ISO 27001 - אַנעקס אַ.18: העסקעם

וואָס איז די אָביעקטיוו פון אַנעקס אַ.18.1?

אַנעקס אַ.18.1 איז וועגן העסקעם מיט לעגאַל און קאַנטראַקטשואַל באדערפענישן. די אָביעקטיוו איז צו ויסמיידן בריטשיז פון לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי אָדער קאַנטראַקטשואַל אַבלאַגיישאַנז שייַכות צו אינפֿאָרמאַציע זיכערהייט און קיין זיכערהייט רעקווירעמענץ.

דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן.

A.18.1.1 לעגיטימאַציע פון ​​אָנווענדלעך געסעצ - געבונג & קאָנטראַקטואַל רעקווירעמענץ

א גוט קאָנטראָל באשרייבט ווי אַלע באַטייַטיק לעגיסלאַטיווע סטאַטשאַטאָרי, רעגולאַטאָרי, קאַנטראַקטשואַל רעקווירעמענץ, און דער אָרגאַניזאַציע ס צוגאַנג צו טרעפן די רעקווירעמענץ זאָל זיין בפירוש יידענאַפייד, דאַקיומענטאַד און האַלטן דערהייַנטיקט פֿאַר יעדער אינפֿאָרמאַציע סיסטעם און די אָרגאַניזאַציע. אין פּשוט טערמינען, די אָרגאַניזאַציע דאַרף צו ענשור אַז זי איז דערהייַנטיקט מיט און דאַקיומענטינג געסעצ - געבונג און רעגולירן וואָס אַפעקץ דערגרייה פון זייַן געשעפט אַבדזשעקטיווז און די אַוטקאַמז פון די ISMS.

עס איז וויכטיק אַז די אָרגאַניזאַציע פארשטייט די געסעצ - געבונג, רעגולירן און קאַנטראַקטשואַל רעקווירעמענץ מיט וואָס זי מוזן נאָכקומען, און די זאָל זיין צענטראל רעקאָרדעד אין די רעגיסטרי צו לאָזן די יז פון פאַרוואַלטונג און קאָואָרדאַניישאַן. די לעגיטימאַציע פון ​​וואָס איז באַטייַטיק וועט לאַרגעלי אָפענגען אויף; ווו די אָרגאַניזאַציע איז ליגן אָדער אַפּערייץ; וואָס די נאַטור פון דער אָרגאַניזאַציע ס געשעפט איז; און די נאַטור פון אינפֿאָרמאַציע וואָס איז כאַנדאַלד אין דער אָרגאַניזאַציע. די לעגיטימאַציע פון ​​די באַטייַטיק געסעצ - געבונג, רעגולירן און קאַנטראַקטשואַל רעקווירעמענץ איז מסתּמא צו אַרייַננעמען באַשטעלונג מיט לעגאַל עקספּערץ, רעגולאַטאָרי ללבער און קאָנטראַקט מאַנאַדזשערז.

דאָס איז אַ געגנט וואָס אָפט קאַטשאַז אָרגאַנאַזיישאַנז ווייַל עס איז בכלל פיל מער געסעצ - געבונג און רעגולירן ימפּאַקטינג די אָרגאַניזאַציע ווי ערשטער. דער אָדיטאָר וועט קוקן צו זען ווי די אָרגאַניזאַציע האט יידענאַפייד און רעקאָרדעד זיין לעגאַל, רעגולאַטאָרי און קאַנטראַקטשואַל אַבלאַגיישאַנז; די ריספּאַנסאַבילאַטיז פֿאַר באַגעגעניש אַזאַ רעקווירעמענץ און קיין נויטיק פּאַלאַסיז, ​​​​פּראָוסידזשערז און אנדערע קאָנטראָלס פארלאנגט פֿאַר באַגעגעניש די קאָנטראָלס.

אַדדיטיאָנאַללי, זיי וועלן קוקן צו זען אַז די רעגיסטרירט איז מיינטיינד אויף אַ רעגולער יקער קעגן קיין באַטייַטיק ענדערונג - ספּעציעל אין געסעצ - געבונג איבער פּראָסט געביטן וואָס זיי וואָלט דערוואַרטן אַז קיין אָרגאַניזאַציע וועט זיין ימפּאַקטיד.

A.18.1.2 אינטעלעקטואַל פאַרמאָג רעכט

א גוט קאָנטראָל באשרייבט ווי די צונעמען פּראָוסידזשערז ענשור העסקעם מיט לעגיסלאַטיווע, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ שייַכות צו אינטעלעקטואַל פאַרמאָג רעכט און נוצן פון פּראַפּרייאַטערי ווייכווארג פּראָדוקטן. אין פּשוט טערמינען, די אָרגאַניזאַציע זאָל ינסטרומענט צונעמען פּראָוסידזשערז וואָס ענשור אַז עס קאַמפּלייז מיט אַלע זייַן רעקווירעמענץ, צי זיי זענען לעגיסלאַטיווע, רעגולאַטאָרי אָדער קאַנטראַקטשואַל - שייַכות צו זייַן נוצן פון ווייכווארג פּראָדוקטן אָדער אינטעלעקטואַל פאַרמאָג רעכט.

עס זענען צוויי אַספּעקץ פון IPR פאַרוואַלטונג צו באַטראַכטן; שוץ פון IPR אָונד דורך די אָרגאַניזאַציע; און פאַרהיטונג פון מיסיוז אָדער בריטש פון אנדערע ס IPR. די ערשטע וועט אויך זיין גערעדט מיט A.13.24 פֿאַר ניט-אַנטפּלעקונג און קאַנפאַדענשיאַלאַטי אַגרימאַנץ, ווו מיר אויך פֿאָרשלאָגן פירמס פירן זייער ברייטערער בעל קאַנטראַקץ מיט דריט פּאַרטיעס פֿון, און אויך ין A.15 פֿאַר צושטעלן קייט ספּאַסיפיקלי. פֿאַר שטעקן, A7.1.2 טערמינען און באדינגונגען פון באַשעפטיקונג וועט אויך דעקן IPR.

פּאַלאַסיז, ​​פּראַסעסאַז און טעכניש קאָנטראָלס זענען מסתּמא צו זיין דארף פֿאַר ביידע די אַספּעקץ. אין אַסעט רעדזשיסטערז און פּאַסיק נוצן פּאַלאַסיז עס איז מסתּמא אַז IPR קאַנסידעריישאַנז וועט דאַרפֿן צו זיין געמאכט - למשל ווען אַ אַסעט איז אָדער כּולל IPR שוץ פון דעם אַסעט, מוזן באַטראַכטן די IPR אַספּעקט. קאָנטראָלס צו ענשור אַז בלויז אָטערייזד און לייסאַנסט ווייכווארג זענען אין נוצן אין דער אָרגאַניזאַציע זאָל אַרייַננעמען רעגולער דורכקוק און קאָנטראָלירן.

דער אָדיטאָר וועט וועלן צו זען אַז רעדזשיסטערס פון לייסאַנסיז אָונד דורך די אָרגאַניזאַציע פֿאַר נוצן פון אנדערע ווייכווארג און אנדערע אַסעץ זענען געהאלטן און דערהייַנטיקט. פון באַזונדער אינטערעס צו זיי וועט זיין ינשורינג אַז ווו לייסאַנסיז אַרייַננעמען אַ מאַקסימום נומער פון ניצערס אָדער ינסטאַליישאַנז, אַז די נומער איז נישט יקסידיד און באַניצער און ייַנמאָנטירונג נומערן זענען אַודיטעד פּיריאַדיקלי צו קאָנטראָלירן העסקעם. דער אָדיטאָר וועט אויך קוקן ווי די אָרגאַניזאַציע פּראַטעקץ זיין אייגענע IPR, וואָס קען אַרייַננעמען; דאַטן אָנווער און פאַרהיטונג קאָנטראָלס; פּאַלאַסיז און וויסיקייַט מגילה טאַרגאַטינג באַניצער בילדונג; אָדער ניט-אַנטפּלעקונג און קאַנפאַדענשיאַלאַטי אַגרימאַנץ וואָס פאָרזעצן נאָך טערמאַניישאַן פון באַשעפטיקונג.

א.18.1.3 שוץ פון רעקאָרדס

א גוט קאָנטראָל באשרייבט ווי רעקאָרדס זענען פּראָטעקטעד פון אָנווער, צעשטערונג, פאַלסאַפאַקיישאַן, אַנאָטערייזד אַקסעס און אַנאָטערייזד מעלדונג, אין לויט מיט די לעגיסלאַטאָרי, רעגולאַטאָרי, קאַנטראַקטשואַל און געשעפט רעקווירעמענץ.

פאַרשידענע טייפּס פון רעקאָרד וועט מסתּמא דאַרפן פאַרשידענע לעוועלס און מעטהאָדס פון שוץ. עס איז קריטיש אַז רעקאָרדס זענען אַדאַקוואַטלי און פּראַפּאָרשאַנאַליטי פּראָטעקטעד קעגן אָנווער, צעשטערונג, פאַלסאַפאַקיישאַן, אַנאָטערייזד אַקסעס אָדער מעלדונג. דער שוץ פון רעקאָרדס מוזן נאָכקומען מיט קיין באַטייַטיק געסעצ - געבונג, רעגולירן אָדער קאַנטראַקטשואַל אַבלאַגיישאַנז. עס איז ספּעציעל וויכטיק צו פֿאַרשטיין ווי לאַנג רעקאָרדס מוזן, זאָל אָדער קען זיין געהאלטן פֿאַר און וואָס טעכניש אָדער פיזיש ישוז קען ווירקן די איבער צייַט - מיט אין זינען אַז עטלעכע געסעצ - געבונג קען טראַמפּ אנדערע פֿאַר ריטענשאַן און שוץ. דער אָדיטאָר וועט קאָנטראָלירן צו זען אַז קאַנסידעריישאַנז פֿאַר שוץ פון רעקאָרדס זענען געמאכט באזירט אויף געשעפט רעקווירעמענץ, לעגאַל, רעגולאַטאָרי און קאַנטראַקטשואַל אַבלאַגיישאַנז.

א.18.1.4 פּריוואַטקייט & שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע

א גוט קאָנטראָל באשרייבט ווי פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע איז אַשורד פֿאַר באַטייַטיק געסעצ - געבונג און רעגולירן. קיין אינפֿאָרמאַציע כאַנדאַלד וואָס כּולל פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII) איז מסתּמא צו זיין אונטערטעניק צו די אַבלאַגיישאַנז פון געסעצ - געבונג און רעגולירן. PII איז ספּעציעל מסתּמא צו האָבן הויך רעקווירעמענץ פֿאַר קאַנפאַדענשיאַלאַטי און אָרנטלעכקייַט, און אין עטלעכע קאַסעס אויך אַוויילאַבילאַטי (למשל געזונט אינפֿאָרמאַציע, פינאַנציעל אינפֿאָרמאַציע). אונטער עטלעכע געסעצ - געבונג (למשל די GDPR) עטלעכע טייפּס פון PII זענען דיפיינד ווי אַדישנאַלי "שפּירעוודיק" און דאַרפן ווייַטער קאָנטראָלס צו ענשור העסקעם.

עס איז וויכטיק אַז וויסיקייַט קאַמפּיינז זענען געניצט מיט שטעקן און סטייקכאָולדערז צו ענשור אַ ריפּיטיד פארשטאנד פון יחיד פֿאַראַנטוואָרטלעכקייט פֿאַר פּראַטעקטינג PII און פּריוואַטקייט. דער אָדיטאָר וועט קוקן צו זען ווי PII איז כאַנדאַלד, אויב די צונעמען קאָנטראָלס זענען ימפּלאַמענאַד, זענען זיי מאָניטאָרעד, ריוויוד און אויב נייטיק ימפּרוווד. זיי וועלן אויך זוכן צו קאָנטראָלירן אַז האַנדלינג רעקווירעמענץ זענען באגעגנט, און אַודיטעד פּאַסיק. עס זענען אויך נאָך ריספּאַנסאַבילאַטיז, למשל GDPR וועט דערוואַרטן אַ רעגולער קאָנטראָלירן פֿאַר געביטן ווו פערזענלעכע דאַטן זענען אין ריזיקירן. סמאַרט אָרגאַנאַזיישאַנז וועלן בינדן די אַדאַץ צוזאַמען מיט זייער ISO 27001 אַדאַץ און ויסמיידן דופּליקיישאַן אָדער גאַפּס.

א.18.1.5 רעגולירן פון קריפּטאָגראַפיק קאָנטראָלס

א גוט קאָנטראָל באשרייבט ווי קריפּטאָגראַפיק קאָנטראָלס זענען געניצט אין העסקעם מיט אַלע באַטייַטיק אַגרימאַנץ, געסעצ - געבונג און רעגיאַליישאַנז. די נוצן פון קריפּטאָגראַפיק טעקנאַלאַדזשיז איז אונטערטעניק צו געסעצ - געבונג און רעגולירן אין פילע טעראַטאָריז און עס איז וויכטיק אַז אַן אָרגאַניזאַציע פארשטייט די אָנווענדלעך און ימפּלאַמאַנץ קאָנטראָלס און וויסיקייַט מגילה וואָס ענשור העסקעם מיט אַזאַ רעקווירעמענץ. דאָס איז ספּעציעל אמת ווען קריפּטאָגראַפי איז טראַנספּאָרטאַד אָדער געניצט אין טעראַטאָריז אנדערע ווי די אָרגאַניזאַציע אָדער באַניצער ס נאָרמאַל וווינאָרט אָדער אָפּעראַציע. טראַנס-גרענעץ אַרייַנפיר / עקספּאָרט געזעצן קען אַרייַננעמען רעקווירעמענץ רילייטינג צו קריפּטאָגראַפיק טעקנאַלאַדזשיז אָדער באַניץ. דער אָדיטאָר וועט קוקן צו זען אַז קאַנסידעריישאַנז פֿאַר די צונעמען רעגולירן פון קריפּטאָגראַפיק קאָנטראָלס זענען געמאכט און באַטייַטיק קאָנטראָלס און וויסיקייַט מגילה ימפּלאַמענאַד צו ענשור העסקעם.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.18.2?

אַנעקס A.18.2 איז וועגן אינפֿאָרמאַציע זיכערהייט באריכטן. די אָביעקטיוו אין דעם אַנעקס איז צו ענשור אַז אינפֿאָרמאַציע זיכערהייט איז ימפּלאַמענאַד און אַפּערייטאַד אין לויט מיט די אָרגאַנאַזיישאַנאַל פּאַלאַסיז און פּראָוסידזשערז.

א.18.2.1 אומאפהענגיק איבערבליק פון אינפארמאציע זיכערהייט

א גוט קאָנטראָל באשרייבט די אָרגאַניזאַציע ס צוגאַנג צו אָנפירונג אינפֿאָרמאַציע זיכערהייט און זייַן ימפּלאַמענטיישאַן (ד"ה קאָנטראָל אַבדזשעקטיווז, קאָנטראָלס, פּאַלאַסיז, ​​פּראַסעסאַז און פּראָוסידזשערז פֿאַר אינפֿאָרמאַציע זיכערהייט) איז ריוויוד ינדיפּענדאַנטלי אין פּלאַננעד ינטערוואַלז אָדער ווען באַטייַטיק ענדערונגען פּאַסירן.

עס איז גוט צו באַקומען אַן אומאָפּהענגיק רעצענזיע פון ​​זיכערהייט ריסקס און קאָנטראָלס צו ענשור ימפּאַרשאַלאַטי און אַבדזשעקטיוויטי און נוץ פון פריש אויגן. דאָס מיינט נישט אַז עס דאַרף זיין פונדרויסנדיק, נאָר נוץ פון אן אנדער קאָלעגע ריוויוינג פּאַלאַסיז אין אַדישאַן צו די הויפּט מחבר / אַדמיניסטראַטאָר. די באריכטן זאָל זיין דורכגעקאָכט אין פּלאַננעד, רעגולער ינטערוואַלז און ווען קיין באַטייַטיק, זיכערהייט באַטייַטיק ענדערונגען פּאַסירן - ISO ינטערפּראַץ רעגולער צו זיין בייַ מינדסטער אַניואַלי.

דער אָדיטאָר וועט קוקן פֿאַר רעגולער אומאָפּהענגיק זיכערהייט אָפּשאַצונג און אָפּשאַצונג ווען באַטייטיק ענדערונגען פּאַסירן, ווי אויך נעמען בטחון אַז עס איז אַ פּלאַן פֿאַר רעגולער באריכטן. זיי וועלן אויך דאַרפן זאָגן אַז באריכטן זענען דורכגעקאָכט און קיין ישוז אָדער ימפּרווומאַנץ יידענאַפייד אין די באריכטן זענען אַפּראָופּרייטלי געראטן.

א.18.2.2 העסקעם מיט זיכערהייט פּאָליטיק און סטאַנדאַרדס

ISMS מאַנאַדזשערז זאָל קעסיידער אָפּשאַצן די העסקעם פון אינפֿאָרמאַציע פּראַסעסינג און פּראָוסידזשערז אין זייער פֿאַראַנטוואָרטלעכקייט. פּאַלאַסיז זענען בלויז עפעקטיוו אויב זיי זענען ענפאָרסט און די העסקעם איז טעסטעד און ריוויוד אויף אַ רעגולער פּעריאָדיש יקער. עס איז יוזשאַוואַלי די פֿאַראַנטוואָרטלעכקייט פון די שורה פאַרוואַלטונג צו ענשור אַז זייער סאַבאָרדאַנייט שטעקן נאָכקומען מיט אָרגאַנאַזיישאַנאַל פּאַלאַסיז און קאָנטראָלס, אָבער דאָס זאָל זיין קאַמפּלאַמענטיד דורך טיילמאָליק פרייַ אָפּשאַצונג און קאָנטראָלירן. ווען ניט-העסקעם איז יידענאַפייד, עס זאָל זיין לאָגד און געראטן, ידענטיפיצירן וואָס עס איז פארגעקומען, ווי אָפט עס איז געשעעניש און די נויט פֿאַר פֿאַרבעסערונג אַקשאַנז אָדער רילייטינג צו די קאָנטראָל אָדער צו די וויסיקייַט, בילדונג אָדער טריינינג פון די באַניצער ניט-העסקעם.

דער אַודיטאָר וועט קוקן צו זען אַז ביידע; פּראָאַקטיווע פּרעווענטאַטיוו פּאַלאַסיז, ​​​​קאָנטראָלס און וויסיקייַט מגילה זענען אין פּלאַץ, ימפּלאַמענאַד און עפעקטיוו; און רעאַקטיווע העסקעם מאָניטאָרינג, אָפּשאַצונג און קאָנטראָלירן זענען אויך אין פּלאַץ. זיי וועלן אויך זוכן צו זען אַז עס איז זאָגן פון ווי ימפּרווומאַנץ זענען געמאכט איבער צייַט צו ענשור אַ פֿאַרבעסערונג אין העסקעם לעוועלס אָדער וישאַלט אויב העסקעם איז שוין ביי 100%. דאָס איז אויך אַרייַנגערעכנט אין די הויפּט רעקווירעמענץ פון ISO 27001 פֿאַר 9 און 10 וועגן ינערלעך אַדאַץ, פאַרוואַלטונג באריכטן, ימפּרווומאַנץ און ניט-קאַנפאָרמאַטיז. שטעקן וויסיקייַט און באַשטעלונג אין לויט מיט א 7.2.2 איז אויך וויכטיק צו בינדן אין דעם טייל פֿאַר העסקעם בטחון.

א.18.2.3 טעכנישע קאָמפּליאַנסע איבערבליק

אינפֿאָרמאַציע סיסטעמען זאָל זיין ריוויוד קעסיידער פֿאַר העסקעם מיט די אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז און סטאַנדאַרדס פון דער אָרגאַניזאַציע. אָטאַמייטיד מכשירים זענען נאָרמאַלי געניצט צו קאָנטראָלירן סיסטעמען און נעטוואָרקס פֿאַר טעכניש העסקעם און די זאָל זיין יידענאַפייד און ימפּלאַמענאַד ווי צונעמען. ווען מכשירים אַזאַ ווי די זענען געניצט, עס איז נייטיק צו באַגרענעצן זייער נוצן צו אַ ביסל אָטערייזד פּערסאַנעל ווי מעגלעך און קערפאַלי קאָנטראָלירן און קאָואָרדאַנאַט ווען זיי זענען געניצט צו פאַרמייַדן קאַמפּראַמייזיז פון סיסטעם אַוויילאַבילאַטי און אָרנטלעכקייַט. די צונעמען לעוועלס פון העסקעם טעסטינג וועט זיין אָפענגיק אויף געשעפט רעקווירעמענץ און ריזיקירן לעוועלס, און דער אָדיטאָר וועט דערוואַרטן צו זען זאָגן פון די קאַנסידעריישאַנז. זיי וועלן אויך דערוואַרטן צו קענען דורכקוקן טעסטינג סקעדזשולז און רעקאָרדס.

ווי קען ISMS.online העלפֿן מיט קאָמפּליאַנסע?

ISMS.online מאכט פיל פון די העסקעם זייַט פון אינפֿאָרמאַציע זיכערהייט פיל גרינגער. די געבויט-אין האַסקאָמע פּראַסעסאַז און אָטאַמייטיד רימיינדערז פֿאַר באריכטן מאַכן לעבן פיל גרינגער און פאָרשלאָגן אַ 'לעבעדיק פּלאַן' צו ווייַזן אַדאַטערז אַז איר זענט אין קאָנטראָל פון די ISMS. די פאַר-פּאַפּיאַלייטיד אָנווענדלעך געסעצ - געבונג ריזיקירן געצייַג ינקלודז פילע פּראָסט געביטן פון געסעצ - געבונג און רעגולירן וואָס זענען אָפט אָוווערלוקט און מאַכן די גאנצע געגנט פון פאַרוואַלטונג גרינגער. אינערלעכער און פונדרויסנדיק אַדאַץ, קערעקטיוו אַקשאַנז, ימפּרווומאַנץ און ניט-קאַנפאָרמאַטיז זענען אַלע לייכט געראטן מיט די פאַר-געבויט מכשירים און פֿעיִקייטן. מענטשנרעכט ריסאָרס העסקעם, צי שטעקן, סאַפּלייערז אָדער אנדערע איז לייכט דעמאַנסטרייטיד מיט די פּאָליטיק פּאַק געצייַג. ISMS.online פּאַרטנערס אויך פאָרשלאָגן מומכע פרייַ געזונט טשעקס און קאָנטראָלירן שטיצן ארבעטן ין דיין פּלאַטפאָרמע אויב פארלאנגט.