שפרינג צו דער טעמע
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.1?
אַנעקס אַ.12.1 איז וועגן אַפּעריישאַנאַל פּראָוסידזשערז און ריספּאַנסאַבילאַטיז. די אָביעקטיוו פון דעם אַנעקס א שטח איז צו ענשור ריכטיק און זיכער אַפּעריישאַנז פון אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז. דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן. לאָמיר פֿאַרשטיין די רעקווירעמענץ און וואָס זיי מיינען אין אַ ביסל מער טיף איצט.
א.12.1.1 דאַקיומענטאַד אַפּערייטינג פּראָוסידזשערז
אַפּערייטינג פּראָוסידזשערז מוזן זיין דאַקיומענטאַד און דאַן געמאכט בנימצא צו אַלע יוזערז וואָס דאַרפֿן זיי. דאַקיומענטאַד אַפּערייטינג פּראָוסידזשערז העלפֿן צו ענשור קאָנסיסטענט און עפעקטיוו אָפּעראַציע פון סיסטעמס פֿאַר נייַ שטעקן אָדער טשאַנגינג רעסורסן, און קענען אָפט זיין קריטיש פֿאַר ומגליק אָפּזוך, געשעפט קאַנטיניויישאַן און פֿאַר ווען די אַוויילאַבילאַטי פון שטעקן איז קאַמפּראַמייזד. ווו אינפֿאָרמאַציע סיסטעמען זענען "וואָלקן-באזירט" בעקאַבאָלעדיק אַפּעריישאַנאַל אַקטיוויטעטן אַזאַ ווי סיסטעם סטאַרטאַפּ, פאַרמאַכן-אַראָפּ, באַקאַפּ עטק ווערן ווייניקער באַטייַטיק און קען אָפט זיין אַוצאָרסט צו אַ וואָלקן שפּייַזער. אין מער טראדיציאנעלן קאַמפּיוטינג ינווייראַנמאַנץ און אַרקאַטעקטשערז, אַפּערייטינג פּראָוסידזשערז זענען פיל מער מסתּמא צו זיין פארלאנגט.
עס איז וויכטיק אַז דאָקומענטן זענען מיינטיינד אין אַ ריכטיק און קראַנט שטאַט און זאָל דעריבער זיין אונטערטעניק צו פאָרמאַל ענדערונג פאַרוואַלטונג און פּעריאָדיש רעצענזיע פּראָוסידזשערז - דאָס איז שליסל, ווייַל דער אָדיטאָר וועט ספּאַסיפיקלי זוכן צו זען דעם.
מיר אָפט ווערן געפרעגט וועגן ווי פיל דעטאַל איז דארף, און וואָס געביטן פון די געשעפט דאַרפֿן צו האָבן דאַקיומענטאַד פּראָוסידזשערז. נעמען אַ פּראָסט זינען צוגאַנג. פֿאַר בייַשפּיל, אויב איר האָבן פאַקטיש שטעקן פעסטקייַט, די ימפּליסאַט פּראָוסידזשערז זענען זייער גוט פארשטאנען און ריזיליאַנס איז אין פּלאַץ איבער דעם מיטל בעקן, פּשוט קויל ווייזט קען זיין גענוג צו פאָרעם אַ טשעקליסט נוסח דאַקיומענטאַד פּראָצעדור.
סימילאַרלי אויב פּראָוסידזשערז זענען יוואַלווינג אָדער קעסיידער טשאַנגינג, למשל ווייַל פון שנעל וווּקס, איר ווילן צו האָבן פּראָוסידזשערז וואָס קענען זיין דערהייַנטיקט לייכט און געשווינד. ווידער אויב אַ פּלאַץ פון נייַ מיטל איז צוגעלייגט און די געגנט האט ריזיקירן און קאַמפּלעקסיטי אַרום עס, מער טיפקייַט צו די פּראָוסידזשערז קען זיין דארף אַזוי עס איז אַנאַמביגיואַס וועגן וואָס, ווען, ווי, ווער עטק.
די געביטן פון די געשעפט וואָס דאַרפֿן צו זיין קאַנסידערד פֿאַר דאַקיומענטאַד פּראָוסידזשערז זאָל זיין ווו דיין אינפֿאָרמאַציע אַסעץ זענען אין ריזיקירן דורך פאַלש אָפּעראַציע, וואָס פון קורס וועט זיין יידענאַפייד ווי אַ טייל פון די ריזיקירן אַסעסמאַנט אין לויט מיט 6.1. דאָס קען אַרייַננעמען ווייכווארג אַנטוויקלונג, עס פאַרוואַלטונג, צו פינאַנציעל אַקאַונטינג, קונה פאַרוואַלטונג, קאַנסאַלטינג אָדער מאַנופאַקטורינג אַרבעט עטק דיפּענדינג אויף די נאַטור פון די געשעפט.
א.12.1.2 טוישן מאַנאַגעמענט
די אָרגאַניזאַציע, געשעפט פּראָוסידזשערז, אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז און סיסטעמען וואָס ווירקן אינפֿאָרמאַציע זיכערהייט דאַרף זיין קאַנטראָולד. געהעריק קאַנטראָולד ענדערונג פאַרוואַלטונג איז יקערדיק אין רובֿ ינווייראַנמאַנץ צו ענשור אַז ענדערונגען זענען צונעמען, עפעקטיוו, רעכט אָטערייזד און דורכגעקאָכט אין אַזאַ אַ שטייגער צו מינאַמייז די געלעגנהייט פֿאַר בייזע אָדער אַקסאַדענטאַל קאַמפּראַמייזיז. ענדערונג פאַרוואַלטונג אַפּלייז אַריבער די אָרגאַניזאַציע, זייַן פּראַסעסאַז, אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז, נעטוואָרקס, סיסטעמען און אַפּלאַקיישאַנז.
קאָנטראָלירן לאָגס זענען פארלאנגט צו צושטעלן זאָגן פון די ריכטיק נוצן פון טוישן פּראָוסידזשערז. דער אָדיטאָר וועט וועלן צו פונט אויס אַז טוישן פּראָוסידזשערז טאָן ניט האָבן צו זיין צו קאָמפּליצירט, אָבער דאַרפֿן צו זיין צונעמען צו די נאַטור פון טוישן וואָס איז באַטראַכט. איר קען פשוט כאַפּן זאָגן פון אַמענדמאַנץ און ווערסיע קאָנטראָל ענדערונגען ווי איר גיין, אָדער אַרבעטן פיל דיפּער מער קאָמפּליצירט ענדערונג פאַרוואַלטונג און אַרייַננעמען ריטריינינג און קאָמוניקאַציע און האָבן מער באַטייטיק ינוועסמאַנט און צייכן אַוועק פּראַסעסאַז.
א.12.1.3 קאַפּאַסיטי מאַנאַגעמענט
די נוצן פון רעסורסן מוזן זיין מאָניטאָרעד, טונד און פּראַדזשעקשאַנז געמאכט פון צוקונפֿט קאַפּאַציטעט באדערפענישן צו ענשור די פארלאנגט סיסטעם פאָרשטעלונג צו טרעפן די געשעפט אַבדזשעקטיווז. קאַפּאַציטעט פאַרוואַלטונג טיפּיקלי קוקט אין דרייַ ערשטיק טייפּס; דאַטאַ סטאָרידזש קאַפּאַציטעט - (למשל אין דאַטאַבייס סיסטעמען, טעקע סטאָרידזש געביטן אאז"ו ו); פּראַסעסינג מאַכט קאַפּאַציטעט - (למשל טויגן קאַמפּיוטיישאַנאַל מאַכט צו ענשור בייַצייַטיק פּראַסעסינג אַפּעריישאַנז.); און קאָמוניקאַציע קאַפּאַציטעט - (אָפט ריפערד צו ווי "באַנדווידט" צו ענשור קאָמוניקאַציע איז געמאכט אין אַ בייַצייַטיק שטייגער).
קאַפּאַציטעט פאַרוואַלטונג אויך דאַרף זיין; פּראָ-אַקטיווע - פֿאַר בייַשפּיל, ניצן קאַפּאַציטעט קאַנסידעריישאַנז ווי אַ טייל פון טוישן פאַרוואַלטונג; רי-אַקטיוו - למשל טריגערז און אַלערץ פֿאַר ווען די נוצן פון קאַפּאַציטעט איז ריטשינג אַ קריטיש פונט אַזוי אַז צייט ינקריסיז, צייטווייליגע אָדער שטענדיק, קענען זיין געמאכט.
א.12.1.4 צעשיידונג פון אַנטוויקלונג, טעסטינג און אַפּעריישאַנאַל ינווייראַנמאַנץ
גוט פּאַלאַסיז פֿאַר אַנטוויקלונג, טעסטינג און אַפּעריישאַנאַל ינווייראַנמאַנץ וואָלט באַשטעטיקן אַז זיי מוזן זיין אפגעשיידט צו רעדוצירן די ריסקס פון אַנאָטערייזד אַקסעס אָדער ענדערונגען צו די אַפּעריישאַנאַל סוויווע. בעכעסקעם אַנטוויקלונג, טעסטינג און לעבן אַפּעריישאַנאַל IT ינווייראַנמאַנץ באַזונדער איז גוט פיר, ווייַל דאָס העלפּס מיט סעגרעגאַציע פון דוטיז און אַנאָטערייזד אַקסעס צו די לעבן סוויווע און דאַטן. ענדערונגען און נייַע דיוועלאַפּמאַנץ זאָל זיין ונ דורך טעסטעד אין אַ באַזונדער געגנט איידער זיי זענען דיפּלויד צו די לעבן אַפּערייטינג סוויווע.
ידעאַללי אַנטוויקלונג פּערסאַנעל זאָל נישט האָבן אַקסעס צו די לעבן סוויווע, אָבער דאָס קען נישט זיין מעגלעך, ספּעציעל אין קליין אָרגאַנאַזיישאַנז. אַמאָל אפגעשיידט, עס איז וויכטיק צו קאָנטראָלירן אַז טעסטערס זענען נישט אַקסאַדענאַלי (אָדער דיליבראַטלי) ניצן פּרובירן ינווייראַנמאַנץ ווי לעבן. דער אָדיטאָר וועט קאָנטראָלירן צו זען אַז אַנטוויקלונג, פּרובירן און לעבן ינווייראַנמאַנץ זענען אפגעשיידט און אַז עס זענען פאָרמאַל פּראָוסידזשערז אַרייַנגערעכנט צונעמען לעוועלס פון דערלויבעניש פֿאַר מאָווינג ענדערונגען און דיוועלאַפּמאַנץ פון איין סוויווע צו די אנדערע.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.2?
אַנעקס אַ.12.2 איז וועגן שוץ פון מאַלוואַרע. די אָביעקטיוו דאָ איז צו ענשור אַז אינפֿאָרמאַציע און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז זענען פּראָטעקטעד קעגן מאַלוואַרע.
א.12.2.1 קאָנטראָלס קעגן מאַלוואַרע
דיטעקשאַן, פאַרהיטונג און אָפּזוך קאָנטראָלס צו באַשיצן קעגן מאַלוואַרע מוזן זיין ימפּלאַמענאַד, קאַמביינד מיט די צונעמען באַניצער וויסיקייַט. דאָס איז אַ אָפּטיילונג וואָס רובֿ אָרגאַנאַזיישאַנז האָבן עטלעכע מדרגה פון וויסיקייַט, פארשטאנד און ימפּלאַמענטיישאַן. אָבער, מאַלוואַרע שוץ קענען נעמען אַ נומער פון פאַרשידענע פארמען באַזונדער פון די קלאָר ווי דער טאָג "אַנטי-ווירוס ווייכווארג".
אנדערע קאָנטראָלס אַזאַ ווי ריסטריקשאַנז אַרום די נוצן פון רימווואַבאַל מידיאַ אָדער ריסטריקשאַנז אויף די ינסטאַלירונג פון ווייכווארג דורך יוזערז - העלפּינג צו פאַרמייַדן די נוצן פון אַנאָטערייזד ווייכווארג - זענען אויך ווערטפול. פּאַטטשינג פון באַוווסט סיסטעם און ווייכווארג וואַלנעראַביליטיז אין אַ בייַצייַטיק שטייגער איז אויך קריטיש. אָפט ווירוסעס זענען דיזיינד צו קוקן פֿאַר אַנפּאַטשט סיסטעמען און ווייכווארג אין וואָס באַוווסט וואַלנעראַביליטיז קען וווינען. עס איז וויכטיק אַז קיין מאַלוואַרע שוץ איז דערהייַנטיקט, ביידע אין טערמינען פון באַטייַטיק "סיגנאַטורע טעקעס" און די ווייכווארג זיך.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.3?
אַנעקס אַ.12.3 איז וועגן באַקאַפּ. די אָביעקטיוו איז צו באַשיצן קעגן אָנווער פון דאַטן.
א.12.3.1 אינפֿאָרמאַציע באַקקופּ
צו באַשיצן די ווערטפול אינפֿאָרמאַציע קעגן אָנווער, אַ גוט קאָנטראָל באשרייבט ווי באַקאַפּ קאפיעס פון אינפֿאָרמאַציע, ווייכווארג און סיסטעם בילדער זאָל זיין גענומען און טעסטעד קעסיידער אין לויט מיט אַ מסכים באַקאַפּ פּאָליטיק.
באַקקופּ רעזשים דאַרפֿן צו זיין דיזיינד לויט געשעפט רעקווירעמענץ און ריזיקירן לעוועלס רילייטינג צו אַנאַוויילאַביליטי פון אינפֿאָרמאַציע, אַזוי עס איז וויכטיק צו ענשור אַז אַזאַ רעזשים שטיצן פאַקטיש באדערפענישן אלא ווי פשוט "מיר מאַכן באַקאַפּס". ווען באַקאַפּס זענען גענומען, די אינפֿאָרמאַציע זאָל זיין פּראָטעקטעד אין דער זעלביקער מדרגה ווי די לעבן דאַטן דורך מינימום און זאָל זיין סטאָרד אַוועק פון די לעבן סוויווע צו מינאַמייז די ריזיקירן פון אַ איין קאָמפּראָמיס צו נעמען אַראָפּ ביידע די לעבן סוויווע און די באַקאַפּס.
רעגולער טעסטינג פון באַקאַפּס איז קריטיש צו ענשור אַז רעסטעריישאַנז וועט זיין געראָטן און אַטשיווד אין אַ בייַצייַטיק שטייגער. מאָניטאָרינג און רעקאָרדינג פון באַקאַפּס זאָל זיין ימפּלאַמענאַד צו ענשור אַז זיי פאַלן אין שורה מיט די באַקאַפּ פּאָליטיק. סמאַרט אַדאַטערז וועלן וועלן צו זען ריפּאָרץ קעגן דורכפאַל באַקאַפּס און טעסץ צו ענשור אַז זיי אַרבעטן ווי דערוואַרט. באַקקופּ פּאַלאַסיז דאַרפֿן צו זיין באַטראַכט אַרום וואָס, ווו פון און ווו צו, ווער, ווען - גענומען אין חשבון אָפיס און כאָומווערקערז, רירעוודיק עטק ווו עס זענען קאַנסידעריישאַנז וועגן רירעוודיק און באַזייַטיקונג סטאָרידזש באַקאַפּס וואָס האָבן געוואקסן ריסקס אין די געשעעניש פון אָנווער וואָס קען זיין אַדרעסד דורך ענקריפּשאַן אָדער אנדערע קאָנטראָלס.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.4?
אַנעקס אַ.12.4 איז וועגן לאָגינג און מאָניטאָרינג. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו רעקאָרדירן געשעענישן און דזשענערייט זאָגן.
א.12.4.1 געשעעניש לאָגינג
געשעעניש לאָגס רעקאָרדינג באַניצער אַקטיוויטעטן, אויסנעמען, חסרונות און אינפֿאָרמאַציע זיכערהייט געשעענישן מוזן זיין געשאפן, האַלטן און ריוויוד קעסיידער. לאָגינג און מאָניטאָרינג מעקאַניזאַמז זענען אַ וויכטיק טייל פון אַ "פאַרטיידיקונג-אין-טיפקייַט" סטראַטעגיע פֿאַר זיכערהייט פאַרוואַלטונג דורך פּראַוויידינג ביידע דעטעקטיוו און ויספאָרשונג קייפּאַבילאַטיז. געשעעניש לאָגס פון אַלע טייפּס, למשל סיסטעם לאָגס, אַקסעס קאָנטראָל לאָגס, אאז"ו ו, קען זיין פארלאנגט, ספּעציעל וועגן אינצידענט פאַרוואַלטונג און אַדאַטינג. לאָגס וועט אָפט דאַרפֿן צו קראָם פּאַטענטשאַלי ריזיק אַמאַונץ פון אינפֿאָרמאַציע, אַזוי עס איז וויכטיק אַז קאַפּאַציטעט קאַנסידעריישאַנז זענען געמאכט.
א.12.4.2 שוץ פון קלאָץ אינפֿאָרמאַציע
לאָגינג פאַסילאַטיז און קלאָץ אינפֿאָרמאַציע מוזן זיין פּראָטעקטעד קעגן טאַמפּערינג און אַנאָטערייזד אַקסעס. עס איז אויך קריטיש צו ענשור אַז לאָגס זענען סטאָרד אין אַ זיכער און טאַמפּער-דערווייַז שטייגער אַזוי אַז קיין זאָגן דערייווד פון זיי קענען זיין עווידאַנסט אין אַ פּראָווען שטייגער. דאָס איז ספּעציעל וויכטיק אין קיין פאָרעם פון לעגאַל פאַרהאַנדלונג מיט זאָגן פון די קלאָץ. ווייַל לאָגס פּאַטענטשאַלי אַנטהאַלטן גרויס אַמאַונץ פון שפּירעוודיק דאַטן, עס איז וויכטיק אַז זיי זענען פּראָטעקטעד און סיקיורד אַדאַקוואַטלי. עס איז אויך וויכטיק צו באַטראַכטן אַז אויב די לאָגס אַנטהאַלטן פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע, וואָס זיי כּמעט זיכער וועלן, אַזאַ ווי באַניצער שייַן און די אַקשאַנז דורכגעקאָכט דורך די UID, זיי זענען מסתּמא צו פאַלן אונטער די רעקווירעמענץ פון דאַטן שוץ און פּריוואַטקייט געסעצ - געבונג, אַרייַנגערעכנט דאַטן ריטענשאַן. .
A.12.4.3 אַדמיניסטראַטאָר & אָפּעראַטאָר לאָגס
א גוט קאָנטראָל באשרייבט ווי קיין סיסטעם אַדמיניסטראַטאָר און סיסטעם אָפּעראַטאָר אַקטיוויטעטן דאַרפֿן צו זיין לאָגד און די לאָגס פּראָטעקטעד און קעסיידער ריוויוד. ספּעציעלע באַטראַכטונג זאָל זיין געגעבן צו העכער לעוועלס פון לאָגינג פֿאַר פּריוולידזשד אַקאַונץ אַזאַ ווי סיסטעם אַדמיניסטראַטאָרס און אָפּערייטערז.
א.12.4.4 זייגער סינגקראַנאַזיישאַן
די קלאַקס פון אַלע באַטייַטיק אינפֿאָרמאַציע פּראַסעסינג סיסטעמען אין אַן אָרגאַניזאַציע אָדער זיכערהייט פעלד מוזן זיין סינגקראַנייזד צו אַ איין רעפֿערענץ צייט מקור. סיסטעם זייגער סינגקראַנאַזיישאַן איז וויכטיק, ספּעציעל ווען עווידאַנסינג געשעענישן ווי אַ טייל פון אַן ויספאָרשונג אָדער לעגאַל פּראַסידינג, ווייַל עס איז אָפט אוממעגלעך אָדער זייער שווער צו באַווייַזן "גרונט און ווירקונג" אויב קלאַקס זענען נישט סינגקראַנייזד ריכטיק. דער אַודיטאָר וועט באַצאָלן ספּעציעל ופמערקזאַמקייט צו ענשור אַז דאָס איז געטאן.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.5?
אַנעקס אַ.12.5 איז וועגן קאָנטראָל פון אַפּעריישאַנאַל ווייכווארג. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו ענשור די אָרנטלעכקייַט פון אַפּעריישאַנאַל סיסטעמען.
א.12.5.1 ייַנמאָנטירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען
פּראָוסידזשערז מוזן זיין ימפּלאַמענאַד צו קאָנטראָלירן די ינסטאַלירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען. ווי מיט קיין זיכערהייט פֿאַרבונדענע קאָנטראָל, עס איז וויכטיק אַז די ינסטאַלירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען איז פאָרמאַלי קאַנטראָולד. כאָטש דאָס קען נישט שטענדיק זיין מעגלעך, ספּעציעל אין קליין אָרגאַנאַזיישאַנז, דער פּרינציפּ בלייבט אמת. ישוז שייַכות צו די ינאַפּראָופּרייט ינסטאַלירונג אָדער טוישן פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען קענען אַרייַננעמען; מאַלוואַרע ינפעקטאַד ווייכווארג איז אינסטאַלירן; קאַפּאַציטעט פּראָבלעמס; אָדער ווייכווארג וואָס קענען געבן בייזע ינסיידער אַקטיוויטעט אינסטאַלירן (למשל כאַקינג מכשירים). ווייַטער פון ריסטריקטינג און לימאַטינג די ינסטאַלירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען, עס איז אויך וויכטיק צו פאָרמאַלי קאָנטראָלירן די לאַדזשיטאַמאַט ינסטאַלירונג.
עס איז גוט פיר צו ענשור ווו נאָר מעגלעך אַז, למשל; פאָרמאַל ענדערונג פאַרוואַלטונג איז פארגעקומען, אַרייַנגערעכנט צונעמען לעוועלס פון דערלויבעניש; ראָלל-צוריק פּראָוסידזשערז זענען אין פּלאַץ; און פריערדיקע ווערסיעס פון ווייכווארג און טוישן היסטאָריעס זענען סיקיורלי געהאלטן. יעדער ענדערונג זאָל באַטראַכטן ביידע די געשעפט רעקווירעמענץ און די זיכערהייט רעקווירעמענץ און ריסקס אין לויט מיט פאָרמאַל ענדערונג פאַרוואַלטונג פּראָוסידזשערז. דער אָדיטאָר וועט דערוואַרטן צו זען רעקאָרדס פון ווייכווארג ענדערונגען און ינסטאַליישאַנז וואָס זענען געהאלטן, וואָס זיי וועלן וועלן צו דורכקוקן / מוסטער.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.6?
אַנעקס אַ.12.6 איז וועגן טעכניש וואַלנעראַביליטי פאַרוואַלטונג. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו פאַרמייַדן עקספּלויטיישאַן פון טעכניש וואַלנעראַביליטיז.
א.12.6.1 פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז
אינפֿאָרמאַציע וועגן טעכניש וואַלנעראַביליטיז פון אינפֿאָרמאַציע סיסטעמען וואָס ווערן געניצט מוזן זיין באקומען אין אַ צייט, די אָרגאַנאַזיישאַנז ויסשטעלן צו אַזאַ וואַלנעראַביליטיז עוואַלואַטעד און צונעמען מיטלען גענומען צו אַדרעס די פארבונדן ריזיקירן. קיין וואַלנעראַביליטי איז אַ שוואַכקייַט אין זיכערהייט שוץ און מוזן זיין דעלט מיט יפעקטיוולי און יפישאַנטלי ווו ריזיקירן לעוועלס זענען אַנאַקסעפּטאַבאַל. טעכניש וואַלנעראַביליטיז האָבן שוין אין די האַרץ פון פילע גרויס זיכערהייט בריטשיז רעפּאָרטעד אין די מידיאַ (און די וואָס זענען נישט!), און אַזוי עס איז יקערדיק אַז פאָרמאַל געראטן פּראָצעס איז אין פּלאַץ אויף אַ טויגן און פּראַפּאָרשאַנאַל מדרגה.
עס דאַרף זיין אַ וואָג צווישן די זיכערהייט ימפּעראַטיוו פון ימפּלאַמענינג וואַלנעראַביליטי פּאַטשאַז ווי געשווינד ווי מעגלעך און די זיכערהייט ימפּעראַטיוו פון טעסטינג פּאַטשאַז גענוג צו ענשור פארבליבן אַוויילאַבילאַטי און אָרנטלעכקייַט פון סיסטעמען און די מינימיזיישאַן פון ינקאַמפּאַטאַבילאַטיז. וויסיקייַט קענען אויך שפּילן אַ וויכטיק טייל און עס איז דעריבער פיליק צו האָבן אַ קאָמוניקאַציע סטראַטעגיע רילייטינג צו אַפּדייטינג יוזערז ווען וואַלנעראַביליטיז עקסיסטירן וואָס קענען זיין געראטן צו אַ גראַד דורך באַניצער ביכייוויערז. דער אָדיטאָר וועט דערוואַרטן צו זען אַז פּראַסעסאַז פֿאַר ידענטיפיינג און דיטעקטינג וואַלנעראַביליטיז זענען אין פּלאַץ, ספּעציעל אויף קריטיש סיסטעמען אָדער יענע פּראַסעסינג אָדער סטאָרינג שפּירעוודיק אָדער קלאַסאַפייד אינפֿאָרמאַציע.
א.12.6.2 ריסטריקשאַנז אויף ווייכווארג ינסטאַלירונג
כּללים וואָס רעגירן די ייַנמאָנטירונג פון ווייכווארג דורך יוזערז דאַרפֿן צו זיין געגרינדעט און ימפּלאַמענאַד. די קאָנטראָל איז צו באַגרענעצן די פיייקייט פון ניצערס צו ינסטאַלירן ווייכווארג, ספּעציעל אויף היגע דעוויסעס (ווערקסטיישאַנז, לאַפּטאַפּס עטק). ייַנמאָנטירונג פון ווייכווארג דורך יוזערז רייזאַז אַ נומער פון טרעץ און וואַלנעראַביליטיז אַרייַנגערעכנט די סאַקאָנע פון הקדמה פון מאַלוואַרע און די פּאָטענציעל בריטש פון ווייכווארג לייסאַנסינג / IPR געזעצן. ידעאַללי ניצערס וואָלט נישט קענען צו ינסטאַלירן קיין ווייכווארג אויף אָרגאַנאַזיישאַנאַל ויסריכט, אָבער עס קען זיין געשעפט אָדער פּראַקטיקאַלאַטי סיבות וואָס דאָס איז ניט מעגלעך.
אויב פול ריסטריקשאַן איז ניט מעגלעך, עס איז גוט פיר צו "ווייַס רשימה" וואָס ווייכווארג קען זיין אינסטאַלירן. דער אָדיטאָר וועט קאָנטראָלירן צו זען וואָס ריסטריקשאַנז זענען געשטעלט אויף די ינסטאַלירונג פון ווייכווארג דורך יוזערז. דערנאָך, ווען פול ריסטריקשאַן איז נישט ימפּלאַמענאַד, זיי וועלן וועלן צו זען זאָגן אַז די ריסקס זענען גאָר אַססעססעד און אויב מעגלעך, קאַמפּלאַמענטשי קאָנטראָלס אַזאַ ווי רעגולער ווייכווארג אַדאַץ זענען ימפּלאַמענאַד און קעסיידער געוויינט.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.12.7?
אַנעקס אַ.12.7 איז וועגן אינפֿאָרמאַציע סיסטעמען און קאָנטראָלירן קאַנסידעריישאַנז. די אָביעקטיוו אין דעם אַנעקס א געגנט איז צו מינאַמייז די פּראַל פון קאָנטראָלירן אַקטיוויטעטן אויף אַפּעריישאַנאַל סיסטעמען.
א.12.7.1 אינפֿאָרמאַציע סיסטעמען קאָנטראָלירן קאָנטראָלס
קאָנטראָלירן רעקווירעמענץ און אַקטיוויטעטן ינוואַלווינג וועראַפאַקיישאַן פון אַפּעריישאַנאַל סיסטעמען דאַרפֿן צו זיין קערפאַלי פּלאַננעד און מסכים צו מינאַמייז דיסראַפּשאַנז צו די געשעפט פּראַסעסאַז. ווען איר דורכפירן טעסץ און קאָנטראָלירן אַקטיוויטעטן (למשל וואַלנעראַביליטי סקאַנז, דורכדרונג טעסץ, אאז"ו ו) אויף אַפּעריישאַנאַל סיסטעמען, עס דאַרף זיין באַטראַכט צו ענשור אַז אַפּעריישאַנז זענען נישט נעגאַטיוו פּראַל. אין דערצו, די פאַרנעם און טיפקייַט פון טעסטינג מוזן זיין דיפיינד. אַזאַ אַדאַטינג אָדער טעסטינג פון אַפּעריישאַנאַל סיסטעמען מוזן זיין דורך אַ פאָרמאַל און אַפּראָופּרייטלי אָטערייזד פּראָצעס. דער אָדיטאָר וועט זוכן זאָגן אַז די סקעדזשולינג פון טעסץ און די מדרגה פון טעסטינג איז מסכים און אָטערייזד דורך אַ פאָרמאַל פּראָצעס.
באַקומען אַ 81% כעדסטאַרט
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
