿון נישט-פֿאַרעפֿנטלעכטן אינהאַלט און פּראַפּרייאַטערי טעכנאָלאָגיע, אָרנטלעכקייט פֿון קאָד און אַסעץ, און פֿאַרפֿיגבאַרקייט פֿון בילד און לייוו-אָפּס סיסטעמען. דעפּענדינג אויף וואָס דיין שפּיל האַנדלט, קענען זיי אויך אַרייַננעמען פּריוואַטקייט פֿאַרפֿליכטונגען פֿאַר שפּילער דאַטן און רעגולאַטאָרישע רעקווייערמענץ אַרום צאָלונגען אָדער קינדער דאַטן. A.8.30 ערוואַרטעט אַז די רעקווייערמענץ זאָלן פֿאָרמען ווי אַוטסאָורסט אַנטוויקלונג ווערט פּלאַנירט און געפֿירט, נישט נאָר ווי עס ווערט באַשריבן אין לעגאַלער שפּראַך.

קריטיש וויכטיג, די קאנטראל איז נישט וועגן צווינגען יעדן פארקויפער צו אננעמען ISO 27001 אין גרויסן. עס איז וועגן זיכער מאכן אז די טיילן פון זייער ארבעט וואס באטרעפן אייערע שפילן ווערן געטאן אויף א וועג וואס איז אין איינקלאנג מיט אייער ISMS. דאס קען מיינען געבן קלענערע שותפים א קלארע סעט פון וואס מען זאל און וואס מען זאל נישט טון, צוטריט-רעגולאציעס און געצייג, בשעת מען ערווארטעט פון מער דערוואקסענע קא-אנטוויקלונג סטודיאס צו ווייזן שטארקערע אינערליכע פראקטיקעס און מער פארמאלע פארזיכערונג.

ווי A.8.30 פֿאַרבינדט זיך מיט סאַפּלייער און אַנטוויקלונג קאָנטראָלן

פֿון אַן אוידיטאָר'ס פּערספּעקטיוו, איז A.8.30 איין טייל פֿון אַ פֿאַראייניקטן שטאָק צווישן סאַפּלייער פאַרוואַלטונג און זיכערער אַנטוויקלונג, נישט קיין באַזונדערע הערשאַפֿט. אויסגעסאָורסטע אַנטוויקלונג דאַרף באַקוועם זיצן לעבן קאָנטראָלן ווי A.5.19–A.5.22, ענדערונג פאַרוואַלטונג און זיכערער קאָדירונג, אַנשטאָט באַהאַנדלט צו ווערן ווי אַ ספּעציעלער פֿאַל וואָס לעבט נאָר אין לעגאַלע דאָקומענטן.

ביים אויסוואל, זאָלט איר קענען ווייַזן ווי איר אָפּשאַצט צי אַ פּאַרטנער איז טויגיק צו טרעפן אייערע זיכערהייט ערוואַרטונגען. אין אָפּמאַכן, זאָלט איר ווייַזן וווּ די ערוואַרטונגען זענען געשריבן ווי פאַרפליכטונגען. אין טעגלעכער אַרבעט, זאָלט איר ווייַזן ווי אַקסעס, קאָד אָפּשאַצונג, טעסטינג און דיפּלוימאַנט פירן זיך אויף דעם זעלבן וועג פֿאַר עקסטערנע און אינטערנע ביישטייערער. אין מאָניטאָרינג, זאָלט איר קענען ווייַזן לאָגס, אָפּשאַצונגען און קאָרעקטיווע אַקציעס ספּעציפֿיש שייך צו אויסגעסאָורסט אַרבעט.

אוידיטארן ערווארטן טיפיש פיר סארטן באווייזן פאר A.8.30: גאַווערנאַנס דאָקומענטן, קאָנטראַקטן, אָפּעראַציאָנעלע קאָנטראָלן און פארזיכערונג אַקטיוויטעטן. די טאַבעלע אונטן גיט אַ פּשוטע מאַפּינג וואָס איר קענט נוצן ווי אַ פּלאַן טשעקליסט פֿאַר אייער סטודיאָ.

א הקדמה איבערבליק פון באווייז טיפן וואס אן אוידיטאר זוכט אפט:

געגנט	טיפּישע אַרטיפאַקטן	וואָס עס באַווייַזט
גאָווערנאַנסע	אויססאָורסט-דעוועלאָפּמענט פּראָצעדור, ריזיקאָ אַסעסמאַנץ	איר האָט אַ סטרוקטורירטן צוגאַנג
קאָנטראַקץ	MSAs, SoWs, זיכערהייט סקעדזשולז, NDAs	פּאַרטנערס זענען געבונדן צו אייערע באדערפענישן
אפעראציאנעלע ארבעט	צוטריט מאַטריצעס, רעפּאָ כּללים, קאָד-איבערבליק לאָגס, טעסץ	קאָנטראָלס עקסיסטירן און ווערן גענוצט אין פּראַקטיק
פארזיכערונג	סאַפּלייער באריכטן, רעזולטאַטן, אַקציעס און נאָכפאָלגן	איר מאָניטאָרירט און פֿאַרבעסערט זיך מיט דער צייט

איר דאַרפֿט נישט קיין פּערפֿעקטע פּאָלירונג אויף טאָג איינס, אָבער איר דאַרפֿט יאָ אַ קאָוכירענטע געשיכטע: אַזוי באַשליסט איר ווער קען בויען אייער שפּיל, אַזוי פֿאָדערט איר פֿון זיי, אַזוי אינטעגרירט און קאָנטראָלירט איר זייער אַרבעט, און אַזוי ווייסט איר אַז עס פּאַסירט נאָך אַלץ. מיט דער צייט ווערט יענע געשיכטע אַ קערן טייל פֿון ווי אַזוי איר דערקלערט אייערע ISMS צו פֿאַרלעגער, פּלאַטפֿאָרמע פּאַרטנערס און אָדיטאָרס, ספּעציעל אויב איר קענט עס קאָנסיסטענט ווייַזן אין אַ פּלאַטפֿאָרמע ווי ISMS.online אַנשטאָט איבער פֿאַרשפּרייטע דרייווז און שמועס קאַנאַלן.

ISMS.online גיט אייך א 81% פארשטארקונג פון דעם מאמענט וואס איר לאגט זיך איין

ISO 27001 געמאַכט גרינג

מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.

באַקומען אנגעהויבן

פֿון אַד-האָק אָפּמאַכן ביז אַ קאָנטראָלירטן אַוטסאָרסינג ראַם

פֿון אַן ISO 27001 A.8.30 שטאַנדפּונקט, איז דער עכטער שפּרונג צו גיין פֿון איין-מאָל אויססאָרסינג באַשלוסן צו אַ קאָנסיסטענטן אויססאָרסינג ראַם, אַזוי אַז יעדער פּראָיעקט פֿאָלגט דעם זעלבן רוקן-ביין פֿון טשעקס און קאָנטראָלן בשעת עס גיט פּראָדוצירער און טעק פירער גענוג פֿרײַהייט צו אַרבעטן מיט פּראָדוקציע גיכקייט און דערגרייכן שעפערישע צילן. כּדי צו נאָכקומען מיט A.8.30 אָן פּאַראַליזירן פּראָדוקציע, דאַרפֿט איר אַ פּשוטן, איבערחזרנדיקן אויססאָרסינג ראַם וואָס יעדער פּראָיעקט קען נאָכפֿאָלגן, וואָס פֿאַרבײַטט אימפּראָוויזירטע טשעקליסטן און העלדישן יחידישן מי מיט אַ לעבן-ציקל וואָס פֿילט זיך נאַטירלעך אין טעגלעכן באַנוץ, אַזוי אַז זיכערהייט ווערט אַ רוטינע טייל פֿון ווי אַזוי איר אַרבעט מיט פּאַרטנערס, נישט אַ שפּעט-פאַזע בלאַקער וואָס דערשײַנט גלייך פֿאַר אַ בילד שלאָס.

דיזיינירן אַן אויסגעסאָורסט-אנטוויקלונג לעבן-ציקל וואָס פּאַסט צו פּראָדוקציע

A.8.30 לאַנדט ריינסט ווען דיין אַוטסאָורסט-דעוועלאָפּמענט לעבן-ציקל שפּיגלט דיין עקסיסטירנדיק פּראָדוקציע טויערן; די הויפּט געדאַנק איז גאַנץ פּשוט: פֿאַרבינדן זיכערהייט און סאַפּלייער טשעקס אין מיילשטיינער וואָס איר נוצט שוין, אַזוי אַז טימז זאָלן נישט פילן ווי זיי אַרבעטן דורך אַ צווייטן, פּאַראַלעלן פּראָצעס וואָס עקזיסטירט נאָר פֿאַר אָדיטאָרס. אַ פּראַקטישער אַוטסאָורסט-דעוועלאָפּמענט לעבן-ציקל פֿאַר אַ סטודיאָ שפּיגלט דעריבער ווי איר באַוועגט שוין שפּילן דורך מיילשטיינער און גרין-ליכט באריכטן, צולייגנדיק זיכערהייט-רעלאַוואַנט טויערן אין מאָמענטן וואָס עקזיסטירן שוין אַנשטאָט צו דערפינדן נייע זיצונגען און דאָקומענטן פֿאַר זייער אייגענעם צוועק, און מאַכן די טויערן קענטיק ווי אַ טייל פֿון דיין ISMS.

וויזועל: א פשוטע לעבנס-ציקל דיאגראם וואס ווייזט אויפנאמע דורך אָפבאָרדינג פאר אויסגעסאָורסטע פּאַרטנערס.

א טיפישער לעבנסציקל האט זיבן שטאפלען:

שטאַפּל 1 – אויפֿנאַם

באַשליסט צי איר דאַרפט אַן אויסערלעכן שותף, וואָס זיי וועלן צושטעלן און וואָסערע צוטריט זיי וואָלטן דאַרפֿן צו טאָן די אַרבעט זיכער.

שטאַפּל 2 – דיו דילידזשענס

קאָנטראָלירט צי דער קאַנדידאַט־פּאַרטנער קען מקיים זײַן אײַערע גרונט־זיכערהייט און פּריוואַטקייט־ערוואַרטונגען, ניצנדיק פּראָפּאָרציאָנעלע פֿראַגעבאָגן און, וואו נויטיק, עקזיסטירנדיקע באַשטעטיקונגען.

שטאַפּל 3 – קאָנטראַקטירן

איבערזעצט זיכערהייט ערוואַרטונגען אין בינדנדיקע טערמינען, אַרייַנגערעכנט קלאָרע פֿאַרפליכטונגען, פֿאַראַנטוואָרטלעכקייטן, אינצידענט באַריכטן און אַלע אָדיט אָדער אַסעסמאַנט רעכט וואָס איר דאַרפֿט.

שטאַפּל 4 – אָנבאָאַרדינג

פארוואנדלט אפמאכן אין קאנקרעטע צוטריט, געצייג, אריענטאציע און ערשטע טרענירונג פארן שותף, מיט הסכמה'ס און רעקארדס וואס איר קענט שפעטער ווייזן די אוידיטארן.

שטאַפּל 5 – ליפערונג

לאָזט דעם פּאַרטנער טאָן די אַרבעט ניצנדיק באַשטימטע מכשירים, צווייגן און סביבות אונטער דעפינירטע קאָנטראָלן, מיט קאָד אָפּשאַצונג, טעסטינג און דיפּלוימאַנט וואָס פירט זיך ווי זיי טוען פֿאַר אינערלעכע טימז.

שטאַפּל 6 – מאָניטאָרינג

איבערקוקן טעטיקייטן, צוטריט און דעליוועראַבאַלז רעגולער, עסקאַלירן פּראָבלעמען, רעקאָרדירן באַשלוסן און אַריינפירן די רעזולטאַטן אין אייערע סאַפּלייער-איבערבליק און ריזיקאָ-פאַרוואַלטונג פּראָצעסן.

שטאַפּל 7 – אָפבאָרדינג

אַראָפּנעמען צוטריט, צוריקקריגן אָדער זיכער אויסמעקן דאַטן און פאַרענדיקן שליסונג אויפגאַבן ווען די אַרבעט ענדיקט זיך, אַרייַנגערעכנט דערהייַנטיקן דיין אַוטסאָרסינג מאַפּע און סאַפּלייער ריזיקירן רעגיסטער.

דער שליסל איז צו איינפלאנצן די שטאפלען אין אייער עקזיסטירנדיקער פראיעקט גאווערנענס. למשל, איר קענט פארלאנגען אז קיין שותף זאל נישט ווערן איינגעפירט איידער א מינימום דיו-דילידזשענס קוועסטיאנער איז אויסגעפילט און באשטעטיגט, און אז אפבאארדינג אויפגאבעס זענען טייל פון אייער פראיעקט שליס-אראפ טשעקליסט. דאס לאזט אייך פארגרעסערן קאנטראל אן אויסטרעפן א פאראלעלע ביוראקראטיע אדער פארלאנגזאמען פראדוקציע אומנייטיק.

ניצן פארקויפער שטאפלען און געטיילטע מכשירים אנשטאט איין-מאל פראצעסן

פֿאַר ISO 27001, איז פּראָפּאָרציאָנאַליטעט וויכטיק: נישט יעדע אויסגעסאָורסטע באַציִונג רעכטפֿערטיקט אַ שווערן פּראָצעס. פֿאַרקויפֿער-טיערינג און געטיילטע טעמפּלאַטן לאָזן אײַך סקאַלירן A.8.30 קלוג אַריבער קאָ-דעוועלאָפּמענט, QA, קונסט און קאָנסולטאַטיווע פּאַרטנערס אָן איבערמאַכן דאָקומענטן פֿאַר יעדן אָפּמאַך אָדער פֿאַרברענען גוטן ווילן מיט נידעריק-ריזיקירטע סאַפּלייערס.

נישט יעדע אויסגעסאָורסטע באַציִונג פֿאַרדינט די זעלבע טיפֿקייט פֿון קאָנטראָל. אַ פּאַרטנער וואָס איז אײַנגעוואָרצלט אין אײַער קאָדבאַזע און לייוו־אָפּס סטאַק רעכטפֿערטיקט פֿיל מער קאָנטראָלן ווי אַ בוטיק־סטודיאָ וואָס גיט זעלבשטענדיקע אַודיאָ־אַסעטן. פֿאַרקויפֿער־טיערינג לאָזט אײַך כאַפּן יענעם נואַנס אויף אַ סטרוקטורירטן אופֿן און עס קלאָר דערקלערן פֿאַר אוידיטאָרן און פֿאַרלעגער.

צום מינימום, רוב סטודיאָס נוץ פון דריי שטאפלען:

שטאַפּל איינס: שותפים מיט פריווילעגירטן אדער טיפן צוטריט, ווי קא-דעוו סטודיאָס און קאָר באַקענד אדער אַנטי-טשיט פּראַוויידערז.
צווייטע שטאַפּל: פּאַרטנערס מיט באַדייטנדיק אָבער באַגרענעצט צוטריט, אַזאַ ווי פּאָרטינג הייזער אָדער QA טימז וואָס זען אינטערנע בילדס.
שטאַפּל דריי: פּאַרטנערס מיט אינהאַלט-בלויז אָדער קאָנסולטאַטיווע ראָלעס און קיין דירעקטן צוטריט צו קאָד אָדער לעבעדיקע סביבות.

פֿאַר יעדן שטאַפּל, דעפינירט איר וועלכע פֿראַגעבאָגן, קאָנטראַקטואַלע קלאָזולעס, זיכערהייט באַזעליניעס און אָפּשאַצונג אָפֿטקייטן זענען אָנווענדלעך. הויך-ריזיקירנדיקע פּאַרטנערס זען שטאַרקערע רעקווירעמענץ און מער אָפֿטער זיכערהייט, בשעת נידעריק-ריזיקירנדיקע פּאַרטנערס דערפֿאַרן אַ לייטערע אָבער נאָך קאָנסיסטענטע אָנרירונג.

געטיילטע מכשירים מאַכן דאָס דעמאָלט פאַקטיש. אַנשטאָט יעדער פּראָדוצירער זאָל בויען זייערע אייגענע ספּרעדשיטס און אימעיל פֿעדעם, גיט איר אַ סטאַנדאַרט אָנהייבער פּאַק: אַ ריזיקאָ-אַסעסמענט טעמפּלאַט, אַ זיכערהייט אַפּענדיקס, אַ צוטריט-בעטן פאָרעם און אַ פּשוט טשעקליסט פֿאַר אָנבאָאַרדינג און אָפבאָאַרדינג. ווען אַ פּראָיעקט דרייט זיך אויף אַ נייע פֿאַרקויפֿער באַציִונג, אָנהייבן זיי פֿון יענע מוסטערן און אַדאַפּטירן זיך נאָר וווּ עס איז גערעכטפֿערטיקט. מיט דער צייט, ווי איר לערנט וואָס אַרבעט און וואָס פֿאַרלענגערט אײַך, פֿאַרפֿײַנערט איר די טעמפּלאַטעס - נישט פֿופֿציק צעוואָרפֿענע וואַריאַציעס. אַ פּלאַטפאָרמע ווי ISMS.online קען אײַך העלפֿן האַלטן יענע טעמפּלאַטעס און באַשלוסן אין איינקלאַנג איבער טיטלען.

שפּיל-ספּעציפֿישע טרעץ: ליקס, ענדזשינס, אַנטי-טשיט און לייוו-אָפּס

פֿון אַ שפּיל־אינדוסטריע שטאַנדפּונקט, מוז A.8.30 דעקן געפֿאַרן וואָס אַלגעמיינע קאָרפּאָראַטיווע גיידליינז איבערקוקן אָפֿט. סטאָרי ספּוילערס, מאָטאָר אינעווייניקסטע טיילן, אַנטי־טשיט סיסטעמען און לייוו־אָפּס טולינג שאַפֿן ריזיקעס וואָס זענען זייער אַנדערש פֿון אַ נאָרמאַלער געשעפֿט־אַפּליקאַציע, ספּעציעל ווען עקסטערנע סטודיאָס שפּילן אַ דירעקטע ראָלע אין בויען און אָפּערירן דיין אינהאַלט.

שפּיל אַנטוויקלונג ברענגט סכּנה מוסטערן וואָס אַלגעמיינע ISO גיידליינז טענד צו פֿאַרדעקן: ספּוילער-שווער סטאָרי אינהאַלט, פּראַפּרייאַטערי ענדזשינס, אַנטי-טשיט לאָגיק, לעבן עקאָנאָמיעס און סיזאַנאַל געשעענישן. אַוטסאָורסט אַנטוויקלונג רירט פילע פון די גלייך. אויב איר איגנאָרירט די ספּעציפֿיקס, ריזיקירן איר צו דיזיינען קאָנטראָלס וואָס זענען פֿאָרמעל אָרדנטלעך אָבער בלינד צו די וועגן ווי פאַקטיש אַטאַקירער, ליקער און טשיט דעוועלאָפּערס זיך אויפֿפֿירן.

מאַפּינג פון וואו דער עכטער שאָדן קען קומען

כדי זיך צו צופּאַסן צו A.8.30, דאַרפֿסטו זײַן קלאָר וועגן וועלכע אַסעץ און סיסטעמען וואָלטן אײַך טאַקע שאַטן אויב עס וואָלט געליקט אָדער קאָמפּראָמיטירט געוואָרן; אַמאָל די "קרוין דזשולז" זענען באַקאַנט, קענסטו שפּורן וועלכע עקסטערנע פּאַרטנערס רירן זיי אָן און פֿאַרשטאַרקן די קאָנטראָלן אַקאָרדינגלי אַנשטאָט צו פּרובירן צו באַשיצן אַלץ גלייך. שפּיל-ספּעציפֿישע סאַקאָנע מאָדעלינג הייבט זיך אָן מיט פרעגן וואָס וואָלט אײַך טאַקע שאַטן אויב עס וואָלט אַנטלאָפן אָדער וואָלט געוואָרן געטאַמפּערט: פֿאַר אַ דערציילונג-געטריבענעם טיטל, מיינט דאָס מסתּמא פּלאָט, סינעמאַטיקס און שליסל קונסט; פֿאַר אַ קאָנקורענטפֿעיִקן אָנליין שפּיל, איז עס מסתּמא אַנטי-טשיט רוטינעס, סערווער-זײַט לאָגיק און עקאָנאָמיע קאָנטראָלן; און פֿאַר אַ לייסענסד ספּאָרט אָדער פֿילם פאַרמאָג, קען עס זײַן כאַראַקטער דיזיינז און געשטאַלט אַסעץ באדעקט דורך שטרענגע פֿאַרקויף און לעגאַלע קאַמיטמאַנץ.

טיפּישע קאַטעגאָריעס פון אַסעטס מיט אַ גרויסן השפּעה זענען:

סטאָריע אינהאַלט ווי סקריפּטן, סינעמאַטיקס און שליסל קונסט פֿאַר אומגעמאָלדענע כאַראַקטערן אָדער לאָקאַציעס.
טעכנישע אַסעץ ווי מאָטאָר מאָדולן, אַנטי-טשיט כוקס, סערווער לאָגיק און בויען אָדער סיינינג פּייפּליינז.
קאמערציעל סענסיטיווע דאטן, אריינגערעכנט עקאנאמיע פאראמעטערס, פראמאציאנעלע געשעענישן און לייסענסירטע פראפערטי דיזיינס.

אז איר ווייסט שוין וועלכע רעסורסן זענען וויכטיגסט, זוכט וועלכע עקסטערנע שותפים זעען זיי. צי קאמפיילירט אייער קא-דעוו סטודיא אנטי-טשיט מאדולן לאקאל? צי האנדלט א פארטערינג הויז מיט קאנסאל בילדס און דערמיט אונטערשרייבט שליסלען? צי האנדלט א לייוו-אפס פארקויפער מיט דעשבאָרדז וואס קענען ענדערן אין-שפּיל פרייזן אדער באלוינונגען? צי א QA מאַנשאַפֿט דאונלאודט רעגולער סטאָרי-קריטישע בילדס צו היים אפיסעס? יעדער "יא" איז א סימן אז אייערע A.8.30 קאנטראלן מוזן טון מער ווי נאר באשטעטיגן "זיכערע אנטוויקלונג".

איר זאָלט אויך אָפּמערקן אויף גרויע געביטן. ספּוילערס וואָס זעען אויס שפּאַסיק פֿאַר עטלעכע שפּילער קענען זיין קאָנטראַקטועל סענסיטיוו פֿאַר לייסענסאָרס אָדער קענען אונטערמינעווען קערפֿול געצייכנטע מאַרקעטינג ריטמען. ענלעך, דיבאַג דאַטן וואָס זעען אויס ומשעדלעך פֿאַר אינזשענירן קענען אַנטהאַלטן אידענטיפֿיקאַטאָרן אָדער לאָגס מיט פּריוואַטקייט אָדער שווינדל-ריזיקע אימפּליקאַציעס. קלאַסיפֿיצירן די גרענעץ קאַטעגאָריעס עקספּליציט העלפֿט איר רעכטפֿאַרטיקן וואָס עטלעכע פּאַרטנערס שטייען אַנטקעגן שטרענגערע קאָנטראָלן ווי אַנדערע און העלפֿט איר דערקלערן די לאָגיק צו אָדיטאָרס און פֿאַרלעגער.

ספּעציעלע זאָרג פֿאַר מאָטאָרן, אַנטי-טשיט און לייוו-אָפּס

ענדזשינס, אַנטי-טשיט און לייוו-אפס טולינג זיצן ביים קנופּ פון טעכנישער קאָמפּלעקסיטעט און געשעפט ריזיקע, און A.8.30 גיט אייך א שטארקע באזע צו באהאנדלען די דאמעינען ווי ספעציעלע פעלער ווען זיי ווערן בארירט דורך עקסטערנע טימז, מיט שטרענגערע קאנטראלן און קלארערע באווייזן ווי פאר נידעריקער-אימפאקט ארבעט. דריי טעכנישע געביטן אין באזונדער פארדינען די זארג אין אויסגעסארסטע סצענארן - ענדזשינס און קערן טעכנאָלאָגיע, אַנטי-טשיט סיסטעמען און לייוו-אפס טולינג - ווייל יעדער קאמבינירט טיפע טעכנישע קאָמפּלעקסיטעט מיט הויכע אימפאקט אויב צעבראכן אדער אויפדעקט, און יעדער איז א געביט וואו ארויסגעבער און פּלאַטפאָרמעס פרעגן איצט דעטאלירטע פראגעס.

מאָטאָרן און קערן טעכנאָלאָגיע רעפּרעזענטירן אָפט יאָרן פון ינוועסטירונג און זענען אונטערשיידנדיקע פֿאַר וויזועלע געטריישאַפט, פאָרשטעלונג אָדער געצייַג וואָרקפלאָוז. דערלויבן אַן עקסטערנאַל סטודיאָ-ברייט, אַנסעגמענטירטן צוטריט צו מאָטאָר קאָד קען זיין נייטיק אין גרויסע קאָ-דעוועלאָפּמענט באַציִונגען, אָבער עס זאָל נישט זיין דער פעליקייַט פֿאַר יעדן סאַפּלייער. וואו מעגלעך, אפגעזונדערט ווידער-ניצלעכע מאָטאָר קאָמפּאָנענטן פון שפּיל-ספּעציפֿיש לאָגיק און באַגרענעצט ווער קען זען אָדער מאָדיפֿיצירן די ערשטע, ניצנדיק באַזונדערע רעפּאָזיטאָריעס, צווייגן און סביבות.

אַנטי-טשיט סיסטעמען זענען ספּעציעל סענסיטיוו. עקסטערנאַליזירן אַנטוויקלונג דאָ קען מאַכן זינען פֿאַר ספּעציאַליסטישע עקספּערטיז, אָבער עס פֿאַרגרעסערט דעם ריזיקאָ אַז אימפּלעמענטאַציע דעטאַלן זאָלן דורכרינען אין טשיט-דעוועלאָפּמענט קהילות אָדער אַז בייזוויליקע קאָד זאָל ווערן אײַנגעפֿירט אין קליענטן. אויב איר נעמט אַרײַן פּאַרטנערס אויף דעם לעוועל, זענען שטרענגע רעפּאָזיטאָרי סעגמענטאַציע, מאַנדאַטאָרישע קאָד איבערבליק דורך פֿאַרטרויענסווערדיגע אינערלעכע שטאַב און שטרענג קאָנטראָלירטע בילד סביבות וויכטיק. איר זאָלט אויך קענען ווײַזן אַן אוידיטאָר וועלכע אַקאַונטס האָבן אלץ אָנגערירט אַנטי-טשיט קאָד און ווי די ענדערונגען זענען געטעסט געוואָרן.

לייוו-אפס טולינג, פון אדמין דעשבאָרדז ביז עקאנאמיע קאנטראלערס, איז נאך א געוויינלעכע אוטסאָרסינג ציל. איין קאמפראמיטירטער אקאונט דא קען שטערן געשעענישן, אריינשפריצן שווינדלערישע זאכן אדער אויסלעשן געלט. יעדע עקסטערנע מאַנשאַפט וואס בויט אדער אפערירט די טולס זאל באהאנדלט ווערן אלס טייל פון אייער אפעראציאנעלן רוקן-ביין, מיט שטארקער אויטענטיפיקאציע, נעץ קאנטראלן, מאניטארינג און קלארע אינצידענט-עסקאלאציע וועגן. A.8.30 גיט די בארעכטיקונג צו אינסיסטירן אויף יענעם לעוועל פון זאָרג אפילו ווען קורץ-טערמין דעליווערי דרוק איז הויך, און אייערע סאַפּלייער-איבערבליק רעקאָרדס קענען ווייַזן ווי איר האַלט דעם סטאַנדאַרט איבער סעזאָנען און טיטלען.

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

דיזיינינג זיכערע קאנטראקטן און SLAs מיט עקסטערנע דעוועלאָפּער הייזער

פֿון אַן אוידיטאָר'ס שטאַנדפּונקט, קאָנטראַקטן און סערוויס-לעוועל אַגרימענטס זענען וואו A.8.30 הערט אויף צו זיין אַן אידעע און ווערט אַן דורכפֿירבארע פֿאַרפֿליכטונג, און פֿאַר אייער סטודיאָ זענען זיי אויך ווי אַזוי איר מאַכט "זיכערע אויסגעסאָורסטע אַנטוויקלונג" קאָנקרעט פֿאַר פּאַרטנערס אָן פֿאַרלאַנגזאַמען יעדע אונטערהאַנדלונג צו אַ קראָל אָדער מאַכן פּראָדוצירער אינבאָקסעס אין אַ פלאַשנעק. קאָנטראַקטן און SLA'ס זענען וואו איר פֿאַרוואַנדלט אייערע A.8.30 כוונות אין עפּעס מעסטבאַר: שלעכט געטאָן, זענען זיי געדיכטע דאָקומענטן וואָס קיינער לייענט נישט ביז עפּעס גייט שלעכט; גוט געטאָן, געבן זיי ביידע זייטן קלעריטי וועגן וואָס "זיכערע אויסגעסאָורסטע אַנטוויקלונג" מיינט אין פּראַקטיק און מאַכן עס פיל גרינגער צו דעמאָנסטרירן ISO 27001 קאָנפאָרמאַטי און ענטפֿערן פֿאַרלעגער פֿראַגעבאָגן מיט בטחון.

בויען אַ זיכערהייט-דורך-דיזיין קאָנטראַקט סטאַק

א זיכערהייט-דורך-דיזיין קאנטראקט סטאק בויט אינפארמאציע-זיכערהייט געדאנקען אין די הויפט אפמאך, NDAs, ארבעטס-אויסגאבעס און סקעדזשולז פון אנפאנג. אויף דעם אופן, הייבט זיך אן יעדער אויסגעסארסטער פראיעקט מיט א קאנסיסטענטן באזע וואס שפיגלט שוין אפ די ISO 27001 ערווארטונגען און די קאנטראלן פון די סופלייער.

א שטארקע קאנטראקט סטאק פאר אויסגעסארסטע אנטוויקלונג האט געווענליך פיר שיכטן: א הויפט סערוויסעס אפמאך, איין אדער מער נישט-אנטפלעקונג אפמאכן, סטעיטמענטס פון ארבעט און שטיצנדיקע סקעדזשולז ווי SLAs און זיכערהייט אנעקסן. אנשטאט צו באהאנדלען זיכערהייט ווי א צוגאב, לייגט מען אריין אינפארמאציע-זיכערהייט טראכטן איבער די שיכטן אזוי אז פראדוצירער זענען נישט געצוואונגען צו איבערמאכן טערמינען אונטער צייט דרוק.

די הויפּט סערוויסעס אפמאך דעפינירט די אלגעמיינע באַציִונג. עס זאָל שטעלן גרונט-ליניע ערוואַרטונגען פֿאַר אינפֿאָרמאַציע זיכערהייט, קאָנפֿידענציאַליטעט, אינטעלעקטועל אייגנטום, דאַטן שוץ, אינצידענט באַריכטן, אָדיט רעכט און סובקאָנטראַקטינג. NDAs דאַן פֿאַרגרעסערן זיך אויף וואָס ציילט זיך ווי קאָנפֿידענציאַל - מאָטאָר קאָד, מכשירים, נישט-פֿאַרעפֿנטלעכטע בילדס, פּלאַן דאָקומענטן, טעלעמעטריע מוסטערן - און מאַכן קלאָר אַז דער פּאַרטנער קען זיי נישט ווידער-ניצן אָדער אַנטפּלעקן אַרויס דעם איינגעשטימטן פֿאַרנעם.

ארבעטס-אויסזאגן פארבינדן ספעציפישע פראיעקטן אדער טיטלען צום הויפט אפמאך. דא באשרייבט איר וואס דער שותף וועט טון, וואס זיי דארפן צוקומען, וועלכע דעליוועראבלעס זיי וועלן פראדוצירן און וועלכע סביבות זיי וועלן נוצן. זיכערהייט סקעדזשולס און SLAs וואס זענען אנגעהענגט צו יעדן אויסזאג שרייבן דאן ארויס מער קאנקרעטע פארפליכטונגען: נוצן פון מולטי-פאקטאר אויטענטיפיקאציע, באגרענעצונגען אויף ארבעטן פון שטוב, מינימום פּעטשינג סטאנדארטן, אפטיים צילן פאר האסטעד טולינג און צייט-פלאנען פארן באריכטן און פאררעכטן שוואכקייטן.

ווען די עלעמענטן ווערן סטאַנדאַרדיזירט, דאַרפן פּראָדוצירער און לעגאַלע טימז נישט איבערדעקן זיכערהייט טערמינען פון אָנהייב. זיי אַרבעטן פֿון געפּריפֿטע טעמפּלאַטן וואָס שפּיגלען שוין אָפּ A.8.30 און די קאָנטראָלן פֿון די סאַפּלייער, און אַדזשאַסטירן נאָר וואו אַ באַזונדערע באַשטעלונג איז באמת אַנדערש. אַ סיסטעם ווי ISMS.online קען אײַך העלפֿן פֿאַרבינדן די טערמינען גלייך מיט קאָנטראָלן און ריזיקעס אין אײַער ISMS, אַזוי אַז קאָנטראַקטן ווערן לעבעדיקע אַרטיפֿאַקטן אַנשטאָט סטאַטישע טעקעס.

פארוואנדלען זיכערהייט ערווארטונגען אין מעסטבארע פליכטן

A.8.30 מוטיקט אייך צו פארוואנדלען הויך-לעוועל זיכערהייט ערווארטונגען אין פליכטן וואָס קענען געמעסטן, איבערגעקוקט און פארבעסערט ווערן. קלאָרע, טעסטאַבלע רעקווייערמענץ מאַכן עס אויך גרינגער צו צופּאַסן לעגאַלע דאָקומענטן מיט די אָפּעראַציאָנעלע קאָנטראָלן וואָס איר פירט אין רעפּאָזיטאָריעס און סביבות, אַזוי אַז אייערע אַדוואָקאַטן און אינזשענירן רעדן עפעקטיוו וועגן די זעלבע זאכן.

פֿאַר A.8.30, איז עס נישט גענוג צו זאָגן "דער סאַפּלייער זאָל האַלטן זאַכן זיכער". איר דאַרפֿט רעקווירמענץ וואָס קענען ווערן אָפּגעשטעלט אין טעגלעכער אַרבעט און בײַם אויספֿאָרשן. דאָס איז וווּ קלאָרע, מעסטבאַרע פֿאַרפֿליכטונגען אין קאָנטראַקטן און SLAs מאַכן אַ פּראַקטישן חילוק פֿאַר ביידע אײַער סטודיאָ און אײַערע פּאַרטנערס.

למשל, צוטריט-קאנטראל פליכטן קענען זאגן אז אלע פארקויפער שטאב מיט צוטריט צו אייערע רעפאזיטאריעס און סביבות מוזן נוצן באניצטע אקאונטס, מולטי-פאקטאר אויטענטיפיקאציע און באשטעטיגטע דעווייסעס. זיכער-אנטוויקלונג פליכטן קענען פארלאנגען אנהאלטן אייערע קאדירונג גיידליינז, פארפליכטעטע קאד איבערבליק און באטייליקונג אין ספעציפישע זיכערהייט טעסט אקטיוויטעטן. אינצידענט פליכטן קענען ספעציפיצירן מאקסימום צייטן צו מעלדן אייך וועגן פארדעכטיגטע בריכן, דעם פארמאט פון ערשטע באריכטן און ערווארטונגען פאר קאאפעראציע אין אויספארשונגען.

אויף דער אפעראציאנעלער זייט, אויב א פארקויפער האט פאר אייך געבויטע אינפראסטרוקטור אדער לייוו-אפס טולינג, זאלן SLAs ארייננעמען צילן פאר פארהאן-זיין, אויפהייב-צייט און אויפהייב-פונקט צילן, אויפהאלטונג פענצטער און דאטן-אויפהאלטונג קאמיטמענטן. דאטן-שוץ צוגאבן זאלן קלאר מאכן צי דער פארקויפער איז א פראסעסאר אדער סוב-פראסעסאר פאר יעדע פערזענליכע דאטן און וועלכע פריוואטקייט זיכערהייטן גילטן, ספעציעל ווען איר האנדלט מיט צאָלונגען אדער קינדער'ס דאטן.

ווען איר דאַרפט שפּעטער ווייַזן אַן אוידיטאָר ווי איר האָט אַפּליייד A.8.30, מאַכט די מעגלעכקייט צו ווײַזן אויף ספּעציפֿישע סעקציעס פון קאָנטראַקטן און SLAs דאָס לעבן פיל גרינגער ווי צו פֿאַרלאָזן זיך אויף ברייטע דערקלערונגען פון כוונה. פֿאַרבינדן די פֿאַרפֿליכטונגען צו קאָנטראָלן, ריזיקעס און באַווײַזן אין ISMS.online ווײַזט דאַן אַז זיי זענען נישט נאָר ווערטער אויף פּאַפּיר, נאָר אַקטיוו געראטן טיילן פון אײַער ISMS.

טעכנישע קאָנטראָלן: רעפּאָס, סביבות און CI/CD פֿאַר אַוטסאָורסט אַנטוויקלונג

פֿון אַ קאָנטראָל-דיזיין פּערספּעקטיוו, איז A.8.30 די גרינגסטע צו באַווײַזן ווען אײַער קוואַל קאָנטראָל, סביבות און פּייפּליינז דורכפֿירן די זעלבע כּללים פֿאַר אינערלעכע און עקסטערנע דעוועלאָפּערס. גוט-דיזיינד טעכנישע קאָנטראָלס ווײַזן אַז זיכערע נאַטורן זענען דער פעליקייט, נישט עפּעס וואָס איר פֿאַרלאָזט זיך אויף מענטשן צו געדענקען אונטער דרוק אָדער בעת אַ קריזיס.

קאנטראקטן באשרייבן וואס זאל פאסירן; טעכנישע קאנטראלן העלפן זיכער מאכן אז דאס טוט זיך טאקע. פאר אויסגעסארסטע אנטוויקלונג, געפינען זיך רוב פון די קאנטראלן אין דריי ערטער: קוואל-קאנטראל סיסטעמען, סביבות און בויען און דיפלוימענט פּייפּליינז. אויב איר באקומט די ריכטיג, ווערט א גרויס טייל פון A.8.30'ס כוונה דורכגעפירט אויטאמאטיש און קען דעמאנסטרירט ווערן דורך קאנפיגוראציע און לאגס.

וויזועל: CI/CD פּייפּליין דיאַגראַם וואָס ווייַזט טעסץ, רעצענזיעס און דיפּלוימאַנט טויערן פֿאַר פּאַרטנער בייַשטייַערונגען.

אויספארעמען צוטריט און סביבות פאר עקסטערנע טימז

גוטע A.8.30 באווייזן הייבן זיך אָפט אָן מיט קלאָרע צוטריט מאָדעלן און סביבה צעשיידונג פֿאַר עקסטערנע ביישטייערער, ווייל אויב איר קענט ווייַזן אַז פּאַרטנערס האָבן באַשטימטע ראָלעס, לימיטירטע צוטריט פֿענצטער און ריין אָפבאָרדינג, ווערט אייער אַוטסאָורסט אַנטוויקלונג געשיכטע פיל מער איבערצייגנדיק פֿאַר אָדיטאָרס און פּלאַטפאָרמע פּאַרטנערס. דער ערשטער פּרינציפּ הינטער די מאָדעלן איז מינדסטער פּריווילעגיע: געבן עקסטערנע דעוועלאָפּערס נישט מער צוטריט ווי זיי טאַקע דאַרפֿן, נישט לענגער ווי זיי טאַקע דאַרפֿן עס, וואָס אין פּראַקסיס הייבט זיך אָן מיט ראָלע-באַזירט צוטריט קאָנטראָל אין אייערע רעפּאָזיטאָרי און טולינג פּלאַטפאָרמעס, וואו איר דעפינירט ראָלעס פֿאַר עקסטערנע גאַמעפּליי פּראָגראַמערז, מכשירים אינזשענירן, קינסטלער, QA טעסטערס אָדער בילד אינזשענירן, יעדער געבונדן צו אַ דעפינירט סכום פון דעפּאָס, צווייגן, פּראָיעקטן און ישו קיוז.

דער ערשטער פּרינציפּ איז מינדסטע פּריווילעגיע: גיט עקסטערנע דעוועלאָפּערס נישט מער צוטריט ווי זיי טאַקע דאַרפן, נישט לענגער ווי זיי טאַקע דאַרפן עס. אין פּראַקסיס, דאָס הייבט זיך אָן מיט ראָלע-באַזירט צוטריט קאָנטראָל אין דיין רעפּאָזיטאָרי און טולינג פּלאַטפאָרמעס. איר דעפינירט ראָלעס פֿאַר עקסטערנע גאַמעפּלייַ פּראָגראַמערז, טולס אינזשענירן, קינסטלער, QA טעסטערס אָדער בילד אינזשענירן, יעדער געבונדן צו אַ דעפינירט סכום פון דעפּאָס, צווייגן, פּראָיעקטן און ישו קיוז.

פון דארט, דיזיינט איר אייערע רעפאזיטאריעס און סביבות צו רעספעקטירן די ראלעס. סענסיטיווע קאמפאנענטן ווי אנטי-טשיט מאדולן, אונטערשרייב שליסלען אדער פלאטפארמע-אינטעגראציע לייערס זאלן וואוינען אין מער באגרענעצטע געביטן, מיט צוטריט באגרענעצט צו קליינע, פארטרויענסווערדיגע אינערליכע גרופעס. געטיילטע שפיל-לאגיק אדער אינהאלט געביטן קענען ווערן אויסגעשטעלט ברייטער צו שותפים. צווייג-שוץ רולס קענען פארמיידן דירעקטע שטופן צו הויפט אדער ארויסגעגעבענע צווייגן, וואס פארלאנגט צוזאמענלייג פארלאנגען, קאוד איבערבליק און געלונגענע אויטאמאטישע טשעקס אנשטאט.

סביבה צעשיידונג איז פּונקט אַזוי וויכטיק. עקסטערנע פּאַרטנערס זאָלן נאָרמאַלערווייַז אַרבעטן אין אַנטוויקלונג אָדער דעדאַקייטאַד טעסט סביבות, נישט אין פּראָדוקציע. נעץ סעגמענטאַציע, באַזונדערע קראַדענטשאַלז און באַזונדערע סודות רעדוצירן די געלעגנהייט אַז קאָמפּראָמיס אין איין געגנט וועט קאַסקאַדירן אין אַנדערע. פֿאַר וואָלקן-כאָוסטיד אַסעץ אָדער מכשירים, קענט איר נוצן באַזונדערע אַקאַונץ אָדער רעסורס גרופּעס פֿאַר פּאַרטנער אַרבעט, מיט קערפאַלי סקאָופּט ראָלעס און לאָגינג צו ווייַזן ווי די געביטן ווערן געניצט.

וויכטיג, איר בויט פּראָצעסן אַרום די קאָנטראָלן פֿאַר "joiner-mover-leaver". ווען עמעצער ביי אַ פֿאַרקויפֿער שליסט זיך אָן אָדער פֿאַרלאָזט אַ פּראָיעקט, זאָל זיין אַ קלאָרער וועג פֿאַר געבן און אַוועקנעמען אַקסעס, מיט באַשטעטיקונגען און רעקאָרדס. אָן דעם, וועט אפילו דער בעסטער טעכנישער פּלאַן אָנקלייַבן אַלטע, ריזיקאַלישע אַקאַונטס וואָס זענען שווער צו דערקלערן בעת אַן אוידיט.

ניצן CI/CD און אויטאמאציע צו דורכפירן A.8.30 אין פראקטיק

CI/CD פּייפּליינז זענען אַ שטאַרקער אַליירט פֿאַר A.8.30 ווייַל זיי קענען צולייגן די זעלבע טשעקס צו יעדער ענדערונג, נישט קוקנדיק אויף ווער עס האָט עס געשריבן, און ווען יענע פּייפּליינז דורכפירן טעסטינג, איבערבליק און סיינינג כּללים קענט איר באַווייַזן אַז אַוטסאָורסט קאָד, אַסעץ און קאָנפיגוראַציע נאָכפאָלגן די זעלבע קוואַליטעט און זיכערהייט דרך ווי אינערלעכע אַרבעט. מאָדערנע פּייפּליינז זענען עפעקטיוו פּונקט ווייַל זיי זאָרגן נישט פון וואַנען אַ קאַמיט איז געקומען; זיי זאָרגן נאָר צי עס גייט דורך די טויערן וואָס איר שטעלט, אַזוי יעדער בייַשטייַער וואָס ענדיקט זיך אין דיין בילדס איז דורכגעגאנגען קאָנסיסטענט קוואַליטעט און זיכערהייט טשעקס אַליינד מיט דיין ISMS.

מאָדערנע פּייפּליינס זענען שטאַרק ווײַל זיי זאָרגן זיך נישט פֿון וואַנען אַ קאָמיט קומט; זיי זאָרגן זיך נאָר צי עס גייט דורך די טויערן וואָס איר שטעלט. די ציל איז אַז יעדער ביישטייערונג וואָס ענדיקט זיך אין אייערע בילדס זאָל דורכגיין קאָנסיסטענטע קוואַליטעט און זיכערהייט טשעקס אין לויט מיט אייערע ISMS.

טיפישע מיטלען שליסן איין פארלאנגען אז אלע ענדערונגען פון שותפים זאלן אריינקומען דורך "פּול" אדער "מערדזש" פארלאנגען, קיינמאל נישט דורך דירעקטע "פּושעס". יענע פארלאנגען מוזן ווערן איבערגעקוקט און באשטעטיגט דורך עמיצן מיט די ריכטיגע אויטאריטעט - אפט אן אינערליכער אויפהאלטונגס-פירער פאר קריטישע קאמפאנענטן. אויטאמאטישע טשעקס לויפן דאן אויף יעדן פארלאנג: יוניט טעסטן, אינטעגראציע טעסטן, סטאטישע אנאליז, אפהענגיקייט-וואלנערלעכקייט סקענס, סטיל טשעקערס און יעדע אייגענע זיכערהייט טעסטן אויף וועלכע איר פארלאזט זיך פאר אייער שפיל.

פֿאַר בילדס, קענט איר פֿאָדערן אַז נאָר אייער קאָנטראָלירטע CI אינפֿראַסטרוקטור זאָל פּראָדוצירן אַרטיפאַקץ וואָס גייען צו טעסט אָדער פּראָדוקציע, מיט בילדס וואָס זענען אונטערגעשריבן און קענען צוריקגעפֿירט ווערן צו ספּעציפֿישע קאָמיטס און צונויפֿגיסונג ריקוועסץ. פּאַרטנערס קענען לויפֿן זייערע אייגענע בילדס פֿאַר לאָקאַלע טעסטינג, אָבער נאָר אייערע פּייפּליינס פּראָדוצירן ווערסיעס וואָס זענען פֿאַרשפּרייט ברייטער צו שפּילער, פֿאַרלעגער אָדער פּלאַטפאָרמע האָלדערס.

סודות פאַרוואַלטונג און דזשאַסט-אין-טיים אַקסעס קאַמפּלאַמענטירן דאָס. אַנשטאָט איינצובאַקן סודות אין קאָנפיגוראַציע טעקעס וואָס פּאַרטנערס קענען זען, איר האַלט זיי אין אַ צענטראלן וואָלט און ינדזשעקט זיי אין דיין פּייפּליינז אָדער סביבות אין לויף-טיים. פֿאַר טאַסקס וווּ פּאַרטנערס טאַקע דאַרפֿן דירעקט אַקסעס צו סענסיטיווע סיסטעמען, איר קענט צושטעלן צייט-לימיטעד קרעדענשאַלז אָדער האַסקאָמע-באזירט העכערונג אַנשטאָט אומבאַשטימטע שטייענדיק אַקסעס.

אויב גוט דורכגעפירט, טרעפן די מיטלען עטלעכע ISO 27001 ערוואַרטונגען אין איין מאָל: זיכערע אַנטוויקלונג, קאָנטראָלירטע ענדערונגען, טרעיסאַביליטי און קאָנסיסטענסי צווישן אינערלעכער און אויסערלעכער אַרבעט. זיי מאַכן אויך מיטאַרבעט גלאַטער, ווייל דעוועלאָפּערס - וווּ זיי זיצן - אַרבעטן מיט קלאָרע צווייַג מאָדעלן, אָפּשאַצן כּללים און באַמערקונגען פון אויטאָמאַטישע מכשירים. דאָס רעדוצירט רייבונג ווען איר דאַרפט שפּעטער ווייַזן קאַנפאָרמאַטי צו אַן אַודיטאָר אָדער באַפרידיקן אַ פאַרלעגער'ס טעכנישע דיו דילידזשענס פֿראַגעס.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

קאָנטינויִערלעכע זיכערהייט: מאָניטאָרינג פּאַרטנערס קעגן A.8.30 און A.5.19–A.5.22

ISO 27001 נעמט אן אז די ריזיקע פון די סאַפּלייערס ענדערט זיך מיט דער צייט, און A.8.30 איז נישט קיין אויסנאם. קאנטינעווירלעכע פארזיכערונג ווייזט אז איר טוט מער ווי נאר שרייבן שטארקע קאנטראקטן - איר קוקט טאקע ווי אויסגעסארסטע אנטוויקלונג זיך אויפפירט און איר צופּאַסט זיך ווען די ווירקלעכקייט ווייכט אפ פון די פלענער, אנשטאט ווארטן אויפן נעקסטן גרויסן אינצידענט אדער סערטיפיקאציע ציקל.

אפילו שטאַרקע קאָנטראַקטן און קאָנטראָלן זענען בלויז בילדער פון כוונה. A.8.30 און די סאַפּלייער קאָנטראָלן נעמען אָן אַז באַציִונגען און ריזיקעס אַנטוויקלען זיך מיט דער צייט. קאָנטינויִערלעכע זיכערהייט איז די שיכט וואָס האַלט דיין פארשטאנד אַרויף צו דאַטע און ווייזט אַז איר באַצאָלט ופֿמערקזאַמקייט צווישן אַדאַץ, נישט נאָר ביים אָנהייב פון אַ קאָנטראַקט אָדער ווען אַ פאַרלעגער פרעגט ומבאַקוועמע פֿראַגעס.

אויפשטעלן א ריכטיגן גרויסן איבערבליק און מאָניטאָרינג ריטעם

ריכטיגע-גרייס איבערבליקן קאמבינירן פעריאדישע קאנטראלן מיט אנגייענדע טעלעמעטריע אזוי אז איר קענט זען צי די שותפים טרעפן נאך אייערע ערווארטונגען; A.5.19–A.5.22 געבן דעם פריימווערק, און אייערע פארקויפער שטאפלען העלפן אייך אויסקלויבן די ריכטיגע טיפקייט און אָפטקייט פאר יעדן שותף אזוי אז איר וועט נישט אויסשעפן פראדוצירער אדער זיכערהייט טימס מיט אומנייטיקע פאפירן. קאנטינעווירלעכע פארזיכערונג הייבט זיך אן מיט באשליסן ווי אָפט צו קוקן נאכאמאל אויף יעדן שותף און וואס צו קוקן אויף, מיט הויך-ריזיקירטע שותפים - יענע מיט טיפן קאוד און לייוו-אפס צוטריט - אפשר רעכטפארטיגן יערליכע אדער אפילו מער אפטע איבערבליקן, און נידעריגער-ריזיקירטע שותפים וואס דארפן נאר א לייכטע קאנטראל יעדע פאר יאר סיידן עפעס באדייטנדיק ענדערט זיך אין זייער סביבה אדער אין אייערע שפילן.

א רעצענזיע קאמבינירט געווענליך עטלעכע עלעמענטן. איר קענט שיקן א סטרוקטורירטן זיכערהייטס-פראגענאגן צו באשטעטיגן אז שליסל-פאליסיס, טעכנישע קאנטראלן און סערטיפיקאציעס זענען נאך אין פלאץ. איר קענט בעטן באווייזן ווי סקרינשאטס פון קאנפיגוראציעס, קיצורים פון פרישע דורכדרינגונגס-טעסטן אדער באריכטן פון פארראכטע שוואכקייטן. פאר געוויסע שותפים קענט איר דורכפירן אדער באשטעלן אייערע אייגענע אפשאצונגען. פאר אנדערע, פארלאזט איר זיך מער אויף באשטעטיגונג און אפעראציאנעלע סיגנאלן.

צוזאמען מיט די פֿאָרמעלע טשעקפּוינטס, זאָל אייער אָפּעראַציאָנעלע טעלעמעטריע זיך אַרײַנפֿירן אין בילד. צענטראַליזירטע לאָגינג פֿון רעפּאָזיטאָרי אַקטיוויטעט, בויען און דיפּלוימאַנט פּייפּליינז, סביבה אַקסעס און אַדמיניסטראַטיווע אַקציעס לאָזט אייך זען ווי פּאַרטנער אַקאַונטס פֿירן זיך אין פּראַקטיק. ומגעוויינטלעכע מוסטערן - ווי גרויסע אַקסעס אויסברוכן פֿון אומגעריכטע לאָקאַציעס, דיפּלוימאַנץ אַרויס פֿון שעה אָדער אָפֿט דורכגעפֿאַלענע לאָגינס - קענען אויסרופֿן צילגעריכטעטע שמועסן אָדער טיפֿערע טשעקס.

ווען איבערבליקן אדער מאָניטאָרינג אַנטדעקן פּראָבלעמען, רעקאָרדירט איר זיי אין אַ סאַפּלייער ריזיקאָ רעגיסטער, צוזאַמען מיט באַשלוסן און אַקציעס. יענער רעגיסטער איז וואָס איר וועט שפּעטער ווייַזן אַן אוידיטאָר צו ווייַזן אַז סאַפּלייער ריזיקאָס, אַרייַנגערעכנט אַוטסאָורסט אַנטוויקלונג, ווערן אידענטיפיצירט, טראַקט און באַהאַנדלט - נישט נאָר באמערקט איין מאָל און פארגעסן. מכשירים ווי ISMS.online קענען העלפֿן איר האַלטן יענעם רעגיסטער אַקטועל און פֿאַרבינדן יעדן ריזיקאָ צו קאָנטראָלן און באַווייַזן.

מאַכן פּאַרטנערס אַ טייל פֿון אייער פֿאַרבעסערונג־קרייז

A.8.30 ארבעט בעסטן ווען פּאַרטנערס זען זיכערהייט ווי אַ געטיילטע פֿאַראַנטוואָרטלעכקייט, נישט אַן אוידיט אַרבעט, און בויען אַ פֿאַרבעסערונג שלייף מיט שליסל ווענדאָרס שטאַרקט דיין סאַפּליי קייט און גיט איר גלויבווערדיק מעשיות פון געמיינזאַמע פּראָגרעס ווען אוידאַטאָרן, פאַרלעגער אָדער פּלאַטפאָרמע אָונערז אָנהייבן פרעגן שווערע פֿראגן וועגן ווי איר פירן אַוטסאָורסט אַרבעט. קאָנטינואַס פארזיכערונג איז מערסט עפעקטיוו ווען עס איז נישט פשוט עפּעס וואָס איר טאָן צו פּאַרטנערס אָבער עפּעס וואָס איר טאָן מיט זיי, וואָס ינוואַלווז קלאָר קאָמוניקאַציע, פּראָפּאָרציאָנעל ערוואַרטונגען און אַ ווילינגנאַס צו טיילן לעקציעס אין ביידע ריכטונגען.

פֿאַר וויכטיקע פּאַרטנערס, קען עס זיין נוצלעך צו האַלטן פּעריִאָדישע געמיינזאַמע סעסיעס, וואו איר וועט איבערקוקן זיכערהייט אינצידענטן, כּמעט-פֿאַרפֿעליקע אָדער געפֿינסן אין אייערע פֿאַראייניקטע אָפּעראַציעס. די דאַרפֿן נישט צו באַשעמען די זאַכן; די ציל איז צו באַמערקן מוסטערן און מסכים זיין אויף פּראַקטישע פֿאַרבעסערונגען. למשל, איר קענט באַמערקן אַז עטלעכע פּאַרטנערס האָבן שוועריקייטן מיט דער צייטלעכקייט פֿון פּאַטשעס אויף בוי-מאַשינען, אָדער אַז אינצידענט-נאָטיפֿיקאַציעס טענדן צו אָנקומען צו שפּעט אין אייער אייגענער צייט-זאָנע צו קענען שנעל האַנדלען.

געצילטע טרענירונג קען דאָס שטיצן. קורצע, פאָקוסירטע אנווייזונגען וועגן טעמעס ווי זיכערע באַניץ פון אייערע רעפּאָזיטאָריעס, האַנדלינג פון דיבאַג דאַטן אָדער זיכערע ווייטערע טעסטינג קענען הייבן דעם באַזעלינע אָן צו פאָדערן פולשטענדיקע וויסיקייט פּראָגראַמען. וואו אייער אייגענע ISMS עוואַלוירט - זאָגן מיר, איר נעמט אָן אַ נייע פּאַראָל פּאָליטיק אָדער זיכער קאָדירונג סטאַנדאַרט - קענט איר געבן פּאַרטנערס פּשוטע, פּראַקטישע סאַמעריז אַנשטאָט צו דערוואַרטן אַז זיי זאָלן דעשיפרירן אינערלעכע דאָקומענטן.

מיט דער צייט, פארבעסערט די סארט קאלאבאראציע נישט נאר אייער אייגענע האלטונג, נאר אויך די פון אייער צושטעל קייט. פאר ISO 27001, גיט עס אייך א גלייבווערדיקע דערציילונג אז A.8.30 איז נישט קיין איין-מאליגע קאמפלייענס אויפגאבע, נאר א טייל פון ווי אזוי איר פירט אייער אנטוויקלונג עקא-סיסטעם. פאר אייערע שפילן, פארקלענערט עס די שאנסן אז די שוואכסטע לינק אין די קייט וועט זיין די וואס איז וויכטיגסט ווען א נייע סעזאן לאזט זיך ארויס אדער א גרויסע פלאטפארמע פראמאציע גייט לייוו.

בוך אַ דעמאָ מיט ISMS.online הייַנט

ISMS.online העלפט אייך פארוואנדלען אויסגעסארסטע אנטוויקלונג פון פארשפרייטע דאקומענטן און אינבאקסן אין איין, אוידיטירבארן סיסטעם אויף וואס אייער סטודיא קען זיך פארלאזן, מאכנדיג עס גרינגער צו אנווענדן ISO 27001 A.8.30 קאנסיסטענט איבער יעדן קא-אנטוויקלונג, QA, קונסט און לייוו-אפס שותף אנשטאט צו האפן אז יחידישע פראדוצירער זאלן געדענקען יעדן שריט אליין ווען דעדליינס זענען ענג. א סטרוקטורירטער צוגאנג צו אויסגעסארסטע אנטוויקלונג איז פיל גרינגער צו אויפהאלטן ווען עס געפינט זיך אין א סיסטעם געבויט פאר ISO 27001, אנשטאט אין א פארפלאנטערונג פון דאקומענטן און ספּרעדשיטס, ווייל א צענטראלער ארט צו דעפינירן אייער אויסגעסארסטע אנטוויקלונג פריימווערק, מאפירן ריזיקעס און קאנטראלן צו A.8.30 און די סופלייער קאנטראלן, און צוטשעפן עכטע באווייזן צו יעדער באציאונג מאכט עס פיל גרינגער צו נאכפאלגן ווער טוט וואס פאר אייערע שפילן, אונטער וועלכע רולס און מיט וועלכע טשעקס.

א סטרוקטורירטער צוגאנג צו אויסגעסאָורסט אַנטוויקלונג איז פיל גרינגער צו האַלטן ווען עס געפינט זיך אין אַ סיסטעם געבויט פֿאַר ISO 27001, אַנשטאָט אין אַ פאַרפּלעכטונג פון דאָקומענטן און ספּרעדשיטס. ISMS.online גיט איר אַ צענטראַל אָרט צו דעפינירן דיין אויסגעסאָורסט אַנטוויקלונג פריימווערק, מאַפּירן ריסקס און קאָנטראָלס צו A.8.30 און די סאַפּלייער קאָנטראָלס, און צוטשעפּען פאַקטישע באַווייַזן צו יעדער שייכות. דאָס מאַכט עס פיל פּשוטער צו האַלטן שפּור פון ווער טוט וואָס פֿאַר דיין שפּילערייַ, אונטער וועלכע כּללים און מיט וועלכע טשעקס.

ווען איר ניצט ISMS.online, ארבעטן פּראָדוקציע, טעכנאָלאָגיע און קאָנפאָרמאַנס טימז פֿון דער זעלבער מקור פֿון אמת. פֿאַרקויפֿער אָנבאָאַרדינג טאַסקס, דיו-דילידזשענס פֿראַגעבאָגן, קאָנטראַקט רעפֿערענצן, אַקסעס-איבערבליק דערמאָנונגען און סאַפּלייער-איבערבליק ציקלען ווערן נאָרמאַל וואָרקפֿלאָוז אַנשטאָט אַד-האָק פּראָיעקטן. דאָס העלפֿט ISO 27001 רעקווייערמענץ זיך צונויפֿמישן אין טעגלעכן פּראָיעקט פאַרוואַלטונג, אַנשטאָט זיך צו פֿילן ווי אַ באַזונדער קאָנפאָרמאַנס שפּור פֿאַר וואָס קיינער האָט נישט צייט.

א פאָקוסירטער פּילאָט איז אָפט אַ פּראַקטישער ווייטערדיקער שריט. קלייבט אויס איין אָדער צוויי הויך-ריזיקירנדיקע פּאַרטנערס אָדער אַ פלאַגשיפּ טיטל און ניצט ISMS.online צו מאָדעלירן דעם גאַנצן אויסגעסאָורסט-אַנטוויקלונג לעבן-ציקל פֿאַר יענעם טייל פון אייער פּאָרטפאָליאָ. ווען איר בויט ריזיקאָ אַסעסמאַנץ, קאָנטראַקט מאַפּינגז, אַקסעס-קאָנטראָל רעקאָרדס און איבערבליק לאָגס, שטעלט איר שנעל צוזאַמען אַ באַווייַז פּאַק וואָס רעדט גלייך צו A.8.30. איר באַקומט אויך אַ קאָנקרעטע "פֿאַר-און-נאָך" געשיכטע צו טיילן מיט עקסעקוטיוון, פאַרלעגער און פּלאַטפאָרמע פּאַרטנערס וועגן ווי איר האָט געשטאַרקט אייער אויסגעסאָורסט אַנטוויקלונג.

אויב איר זענט גרייט צו גיין פון צעוואָרפענע נישט-אנטפּלעקונג אפמאַכן און העלדישע יחידישע מי צו אַ קאָוכערענט, אָדיטאַבלע סיסטעם פֿאַר זיכערן אַוטסאָורסט אַנטוויקלונג, איז עס ווערט צו זען ווי ISMS.online האַנדלט מיט אייערע פאַקטישע סצענאַרן. א לעבעדיקע דורכגאַנג קען ווייַזן ווי דער לעבן-ציקל, ריזיקאָ מאַפּינג, קאָנטראַקטואַלע פֿאַרפליכטונגען און סאַפּלייער באריכטן וואָס איר האָט נאָר אויסגעפאָרשט קענען ווערן געראטן אין איין אָרט, אין דעם טעמפּאָ וואָס שפּיל סטודיאָס טאַקע באַוועגן זיך.

ווי אַ פאָקוסירטער פּילאָט בויט A.8.30 באַווײַזן

א פאָקוסירטער פּילאָט פּראָיעקט לאָזט אײַך באַווײַזן אַז אײַער אויסגעסאָורסט-אַנטוויקלונג פריימווערק אַרבעט טאַקע אָן צו דאַרפֿן מיגרירן יעדן פּאַרטנער אויף איין מאָל. דורך קאָנצענטרירן זיך אויף איין טיטל אָדער אַ קליינע גרופּע פֿאַרקויפֿער, שאַפֿט איר קאָנקרעטע באַווײַזן פֿאַר A.8.30 בשעת איר האַלט ענדערונגען מאַנידזשאַבאַל פֿאַר פֿאַרנומענע טימז.

אין פּראַקטיק, קלייבט איר אויס אַ הויך-אימפּאַקט סצענאַר - אַ גרויסע קאָ-דעוועלאָפּמענט סטודיאָ, אַ קאָר לייוו-אָפּס סאַפּלייער אָדער אַ פּאָרטינג פּאַרטנער וואָס קומט אָן מיט בילדס און סיינינג שליסלען. דערנאָך מאָדעלירט איר דעם גאַנצן לעבן-ציקל אין ISMS.online: ינטייק דיסיזשאַנז, דיו-דילידזשענס רעזולטאַטן, קאָנטראַקטואַלע פאַרפליכטונגען, אַקסעס אַפּרווואַלז, פּייפּליין קאָנטראָלס און סאַפּלייער באריכטן. יעדער שריט פּראָדוצירט אַרטיפאַקץ וואָס איר קענט ווייַזן צו אָדיטאָרס און פאַרלעגער: ריזיקאָ אַסעסמאַנץ, דיסיזשאַנז, וואָרקפלאָוז און לאָגס פארבונדן צוריק צו ספּעציפֿישע קאָנטראָלס.

ווייל דער פּילאָט איז שמאָל, קענען טימז געבן נוצלעכע באַמערקונגען און איר קענט פֿאַרבעסערן טעמפּלאַטן, וואָרקפלאָוז און אָונערשיפּ איידער אַ ברייטערע אויסראָל. אַמאָל דער פּילאָט איז פֿאַרטיק, האָט איר ביידע אַ איבערחזרנדיק מוסטער און אַ פּאָרטפאָליאָ פֿון פּראַקטישע ביישפּילן וואָס ווײַזן ווי איר זיכערט אויסגעסאָורסטע אַנטוויקלונג אין פּראַקסיס, אַנשטאָט בלויז אין פּאָליטיק דאָקומענטן.

וואָס צו ערוואַרטן פֿון אַן ISMS.online דעמאָ

אן ISMS.online דעמא גיט אייך א גיידעד טור ווי אייערע עקזיסטירנדע אויסגעסארסטע אנטוויקלונג פראקטיקעס קענען אויסזען אינעווייניג פון אן ISO 27001-אויסגעריכטן סיסטעם. איר זעט ווי די פלאטפארמע קען אפשפיגלען אייער סטודיא סטרוקטור בשעת איר גיט אייך די דיסציפלין און זעבארקייט וואס A.8.30 און די סופלייער קאנטראלן פארלאנגען.

טיפּישערװײַז, אַ דעמאָ גייט דורך װי אַזױ צו דעפֿינירן אויסגעסאָורסט-אַנטװיקלונג פּאָליטיקס, מאַפּירן פּאַרטנערס און ריזיקעס, צופּאַסן קאָנטראַקטן מיט קאָנטראָלס, כאַפּן צוטריט באַשלוסן און אויפֿשטעלן סאַפּלייער-איבערבליק ציקלען. איר װעט זען װי פּראָדוצירער, טעק לידז און קאָנפֿאָרמאַנס שטאַב קענען אַלע אַרבעטן אין דער זעלבער סבֿיבֿה, ניצנדיק געטיילטע טעמפּלאַטן אַנשטאָט צו בויען זייערע אייגענע מכשירים פֿון נול. איר קענט ברענגען עכטע בײַשפּילן - װי אַ קראַנטע קאָ-אַנטװיקלונג באַטייליקונג אָדער אַ קומענדיקער פּאָרט - און אויספֿאָרשן װי אַזױ זײ װאָלטן געזעסן אין דער פּלאַטפֿאָרמע.

קלייבט ISMS.online ווען איר ווילט אז אויסגעסארסטע אנטוויקלונג זאל זיך פילן ארגאניזירט, אוידיטירבאר און אויסגעשטעלט צו ISO 27001, אן צו פארלאנגזאמען די פראדוקציע צו א קורצן מאמענט. אויב איר ווערטשאצט קלארע ארבעטס-פלוסן, געטיילטע אייגנטומערשאפט און באווייזן וואס קענען אויסהאלטן א קאנטראל, איז אונזער מאנשאפט גרייט צו העלפן אייך אויספארשן ווי דאס קען אויסזען פאר אייער סטודיא אין א לעבעדיגע סעסיע געבויט ארום אייערע אמת'ע טיטלען און שותפים.

ספר אַ דעמאָ

אָפֿט געשטעלטע פֿראגן

ווי זאָל אַ שפּיל סטודיאָ אינטערפּרעטירן ISO 27001 A.8.30 ווען עס ניצט עקסטערנע אַנטוויקלונג פּאַרטנערס?

ISO 27001 A.8.30 ערוואַרטעט פֿון אײַך צו באַהאַנדלען אויסגעסאָורסטע אַנטוויקלונג ווי עס וואָלט געשען אין אײַער סטודיאָ, אונטער אײַער זיכערער SDLC און ISMS גאַווערנאַנס, נישט ווי אַן אומגאַווערנירטע "שוואַרצע-קעסטל פֿאַרקויפֿער" טעטיקייט. אין פּראַקטיק, יעדער קאָ-דעוועלאָפּער הויז, קונסט פֿאַרקויפֿער, פּאָרטינג מאַנשאַפֿט אָדער לייוו-אָפּס פּאַרטנער וואָס קומט אָן מיט קאָד, בילדס אָדער מכשירים זאָל אַרבעטן לויט אײַערע זיכער-דורך-דיזיין כּללים, און איר זאָלט קענען ווײַזן ווי איר דירעקטירט, מאָניטאָרירט און אָפּשאַצט זייער אַרבעט איבער דעם גאַנצן לעבן-ציקל.

וואָסערע ריזיקעס פּרוּווט A.8.30 טאַקע קאָנטראָלירן?

A.8.30 איז דיזיינד צו אפשטעלן זייער געוויינטלעכע אבער שעדלעכע דורכפעלער:

אַ קאָנטראַקטאָר'ס לאַפּטאָפּ מיט קוואַל קאָד אָדער דיבאַג מכשירים איז געגנבעט געוואָרן.
א ביליקער פארקויפער באהאנדלט נישט ריכטיק אונטערשרייב שליסלען אדער בויען קרעדענשעלס.
א קליינער סאַפּלייער ווערט דער וועג צו אייער בוי סיסטעם אדער לייוו-אָפּס מכשירים.

די קאָנטראָל שטופּט אײַך צו:

באַשליסן וואָס איר וועט אַוטסאָורסן, אויף וועלכע סביבות, מיט וואָס ריזיקע.
פארוואנדל די דאזיגע באשלוסן אין קלאָרע, געשריבענע, פּראָיעקט-לעוועל רעקווייערמענץ, נישט נאָר "זײַ זיכער" ווערטער.
אריינלייגן די באדערפענישן אין פּראָקורמענט, קאָנטראַקטן, אָנבאָאַרדינג, SDLC און אָפבאָאַרדינג, נישט נאָר פּאָליטיק.
האַלטן יידעס - זאָגן – קאָנטראַקטן, צוטריט מאָדעלן, איבערבליק רעקאָרדס, בויען לאָגס – וואָס ווײַזט ווי איר זענט געבליבן אין קאָנטראָל.

אויב איר קענט אויסקלייבן יעדן שותף און ענטפֿערן, מיט אַרטיפאַקץ, "וואָס בויען זיי, וואָס קענען זיי אָנרירן, און ווי ווייסן מיר אַז זיי האָבן נאָכגעפֿאָלגט אונדזערע כּללים?", זענט איר פֿיל נענטער צו וואָס A.8.30 ערוואַרטעט פֿון אַ שפּיל סטודיאָ.

ווי איז A.8.30 אַנדערש פֿון די אַנדערע סאַפּלייער קאָנטראָלן?

אַנעקס A.5.19–A.5.22 באַהאַנדלט סאַפּלייערז אין אַלגעמיין: סעלעקציע, אָפּמאַכן, סאַפּליי-קייט ריזיקע און אָנגייענדיק מאָניטאָרינג. A.8.30 גייט אריין אין אויסגעסאָורסט ווייכווארג אַנטוויקלונג אַרבעטפֿאַר אַ סטודיאָ, דאָס מיינט געוויינטלעך צו פֿאַרבינדן A.8.30 מיט:

A.5.19–A.5.22 פֿאַר סאַפּלייער אויסוואַל, קאָנטראַקטן און באריכטן.
A.8.25–A.8.29 פֿאַר זיכערע אַנטוויקלונג, טעסטינג און ענדערונג פאַרוואַלטונג.
A.8.31 פֿאַר צעשיידונג פֿון אַנטוויקלונג, טעסט און פּראָדוקציע סביבות.

ניצן ISMS.online צו פֿאַרבינדן סאַפּלייערז, ריזיקעס, זיכער-אנטוויקלונג פּאָליטיקס און סביבה קאָנטראָלס ווייזט אַז עקסטערנע אַרבעט איז גאַווערנד דורך די זעלבע ISMS ווי אינטערנע אינזשענירן, אַנשטאָט צו לעבן אין אַ שערד דרייוו אָדער עמעצנס ינבאָקס. יענע פֿאַראייניקטע בילד איז פּונקט וואָס אָדיטאָרס, פּלאַטפאָרמע האָלדערס און ענטערפּרייז קאַסטאַמערז זוכן ווען זיי פרעגן ווי איר פאַרוואַלטעט קאָ-אנטוויקלונג און סאַפּלייערז.

ווי זאָלן קאָנטראַקטן און SLAs זיין סטרוקטורירט אַזוי אַז אַוטסאָורסט אַרבעט טאַקע שטיצט ISO 27001 A.8.30?

איר וועט באַקומען די מערסטע ווערט פון A.8.30 אויב אייערע קאָנטראַקטן מאַכן זיכערהייט פֿאַרפליכטונגען קלאָר, קאָנסיסטענט און טעסטאַבאַל, אנשטאט זיי צו באהאלטן אין א גענערישן בוילערפּלעיט. א פשוטער קאנטראקט "סטאַק" ארבעט גוט פאר רוב סטודיאָס: א הויפּט סערוויסעס אפמאך, NDA, סטעיטמענט פון ארבעט און א קורצער זיכערהייט/SLA פּלאַן וואָס ווייזט צוריק צו אייערע ISMS און זיכערע אנטוויקלונג ערוואַרטונגען.

וואָסערע ראָלע שפּילט יעדע קאָנטראַקט שיכט פֿאַר A.8.30?

יעדע שיכט מאכט פארשידענע טיילן פון דער קאנטראל רעאל:

הויפּט סערוויסעס אפמאך (MSA): פארשלאסן אין IP אייגנטומערשאפט, הויך-לעוועל קאנפידענציאליטעט, אלגעמיינע זיכערהייט פליכטן און אייערע רעכט צו וועריפיצירן אדער אוידיטירן.
נישט-פארבונדענע דאטום: דערקלערט וואָס איז קאָנפידענציעל – מאָטאָר גאָפּלען, אינעווייניקסטע מכשירים, פריע בויען, טעלעמעטריע – און ווי עס מוז זיין פּראָטעקטעד.
ארבעטס-אויסזאג (SoW): דעפינירט וועלכע מאָדולן, רעפּאָס, מכשירים און סביבות דער שותף קען נוצן פֿאַר אַ פּראָיעקט, און וואו זייערע פֿאַראַנטוואָרטלעכקייטן אָנהייבן און ענדיקן זיך.
זיכערהייט און SLA פּלאַן: שטעלט פראקטישע באדערפענישן: באגרענעצטע אקאונטס און MFA, קאוד-איבערבליק רעגולאציעס, זיכערע בוי-לאקאציעס, אינצידענט מעלדונג צייטן, אָפבאָרדינג טריט און יעדע ספעציפישע קאמפלייענס פליכטן.

פֿון אַן ISO 27001 פּערספּעקטיוו, איז די עכטע פֿראַגע נישט "האָט איר קאָנטראַקטן?" נאָר "האָט איר אייערע קאָנטראַקטן?" פּאַסט צו אייערע ISMS פּאָליטיקס, און קענט איר באווייזן אז איר האט זיי גענוצט פאר דעם שותף אויף דעם פראיעקט?" האבן סטאנדארט זיכערהייט סקעדזשולז פארבונדן צו אייער זיכערן SDLC און געהיט אין ISMS.online קעגן יעדן סאַפּלייער מאכט דאס זייער גרינג צו דעמאנסטרירן.

וועלכע קלאָזולעס זענען מערסט וויכטיק פֿאַר שפּיל סטודיאָס?

ווייל שפּילן מישן קאָד, אינהאַלט און שטענדיק-אויף סערוויסעס, פֿאַרדינען עטלעכע פּונקטן עקסטרע אויפֿמערקזאַמקייט:

IP און מכשירים: קלאָרע אייגנטומערשאַפט און לייסענסינג פון שפּיל IP, מאָטאָר צווייגן, בויען סיסטעמען און פּראַפּרייאַטערי מכשירים דעוועלאָפּעד אָדער געניצט דורך פּאַרטנערס.
אַקסעס קאָנטראָל: רעקווירעמענץ פֿאַר באַצייכנטע, אויטענטיפיצירטע אַקאַונטס מיט MFA און לאָגינגאן אויסדריקליכע פארבאט אויף געטיילטע לאגינס צו רעפאס, אדמין פאנעלן אדער לייוו-אפס קאנסאלן.
זיכערער אַנטוויקלונג פּראָצעס: א פליכט צו נאכפאלגן דיין זיכער SDLC – אַרייַנגערעכנט פּיר רעצענזיע, דעפּענדענסי פאַרוואַלטונג, וואַלנעראַביליטי האַנדלינג, נוצן פון דיין CI/CD און ענדערונג קאָנטראָל.
אינצידענט באריכט: טריגערס וואָס דעקן קוואַל ליקס, בילד טאַמפּערינג, קאָמפּראָמיטירטע אַקאַונץ און לייוו-אָפּס געצייַג מיסיוז, נישט נאָר פּערזענלעכע דאַטן בריטשיז.
דאַטן־פאַראַרבעטונג טערמינען: שפּראַך אין לויט מיט GDPR אָדער אַנדערע פּריוואַטקייט געזעצן, וואו פּאַרטנערס קענען זען שפּילער אָדער שטאַב דאַטן (למשל, אינהאַלט פון קראַך-באַריכט אָדער שטיצע טיקאַץ).

איר קענט דאָס האַלטן אַרבעטספֿעיִק דורך סטאַנדאַרדיזירן אַ קליינע משפּחה פֿון זיכערהייט אַפּפּענדיקס פֿאַר געוויינטלעכע פֿאַרקויפֿער טיפּן (קאָ-דעוועלאָפּמענט, פּאָרטינג, QA, קונסט, לייוו-אָפּס). ווען יענע טעמפּלאַטן און אונטערגעשריבענע אָפּמאַכן לעבן אין ISMS.online, פֿאַרבונדן מיט פֿאַרקויפֿער רעקאָרדס און פֿאַרבונדענע ריזיקעס, ווערט ענטפֿערן "ווי האָט איר דאָ אַפּליצירט A.8.30?" אַ שנעלער קוק אַנשטאָט אַ דורכקוק דורך אַלטע טעקעס.

וועלכע טעכנישע קאנטראלן זענען די וויכטיקסטע ווען עקסטערנע טימז האבן צוטריט צו אייערע רעפאזיטארן, סביבות און CI/CD?

די טעכנישע קאָנטראָלן וואָס באַשיצן אײַך בעסטן זענען די וואָס באַגרענעצן און באַאָבאַכטן עקסטערנע דעוועלאָפּערס אויטאָמאַטיש, אַנשטאָט זיך צו פֿאַרלאָזן אויף אַלעמען צו געדענקען כּללים. פֿאַר רובֿ סטודיאָס קומט דאָס אַראָפּ צו שטרענגע אידענטיטעט און אַקסעס פאַרוואַלטונג אין רעפּאָס און טולינג, סביבה צעשיידונג, און CI/CD פּייפּליינז וואָס באַהאַנדלען עקסטערנעם קאָד פּונקט ווי אינטערנעם קאָד.

ווי זאָלט איר דיזיינען צוטריט פֿאַר אַוטסאָורסט דעוועלאָפּערס?

א פּראַקטישער מוסטער איז צו דיזיינען צוטריט אַרום גוט דעפינירטע ראָלעס און די קלענסטע פריווילעגיע:

דעפינירן א קליינע צאָל עקסטערנע ראָלעס ווי *קאָ-דעוועלאָפּער גאַמעפּליי אינזשעניר*, *פּאָרטינג אינזשעניר*, *עקסטערנע QA*, *עקסטערנע מכשירים דעוועלאָפּער*.
מאַפּ יעדע ראָלע צו ספּעציפֿישע ריפּאָוז, צווייגן, בילד באַקאַץ, פּראָיעקט ברעטער און מכשירים – און גאָרנישט מער.
ניצן צווייַג שוץ אַזוי אַז עקסטערנע אַקאַונטס קען נישט דריקן גלייך צו הויפט אדער ארויסגעבן צווייגן; פארלאנגען צונויפגיסן/ציען פארלאנגען און אינערליכע איבערבליק פאר סענסיטיווע געביטן ווי אנטי-טשיט, בארעכטיגונג סיסטעמען, ווירטועל עקאנאמיע, מאַטשמעיקינג און פּלאַטפאָרמע אינטעגראַציע.
האַלט אויסערלעכע אידענטיטעטן אַרויס פון פּראָדוקציע און לייוו-אָפּס קאָנסאָלס; זיי זאָלן אַרבעטן אין באַזונדערע דעוועלאָפּער/טעסט סביבות מיט באַזונדערע קראַדענטשאַלז, סעגמענטירטע נעטוואָרקס און קלאָרע מאָניטאָרינג.

אויב אַ פּאַרטנער אַקאַונט ווערט מיסברויכט, האַלט דאָס איינהאַלטונג דעם אויפרייס ראַדיוס קליין און גרינג צו דערקלערן צו אָדיטאָרס און פּלאַטפאָרמע פּאַרטנערס. עס גיט אײַך אויך דירעקטע באַווײַזן ווי איר האָט אָנגעווענדט A.8.30 ווען עמעצער פרעגט ווי אַן עקסטערנער פאַרקויפער ווערט פאַרהיטן פון "אַקסאַדענטאַל" דריקן גלייך צו לעבן.

ווי קען CI/CD און אויטאמאציע טראגן דעם גרעסטן טייל פון דער זיכערהייט לאסט?

אייערע CI/CD פּייפּליינז זענען וואו איר קענט איינפּאַקן A.8.30 ערוואַרטונגען אין טעגלעכער אַרבעט:

לויפן יוניט טעסטן, קאוד-סטיל טשעקס, סטאטישע אנאליז און דעפענדענץ סקענס אויף יעדע פארבינדונג בקשה, נישט קיין חילוק ווער האט געשריבן דעם קאוד.
ערלויבן נאָר צו פּראָדוצירן שיפּאַרע אָדער אונטערגעשריבענע בילדס דורך דיינע קאָנטראָלירטע לויפֿער פֿון באַשיצטע צווייגן; קיינמאָל נישט פֿאַרלאָזן זיך אויף לאָקאַלע פּאַרטנער בילדס פֿאַר עפּעס וואָס קען דערגרייכן שפּילער.
פארלאנגען באשטעטיגונגען אדער עקסטרע טשעקס אין די פּייפּליין פאר הויך-ריזיקירטע קאָמפּאָנענטן (למשל, אַנטי-טשיט, האַנדל, בארעכטיגט לאָגיק) אַזוי אַז איבערקוקן זיי איז טייל פון די פלוס, נישט נאָר אַ גיידליין.
האַלט בוי לאָגס, אַרטיפאַקט געשיכטעס און ווייכווארג מאַטעריאַל ליסטן אַזוי איר קענט ווייַזן וואָס קאַמיטז און דעפּענדאַנסיז איז אריין אין א בנין און ווען.

ווען די פּייפּליינז זענען קענטיק, איבערחזרבאַר און צוגעפּאַסט צו באַטייַטיק ISO 27001 קאָנטראָלס אין ISMS.online, ווערט עס פיל גרינגער צו באַרויקן אָדיטאָרס, פּלאַטפאָרמע האָלדערס און געשעפט פירער אַז אַוטסאָורסט אַנטוויקלונג ווערט גאַווערנד אויף דעם זעלבן סטאַנדאַרט ווי אינהויז אַרבעט, אַנשטאָט צו זיין אַ בלינדער פלעק.

ווי קען אַ סטודיאָ אָפּשאַצן און מאָניטאָרירן די זיכערהייט שטאַנד פון אויסגעסאָורסטע אַנטוויקלונג פּאַרטנערס איבער צייט, נישט נאָר ביים אָנבאָאַרדינג?

איר וועט געוויינטלעך באַקומען בעסערע רעזולטאַטן דורך קאַמביינינג ריזיקאָ-באַזירטע פאָרויס קאָנטראָלן מיט א פשוטן, געפלאנטן איבערבליק און מאָניטאָרינג ציקל, אנשטאט זיך צו פארלאזן אויף א ריזיגן איין-מאליקן קוועסטיאנער ביים איינפירן. הויך-אימפאקט שותפים באקומען מער סטרוקטורירטע אויפמערקזאמקייט, און איר ניצט אייער אייגענע טעלעמעטריע צו זאגן אייך ווען עקסטרע אויפזיכט איז נויטיג.

ווי באַשליסט מען וועלכע פּאַרטנערס דאַרפֿן די מערסטע אויפֿמערקזאַמקייט?

א קלאָרער טיערינג מאָדעל האַלט זאַכן מאַנידזשאַבאַל:

ריי 1: פּאַרטנערס מיט טיפן צוטריט צו אייער הויפּט קאָדבאַזע, בילד סיסטעם, סיינינג שליסלען אָדער לייוו-אָפּס מכשירים – למשל, קאָ-דעוועלאָפּמענט הייזער, ענדזשין פאַרקויפער, אַנטי-טשיט פּראַוויידערז, לייוו-אָפּס פּלאַטפאָרמעס.
ריי 2: פּאַרטנערס מיט מיטלמעסיקן צוטריט, ווי פּאָרטינג הייזער, מכשירים פאַרקויפער און עקסטערנע QA ניצן אינטערנע בילדס אָבער נישט קיין פּראָדוקציע קאַנסאָולז.
ריי 3: פּאַרטנערס מיט מינימאַלן אָדער קיין סיסטעם צוטריט, אַזאַ ווי קונסט פאַרקויפער, אַודיאָ סטודיאָס אָדער לאָקאַליזאַציע פּראַוויידערז וואָס אַרבעטן בלויז אויף עקספּאָרטירטע אַסעץ.

וואָס טיפער אַ סאַפּלייער קען אַרײַנגיין אין קאָד אָדער אינפֿראַסטרוקטור, אַלץ אָפֿטער און דעטאַלירטער זאָלן די איבערבליקן זײַן. פֿיל סטודיאָס געפֿינען יערלעכע איבערבליקן פֿאַר טיער 1, יעדע 18-24 חדשים פֿאַר טיער 2, און באַנײַונג-געטריבענע טשעקס פֿאַר טיער 3 אַן אַרבעטספֿולן אָנהייבפּונקט, וואָס קען זיך צופּאַסן אויב די ריזיקע אָדער פֿאַרנעם ענדערט זיך.

וואָס זאָל אַן אָנגייענדיקער אָפּשאַצונג ציקל דעקן?

פֿאַר העכער-מדרגה סאַפּלייערז, קען אַ איבערחזרנדיקער אָפּשאַצונג ציקל אַרייַננעמען:

באַשטעטיקונג אַז זייער סערטיפיקאַציעס, פּאָליטיקס און טעכנישע קאָנטראָלס נאך עקזיסטירן און נאך דעקן אייער ארבעט (למשל, דער פארנעם פון אן ISO 27001 אדער SOC 2 באריכט).
א קורצע איבערבליק פאר גרויסע ענדערונגען אויף זייער זייט – נייע האסטינג ראיאנען, סובקאנטראקטארן, אפיסעס, מכשירים – און א קלארע באשלוס צי די ענדערונגען זענען אקצעפטירבאר.
א שנעלע קאָנטראָל פון אייערע אייגענע לאָגס און מעטריקס פֿאַרבונדן מיט זייער טעטיקייט: ומגעוויינטלעכער צוטריט צו רעפּאָס אָדער בילד סיסטעמען, ריפּיטיד קאָנפיגוראַציע פּראָבלעמען, דורכגעפֿאַלענע בילדס, אָדער פּאָליטיק אויסנעמען פֿאַרבונדן מיט זייערע אַקאַונץ.
א קורצע געשריבענע צוזאמענפאסונג מיט געפינסן, באשלוסן, נאכפאלג אויפגאבן, אייגענטימער און ציל דאטומען.

וואָס די אוידיטאָרן ווילן זען איז אַז דאָס פּאַסירט לויטן פּלאַן און אויף צייטפּלאַן, נישט נאָר נאָכדעם וואָס עפּעס איז שלעכט געגאַנגען. ווען איר האַלט אייער סאַפּלייער רעגיסטער, טיער דיסיזשאַנז, איבערבליק הערות און נאָכפאָלג באַווייַזן צוזאַמען אין ISMS.online, לינגקט צו אַנעקס A סאַפּלייער קאָנטראָלס און ספּעציפֿישע ריסקס, קענט איר רעדן וועגן אייער אַוטסאָורסט אַנטוויקלונג האַלטונג מיט פיל מער בטחון.

וואָסערע געוויינטלעכע טעותים פֿון אויסגעסאָורסט אַנטוויקלונג כאַפּן שפּיל סטודיאָס אַרויס, און ווי העלפֿט A.8.30 אײַך זיי פֿאַרמײַדן?

רובֿ פּראָבלעמען קומען פֿון טעגלעכע פֿאַרזעענישן אַנשטאָט פֿון סאָפֿיסטיקירטע אַטאַקעס: עקסטערנע אַקאַונטס מיט מער צוטריט ווי זיי דאַרפֿן, "צייטווײַליקע" פּערמישאַנז וואָס ווערן קיינמאָל נישט אַוועקגענומען, קריטישע מאָדולן געבויט אַרויס פֿון אײַערע קאָנטראָלירטע פּייפּליינז, אָדער פּאַרטנערס וואָס נוצן נישט-פֿאַרוואַלטעטע מאַשינען פֿאַר פֿריִע בויען און דיבאַג מכשירים. אין שפּילן, געביטן ווי אַנטי-טשיט, באַרעכטיקונג און אידענטיטעט סיסטעמען, מאַטשמעיקינג, טעלעמעטריע און אונטערשרײַבן שליסלען זענען באַזונדערס סענסיטיוו אָבער ווערן אָפֿט באַהאַנדלט ווי רעגולער קאָד.

וועלכע שוואַכע פּונקטן זענען ווערט צו באַטראַכטן נאָענט?

א פאר מוסטערן טענדן צו אויפשטיין אין סטודיאָס:

פרילאַנסערס אדער קליינע פארקויפער בלייבן מיט רעפּאָ, וואָלקן באַקעט אדער אַדמין אַקסעס לאַנג נאָכדעם וואָס זייער לעצטע אויפגאַבע איז געענדיקט.
קא-אנטוויקלונג טימס שטעלן צוזאם וויכטיגע מאדולן לאקאל אויף זייער אייגענער הארדווער, איבערגייענדיג אייער בוי-אפשטאנד, אונטערשרייבן און סקענען.
QA אדער קונסט פארקויפער וואס לויפן אינערליכע בילדס אויף פערזענליכע אדער געטיילטע דעווייסעס וואס זענען ווייט אונטער אייער זיכערהייט באזע.
אלטע "טעסט" סביבות, דיבאַג פּאָרטאַלן אדער סטאָרידזש באַקעץ וואָס קיינער פילט זיך נישט פאַראַנטוואָרטלעך פֿאַר אָבער פילע אינערלעכע און אויסערלעכע מענטשן קענען נאָך דערגרייכן.
געטיילטע קרעדענשעלס פֿאַר בויען סערווערס, אַדמין קאָנסאָלס אָדער מאָניטאָרינג מכשירים געניצט דורך קייפל פּאַרטנער שטאב.

קיינע פון די דאזיקע פארלאנגען נישט פארגעשריטענע אויסניצן; זיי פארגרעסערן שטילערהייט אייער אויסשטעלונג ביז א פארלוירענע אפאראט, א פישינג אטאקע אדער א מיסקאנפיגוראציע פארוואנדלט זיי אין א דורכברוך.

ווי אזוי העלפט באהאנדלען A.8.30 אלס א לעבנס-ציקל אייך צו פארמאכן די לעכער?

אויב איר ניצט A.8.30 אלס דער טריגער צו פארמאליזירן א אויסגעסאָורסט אַנטוויקלונג לעבן-ציקל, די שוואַכע פלעקן ווערן גרינגער צו דערקענען און אַדרעסירן. א פּשוטער לעבנסציקל קען אַרייַננעמען:

אויפנאַם און ריזיקאָ אַסעסמענט: פארן אריינקומען, באשליסט דעם שותף'ס שטאפל, ערלויבטן צוטריט, אנגעמעסענע סטאנדארטן און נויטיגע באווייזן.
נאָרמאַלע צוטריט מוסטערן: ניצט פאר-דעפינירטע צוטריט טעמפּלאַטן פּער שטאַפּל און ראָלע (למשל, קאָ-דעוועלאָפּער קעגן QA קעגן מכשירים פאַרקויפער) אַנשטאָט איין-מאָל פּערמישאַנז.
אָנבאָאַרדינג טשעקליסטן: זיכער מאַכן אַז אַקאַונטס עקסיסטירן, MFA איז ענייבאַלד, טריינינג איז געטאָן, NDAs זענען אונטערגעשריבן און די ריכטיקע סביבות זענען גרייט איידער די אַרבעט הייבט זיך אָן.
פּעריִאָדישע איבערבליקן: פֿאַר טיער 1 און 2 סאַפּלייערז, לויפט דעם מאָניטאָרינג און אָפּשאַצונג ציקל וואָס איר האָט דעפינירט און אַדזשאַסטירט צוטריט, קאָנטראַקטן אָדער קאָנטראָלס אויב די ריזיקאָ בילד ענדערט זיך.
אָפבאָרדינג טריט: אַראָפּנעמען אַקאַונטס און שליסלען, פֿאַרמאַכן VPN און געצייַג צוטריט, ראָטירן אַלע געטיילטע סודות, און אַרכיווירן פּאַרטנער-ספּעציפֿישע דאַטן.

ווען יענער לעבנסציקל לויפט דורך ISMS.online – מיט סאַפּלייערס, ריזיקעס, פּראָיעקטן, אויפגאַבן און באַווייזן צוזאַמען געבונדן – קענען פּראָדוצירער, זיכערהייט און פירערשאַפט אַלע זען די זעלבע בילד פון "ווער טוט וואָס, וואו און אונטער וועלכע כּללים." עס גיט אײַך אויך אַן איינפאכן וועג צו ענטפֿערן אַ שווערע פֿראַגע פֿון אַ פּלאַטפאָרמע האָלדער, פֿאַרלעגער אָדער אוידיטאָר: "וואָס שטעלט אָפּ אַוטסאָורסט אַנטוויקלונג פֿון זײַן אײַער שוואַכסטע פֿאַרבינדונג?"

ווי קענען אויסגעסאָורסטע דעוועלאָפּערס זיך אַרײַנשטעקן אין אײַער זיכערער SDLC אָן צו פֿאַרלאַנגזאַמען די מעלדונג־פּלאַנען?

די מערסט נאכhalטיגע ענטפער איז צו האבן עקסטערנע טימז אַרבעט אינעווייניק פון דיין זיכערן SDLC אַנשטאָט אַרום אים, מיט קלאָרע ערוואַרטונגען און אויטאָמאַטיזאַציע וואָס טוט אַ גרויסן טייל פון דער דורכפירונג. ווען פּאַרטנערס נאָכפאָלגן די זעלבע צווייַג סטראַטעגיעס, איבערקוקן רעקווייערמענץ, טעסטן ערוואַרטונגען און מעלדונג טויערן ווי אינערלעכע טימז, באַשיצט איר דאָס שפּיל אָן צו דאַרפן אויפהאַלטן אַ באַזונדערן, שוואַכן "פאַרקויפער פּראָצעס" אין וועלכן קיינער גלויבט נישט טאַקע.

ווי זאָל אויסזען טעגלעכע מיטאַרבעט מיט אויסגעסאָורסטע מאַנשאַפֿטן?

אין אַ געזונטן סעטאַפּ, זיך אויפֿפֿירן אויסגעסאָורסטע דעוועלאָפּערס ווי גוט־אינטעגרירטע ווייט־מאַנשאַפֿט מיטגלידער:

זיי פּלאַנירן און פֿאָלגן די אַרבעט אין אייערע פּראָבלעם טראַקערס, ספּרינט ברעטער און ראָודמאַפּס, צוזאמען מיט אינערליכע שטאב, ניצנדיק געמיינזאמע דעפיניציעס פון פריאריטעט און סטאטוס.
זיי שרייבן קאָד צו דיר סטאַנדאַרדן און דעפֿיניציע פֿון געטאָן, אריינגערעכנט אלע זיכערהייט-רעלעוואנטע קריטעריעס ווי אינפוט וואַלידאַציע, לאָגינג, טעות האַנדלינג און פאָרשטעלונג בודזשעטן.
זיי שיקן אריין ענדערונגען דורך אייער צונויפגיסן-בעטן אדער ציען-בעטן פלוסן אין אייערע רעפּאָס, מיט אויטאָמאַטישע טעסץ און זיכערהייט סקאַנז וואָס לויפן דורך דיפאָלט.
זיי באַקומען די זעלבע באַמערקונגען – דורכגעפֿאַלענע בויען, וואָרענונגען וועגן סטאַטישע אַנאַליז, באַמערקונגען וועגן קאָד איבערבליק, פּראָבלעמען מיט אָפּהענגיקייט – פֿרי גענוג צו פֿאַרריכטן פּראָבלעמען אָן שוועריקייטן, פֿײַער-דרילס אָדער פֿאַרהאַלטונגען אין אויסראָולונג.

וואו אַ פּאַרטנער האַלט אַ טייל פֿון זײַן אייגענעם טולקיין (למשל, פֿאַר קונסט אָדער לאָקאַליזאַציע), שטימט איר צו קאָנטראָלירטע אינטעגראַציע פּונקטן: אפשר נעמט איר אָן בלויז קאָד דורך "פּול ריקוועסץ", אָדער נעמט איר בלויז אײַן אַסעץ וואָס גייען דורך אײַערע אייגענע וואַלידאַציע סקריפּטן. דער וויכטיקער פּונקט איז אַז גאָרנישט דערגרייכט אייערע הויפּט רעפּאָס, בילד סיסטעמען אָדער לעבן סביבות אָן דורכגיין אייער זיכער SDLC.

ווי האַלט מען שנעלקייט, זיכערהייט און ISO 27001 אין איינקלאַנג?

איר באַשיצט די עקספּרעס גיכקייט דורך מאַכן אייער זיכער SDLC פאָרויסזאָגבאר, קענטיק און מערסטנס אויטאָמאַטיש:

דאָקומענטירן וואָס "גוט" קוקט אויס פֿאַר עקסטערנע ביישטייערער: צווייַג מאָדעלן, איבערבליק כּללים, מינימום טעסט קאַווערידזש, זיכערהייט טשעקס פֿאַר סענסיטיווע קאָמפּאָנענטן, און קלאָרע "האַלטן-די-ליניע" קריטעריאַ ווען ריזיקירן איז הויך.
קאָדיר די ערוואַרטונגען אין CI/CD פּייפּליינז, פּראָיעקט טעמפּלאַטעס און טשעקליסטן, אַזוי דורכפֿירונג קומט פֿון מכשירים אַנשטאָט זכּרון.
פּילאָטירן די קאָמבינירטע SDLC מיט איין אָדער צוויי סטראַטעגיש וויכטיקע פּאַרטנערס, פֿאַרבעסערן עס באַזירט אויף זייער דערפאַרונג, און דערנאָך נוצן דעם מוסטער פֿאַר נייַע סאַפּלייערז.

ווען אייער SDLC איז דאקומענטירט, געמאַפּט צו אַנעקס A קאָנטראָלס און געשטיצט דורך באַווייַזן וואָס זענען געהיט אין ISMS.online – קאַמיטס, באריכטן, פּייפּליין ראַנז, אַפּרווואַלז, ריליסיז און סאַפּלייער אַקטיוויטעטן – שאַפט איר אַן איינציקן שטאָק וואָס רעדט צו אַלע זייטן: פּראָדוצירער באַקומען פאָרויסזאָגבארקייט, זיכערהייט און פּריוואַטקייט טימז זען עפעקטיוו גאַווערנאַנס, אָדיטאָרס זען קאָנטראָל און טרעיסאַביליטי, און פּאַרטנערס זען אַ קלאָרן, אַרבעטסבאַרן וועג צו שיקן אינהאַלט און פֿעיִקייטן אין צייט. אויב איר ווילט זען ווי דאָס קען אויסזען אַרום איינער פון אייערע לעבעדיקע פּראָיעקטן, איז בויען אַ פּשוט SDLC מיינונג אין ISMS.online פֿאַר אַ איינציק קאָ-דעוועלאָפּער באַציִונג אָפט גענוג צו ברענגען אייערע אייגענע טימז און עקסטערנע פּאַרטנערס אויף דער זעלבער בלאַט.

ISO 27001 A.8.30 – זיכערן אויסגעסאָורסטע אַנטוויקלונג פֿאַר שפּיל סטודיאָס