ISO 27001:2022 אַנעקס א קאָנטראָל 5.19 איז וועגן אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציונגען. די אָביעקטיוו דאָ איז שוץ פון די ווערטפול אַסעץ פון דער אָרגאַניזאַציע וואָס זענען צוטריטלעך צו אָדער אַפעקטאַד דורך סאַפּלייערז.
מיר אויך רעקאָמענדירן אַז איר אויך באַטראַכטן אנדערע שליסל באציונגען דאָ אויך, למשל פּאַרטנערס אויב זיי זענען נישט סאַפּלייערז אָבער אויך האָבן אַ פּראַל אויף דיין אַסעץ וואָס קען נישט פשוט זיין באדעקט דורך אַ קאָנטראַקט אַליין.
דאָס איז אַ וויכטיק טייל פון די יו אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן. לאָמיר פֿאַרשטיין די רעקווירעמענץ און וואָס זיי מיינען אין אַ ביסל מער טיף איצט.
סופּפּליערס זענען געניצט פֿאַר צוויי הויפּט סיבות; איינער: איר ווילן זיי צו טאָן אַרבעט וואָס איר האָט אויסדערוויילט נישט צו טאָן ינערלעך זיך, אָדער; צוויי: איר קענען נישט לייכט טאָן די אַרבעט ווי געזונט אָדער ווי קאָס יפעקטיוולי ווי די סאַפּלייערז.
עס זענען פילע וויכטיק טינגז צו באַטראַכטן אין צוגאַנג צו סאַפּלייער סעלעקציע און פאַרוואַלטונג, אָבער איין גרייס טוט נישט פּאַסיק אַלע און עטלעכע סאַפּלייערז וועט זיין מער וויכטיק ווי אנדערע. ווי אַזאַ דיין קאָנטראָלס און פּאַלאַסיז זאָל אויך פאַרטראַכטנ זיך און אַ סעגמאַנטיישאַן פון די צושטעלן קייט איז פיליק; מיר שטיצן פיר קאַטעגאָריעס פון סאַפּלייער באזירט אויף די ווערט און ריזיקירן אין די שייכות. די קייט פון יענע וואָס זענען געשעפט קריטיש צו אנדערע ווענדאָרס וואָס האָבן קיין מאַטעריאַל פּראַל אויף דיין אָרגאַניזאַציע.
ISO 27001:2002 אַנעקס א קאָנטראָל 5.19 קאַנסערנז זיך מיט אַן אָרגאַניזאַציע ס פליכט צו ענשור אַז ווען ניצן סאַפּלייער-זייַט פּראָדוקטן און באַדינונגס (אַרייַנגערעכנט וואָלקן סערוויס פּראַוויידערז), גענוג באַטראַכטונג איז געגעבן צו די מדרגה פון ריזיקירן טאָכיק אין ניצן פונדרויסנדיק סיסטעמען, און קאָנסעקווענשאַל פּראַל וואָס קען האָבן אויף זייער אייגענע אינפֿאָרמאַציע זיכערהייט אַדכיראַנס.
א גוט פּאָליטיק באשרייבט די סאַפּלייער סעגמאַנטיישאַן, סעלעקציע, פאַרוואַלטונג, אַרויסגאַנג, ווי אינפֿאָרמאַציע אַסעץ אַרום סאַפּלייערז זענען קאַנטראָולד אין סדר צו פאַרמינערן די פֿאַרבונדן ריסקס, אָבער נאָך געבן די געשעפט גאָולז און אַבדזשעקטיווז צו זיין אַטשיווד. סמאַרט אָרגאַניזאַציעס וועלן ייַנוויקלען זייער אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייערז אין אַ ברייטערער שייכות פריימווערק און ויסמיידן בלויז קאַנסאַנטריישאַן אויף זיכערהייט פּער סיי, קוק אויך צו די אנדערע אַספּעקץ.
אַנעקס א קאָנטראָל 5.19 איז אַ פאַרהיטנדיק קאָנטראָל וואָס מאַדאַפייז ריזיקירן דורך מיינטיינינג פּראָוסידזשערז וואָס אַדרעס טאָכיק זיכערהייט ריסקס פֿאַרבונדן מיט די נוצן פון פּראָדוקטן און באַדינונגס צוגעשטעלט דורך דריט פּאַרטיעס.
בשעת קאָנטראָל יסאָ קסנומקס אַנעקס א 5.19 כּולל אַ פּלאַץ פון גיידאַנס וועגן די נוצן פון יקט באַדינונגס, די ברייטערער פאַרנעם פון די קאָנטראָל ינקלודז פילע אנדערע אַספּעקץ פון די שייכות פון אַן אָרגאַניזאַציע מיט זיין סאַפּלייער באַזע, אַרייַנגערעכנט סאַפּלייער טייפּס, לאַדזשיסטיקס, יוטילאַטיז, פינאַנציעל באַדינונגס און ינפראַסטראַקטשער קאַמפּאָונאַנץ).
ווי אַזאַ, אָונערשיפּ פון אַנעקס א קאָנטראָל 5.19 זאָל זיין רעסטיד מיט אַ מיטגליד פון עלטער פאַרוואַלטונג וואָס אָוווערסיז אַן אָרגאַניזאַציע ס געשעפט אָפּעראַציע, און מיינטיינז אַ דירעקט שייכות מיט אַן אָרגאַניזאַציע ס סאַפּלייערז, אַזאַ ווי אַ אָרגאַניזאַציע. הויפּט אָפּערייטינג אָפיסער.
העסקעם מיט אַנעקס א קאָנטראָל 5.19 ינוואַלווז אַדכירינג צו וואָס איז באַוווסט ווי אַ 'טעמע-ספּעציפיש' צוגאַנג צו אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציונגען.
אַן אָרגאַניזאַציע קען וועלן צו סאַפּלייערז צו אַקסעס און ביישטייערן צו זיכער אינפֿאָרמאַציע אַסעץ מיט הויך ווערט (למשל ווייכווארג קאָד אַנטוויקלונג, אַקאַונטינג פּייראָול אינפֿאָרמאַציע). זיי וואָלט דעריבער דאַרפֿן צו האָבן קלאָר אַגרימאַנץ פון פּונקט וואָס אַקסעס זיי לאָזן זיי, אַזוי זיי קענען קאָנטראָלירן די זיכערהייט אַרום אים.
דאָס איז ספּעציעל וויכטיק ווען מער און מער אינפֿאָרמאַציע פאַרוואַלטונג, פּראַסעסינג און טעכנאָלאָגיע באַדינונגס זענען אַוצאָרסט. אַז מיטל אַ פּלאַץ צו ווייַזן פאַרוואַלטונג פון די שייכות איז געשעעניש; קאַנטראַקץ, קאָנטאַקטן, ינסאַדאַנץ, שייכות טעטיקייט און risk management אאז"ו ו ווען דער סאַפּלייער איז אויך ינטאַמאַטלי ינוואַלווד אין דער אָרגאַניזאַציע, אָבער קען נישט האָבן זיין אייגענע סערטאַפייד יסמס, און צו ענשור אַז די סאַפּלייער שטעקן זענען געבילדעט און אַווער פון זיכערהייט, טריינד אויף דיין פּאַלאַסיז עטק איז אויך ווערט דעמאַנסטרייטינג העסקעם אַרום.
טעמע-ספּעציפיש אַפּראָוטשיז מוטיקן אָרגאַנאַזיישאַנז צו שאַפֿן סאַפּלייער-פֿאַרבונדענע פּאַלאַסיז וואָס זענען טיילערד צו יחיד געשעפט פאַנגקשאַנז, אלא ווי אַדכירינג צו אַ פאַרדעקן סאַפּלייער פאַרוואַלטונג פּאָליטיק וואָס אַפּלייז צו קיין און אַלע דריט-פּאַרטיי באציונגען איבער אַן אָרגאַניזאַציע ס געשעפט אָפּעראַציע.
עס איז וויכטיק צו טאָן אַז ISO 27001 אַנעקס א קאָנטראָל 5.19 בעט די אָרגאַניזאַציע צו ינסטרומענט פּאַלאַסיז און פּראָוסידזשערז וואָס ניט בלויז רעגירן די אָרגאַניזאַציע 'ס נוצן פון סאַפּלייער רעסורסן און וואָלקן פּלאַטפאָרמס, אָבער אויך פאָרעם די יקער פון ווי זיי דערוואַרטן זייער סאַפּלייערז צו פירן זיך איידער און איבער די טערמין פון די געשעפט שייכות.
ווי אַזאַ, אַנעקס א קאָנטראָל 5.19 קענען זיין וויוד ווי די יקערדיק קוואַלאַפייינג דאָקומענט וואָס דיקטייץ ווי אינפֿאָרמאַציע זיכערהייט גאַווערנאַנס איז כאַנדאַלד אין די לויף פון אַ סאַפּלייער קאָנטראַקט.
ISO 27001 אַנעקס א קאָנטראָל 5.19 כּולל 14 הויפּט גיידאַנס פונקטן צו זיין אַדכירד צו:
1) האַלטן אַ פּינטלעך רעקאָרד פון סאַפּלייער טייפּס (למשל פינאַנציעל באַדינונגס, יקט ייַזנוואַרג, טעלעפאָן) וואָס האָבן די פּאָטענציעל צו ווירקן אינפֿאָרמאַציע זיכערהייט אָרנטלעכקייַט.
העסקעם - פּלאַן אַ רשימה פון אַלע סאַפּלייערז מיט וואָס דיין אָרגאַניזאַציע אַרבעט, קאַטאַגערייז זיי לויט זייער געשעפט פונקציע און לייגן קאַטעגאָריעס צו די סאַפּלייער טייפּס ווי און ווען פארלאנגט.
2) פֿאַרשטיין ווי צו וועטערינאַר סאַפּלייערז, באזירט אויף די מדרגה פון ריזיקירן טאָכיק פֿאַר זייער סאַפּלייער טיפּ.
העסקעם - פאַרשידענע טייפּס פון סאַפּלייער וועט דאַרפן פאַרשידענע רעכט דיליץ טשעקס. באַטראַכטן ניצן וואַטינג מעטהאָדס אויף אַ סאַפּלייער-ביי-סאַפּלייער יקער (למשל ינדאַסטרי באַווייַזן, פינאַנציעל סטייטמאַנץ, אַסעסמאַנץ אויף פּלאַץ, סעקטאָר-ספּעציפיש סערטאַפאַקיישאַנז אַזאַ ווי מיקראָסאָפט פּאַרטנערשיפּס).
3) ידענטיפיצירן סאַפּלייערז וואָס האָבן פאַר - יגזיסטינג אינפֿאָרמאַציע זיכערהייט קאָנטראָלס.
העסקעם - בעטן צו זען קאפיעס פון סאַפּלייערז 'באַטייַטיק אינפֿאָרמאַציע זיכערהייט גאַווערנאַנס פּראָוסידזשערז, אין סדר צו אָפּשאַצן די ריזיקירן פֿאַר דיין אייגענע אָרגאַניזאַציע. אויב זיי טאָן ניט האָבן קיין, דאָס איז נישט אַ גוט צייכן.
4) ידענטיפיצירן און דעפינירן די ספּעציפיש געביטן פון דיין אָרגאַניזאַציע 'ס ICT ינפראַסטראַקטשער וואָס דיין סאַפּלייערז קענען צו אַקסעס, מאָניטאָר אָדער נוצן זיך.
העסקעם - עס איז וויכטיק צו פעסטשטעלן פון די אָנהייב פּונקט ווי דיין סאַפּלייערז וועלן ינטעראַקט מיט דיין יקט אַסעץ - זיין פיזיש אָדער ווירטואַל - און וואָס לעוועלס פון אַקסעס זיי זענען געגעבן אין לויט מיט זייער קאַנטראַקטשואַל אַבלאַגיישאַנז.
5) דעפינירן ווי די סאַפּלייערז 'אייגן יקט ינפראַסטראַקטשער קענען פּראַל אויף דיין אייגענע דאַטן און די פון דיין קאַסטאַמערז.
העסקעם - דער ערשטער פליכט פון אַן אָרגאַניזאַציע איז צו זיין אייגענע גאַנג פון אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס. סאַפּלייער יקט אַסעץ דאַרפֿן צו זיין ריוויוד אין לויט מיט זייער פּאָטענציעל צו ווירקן די צייט און אָרנטלעכקייַט אין דיין אָרגאַניזאַציע.
6) ידענטיפיצירן און פירן די פאַרשידן אינפֿאָרמאַציע זיכערהייט ריסקס אַטאַטשט צו:
א. סאַפּלייער נוצן פון קאַנפאַדענשאַל אינפֿאָרמאַציע אָדער פּראָטעקטעד אַסעץ (למשל לימיטעד צו בייזע נוצן און / אָדער פאַרברעכער קאַוואָנע).
ב. פאָלטי סאַפּלייער ייַזנוואַרג אָדער מאַלפאַנגקשאַנינג ווייכווארג פּלאַטפאָרמע פֿאַרבונדן מיט אויף-האַנאָכע אָדער וואָלקן באזירט באַדינונגס.
העסקעם - אָרגאַנאַזיישאַנז דאַרפֿן צו שטענדיק זיין מיינדפאַל פון די אינפֿאָרמאַציע זיכערהייט ריסקס פֿאַרבונדן מיט קאַטאַסטראָפיק געשעענישן, אַזאַ ווי נעפעריש סאַפּלייער-זייַט באַניצער טעטיקייט אָדער הויפּט אַנפאָרסין ווייכווארג ינסאַדאַנץ, און זייער פּראַל אויף אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע זיכערהייט.
7) מאָניטאָר אינפֿאָרמאַציע זיכערהייט העסקעם אויף אַ טעמע ספּעציפיש אָדער סאַפּלייער טיפּ יקער.
העסקעם – די נויט פון די אָרגאַניזאַציע צו אָפּשאַצן די אינפֿאָרמאַציע זיכערהייט ימפּלאַקיישאַנז טאָכיק אין יעדער סאַפּלייער טיפּ, און סטרויערן זייער מאָניטאָרינג אַקטיוויטעטן צו אַקאַמאַדייט וועריינג לעוועלס פון ריזיקירן.
8) באַגרענעצן די סומע פון שעדיקן און / אָדער דיסראַפּשאַן געפֿירט דורך ניט-העסקעם.
העסקעם - סאַפּלייער אַקטיוויטעטן זאָל זיין מאָניטאָרעד אין אַ צונעמען שטייגער און אין וועריינג גראַדעס אין לויט מיט זיין ריזיקירן מדרגה. ווען ניט-העסקעם איז דיסקאַווערד, אָדער פּראָואַקטיוולי אָדער רי-אַקטיוולי, גלייך קאַמף זאָל זיין גענומען.
9) האַלטן אַ שטאַרק incident management פּראָצעדור וואָס אַדרעסז אַ גלייַך סומע פון קאַנטינדזשאַנסיז.
העסקעם - אָרגאַנאַזיישאַנז זאָל פֿאַרשטיין פּונקט ווי צו רעאַגירן ווען זיי זענען פייסט מיט אַ ברייט קייט פון געשעענישן רילייטינג צו די צושטעלן פון דריט-פּאַרטיי פּראָדוקטן און באַדינונגס, און ויסשליסן רימידיאַל אַקשאַנז וואָס אַרייַננעמען ביידע די סאַפּלייער און די אָרגאַניזאַציע.
10) אָנפירן מיטלען וואָס באַזאָרגן צו די אַוויילאַבילאַטי און פּראַסעסינג פון די סאַפּלייער ס אינפֿאָרמאַציע, ווו נאָר עס איז געניצט, און דערמיט ינשורינג די אָרנטלעכקייַט פון די אָרגאַניזאַציע 'ס אייגענע אינפֿאָרמאַציע.
העסקעם - סטעפּס זאָל זיין גענומען צו ענשור אַז סאַפּלייער סיסטעמען און דאַטן זענען כאַנדאַלד אויף אַ וועג וואָס קען נישט קאָמפּראָמיס אויף די אַוויילאַבילאַטי און זיכערהייט פון די אייגענע סיסטעמען און אינפֿאָרמאַציע פון דער אָרגאַניזאַציע.
11) פּלאַן אַ גרונטיק טריינינג פּלאַן וואָס אָפפערס גיידאַנס וועגן ווי שטעקן זאָל ינטעראַקט מיט סאַפּלייער פּערסאַנעל און אינפֿאָרמאַציע אויף אַ סאַפּלייער-ביי-סאַפּלייער יקער, אָדער אויף אַ טיפּ-ביי-טיפּ יקער.
העסקעם - טראַינינג זאָל דעקן די פול ספּעקטרום פון גאַווערנאַנס צווישן אַן אָרגאַניזאַציע און זייַן סאַפּלייערז, אַרייַנגערעכנט באַשטעלונג, גראַניאַלער ריזיקירן פאַרוואַלטונג קאָנטראָלס און טעמע-ספּעציפיש פּראָוסידזשערז.
12) פֿאַרשטיין און פירן די מדרגה פון ריזיקירן טאָכיק ווען טראַנספערינג אינפֿאָרמאַציע און גשמיות און ווירטואַל אַסעץ צווישן די אָרגאַניזאַציע און זייער סאַפּלייערז.
העסקעם - אָרגאַנאַזיישאַנז זאָל ויסמעקן יעדער בינע פון די אַריבערפירן פּראָצעס און דערציען שטעקן וועגן די ריסקס פֿאַרבונדן מיט מאָווינג אַסעץ און אינפֿאָרמאַציע פון איין מקור צו אנדערן.
13) ענשור אַז סאַפּלייער באַציונגען זענען טערמאַנייטיד מיט אינפֿאָרמאַציע זיכערהייט אין זינען, אַרייַנגערעכנט רימוווינג אַקסעס רעכט און די פיייקייט צו אַקסעס אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע.
העסקעם - דיין יקט טימז זאָל האָבן אַ קלאָר פארשטאנד פון ווי צו אָפּרופן אַ סאַפּלייער ס אַקסעס צו אינפֿאָרמאַציע, אַרייַנגערעכנט:
14) באַשרייַבן פּונקט ווי איר דערוואַרטן די סאַפּלייער צו פירן זיך וועגן גשמיות און ווירטואַל זיכערהייט מיטלען.
העסקעם - אָרגאַנאַזיישאַנז זאָל שטעלן קלאָר עקספּעקטיישאַנז פון די אָנהייב פון קיין געשעפט שייכות, וואָס ספּעציפיצירן ווי סאַפּלייער-זייַט פּערסאַנעל זענען געריכט צו פירן זיך ווען ינטעראַקטינג מיט דיין שטעקן אָדער קיין באַטייַטיק אַסעץ.
ISO אנערקענט אַז עס איז ניט שטענדיק מעגלעך צו אָנטאָן אַ פול גאַנג פון פּאַלאַסיז אויף אַ סאַפּלייער וואָס טרעפן יעדער פאָדערונג פון די אויבן רשימה ווי ISO 27001 אַנעקס א קאָנטראָל 5.19 בדעה, ספּעציעל ווען דילינג מיט שטרענג ציבור סעקטאָר אָרגאַנאַזיישאַנז.
אַז איז געזאָגט, אַנעקס א קאָנטראָל 5.19 קלאר דערקלערט אַז אָרגאַנאַזיישאַנז זאָל נוצן די אויבן גיידאַנס ווען פאָרמינג באַציונגען מיט סאַפּלייערז, און באַטראַכטן ניט-אַדהעראַנס אויף אַ פאַל-ביי-פאַל יקער.
ווען פול העסקעם איז ניט ריטשאַבאַל, אַנעקס א קאָנטראָל 5.19 גיט אָרגאַנאַזיישאַנז אַ פּלאַץ דורך רעקאַמענדינג "קאָמפּענסאַטינג קאָנטראָלס" וואָס דערגרייכן טויגן לעוועלס פון ריזיקירן פאַרוואַלטונג, באזירט אויף אַן אָרגאַניזאַציע ס יינציק צושטאנדן.
ISO 27001:2022 אַנעקס א 5.19 ריפּלייסיז ISO 27001:2013 אַנעקס א 15.1.1 (אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייער באַציונגען).
ISO 27001:2022 אַנעקס א 5.19 אַדכירז ברייט צו די זעלבע אַנדערלייינג קאַנסעפּס קאַנטיינד אין די 2013 קאָנטראָל, אָבער כּולל עטלעכע נאָך גיידאַנס געביטן וואָס זענען איבערגעהיפּערט פֿון ISO 27001:2013 אַנעקס א 5.1.1, אָדער אין מינדסטער נישט באדעקט אין ווי פיל דעטאַל, אַרייַנגערעכנט:
ISO 27001:2022 אַנעקס א 5.19 איז אויך יקספּליסאַט אין דערקענט די העכסט וועריאַבאַל נאַטור פון סאַפּלייער באַציונגען (באזירט אויף טיפּ, סעקטאָר און ריזיקירן מדרגה), און גיט אָרגאַנאַזיישאַנז אַ זיכער גראַד פון רו ווען קאַנסידערינג די מעגלעכקייט פון ניט-העסקעם פון קיין געגעבן גיידאַנס. פונט, באזירט אויף די נאַטור פון די שייכות (זען 'סופּפּלעמענטאַרי גיידאַנס' אויבן).
אין די טיש אונטן איר וועט געפֿינען מער אינפֿאָרמאַציע וועגן יעדער יחיד ISO 27001:2022 אַנעקס א קאָנטראָל.
| אַנעקס א קאָנטראָל טיפּ | ISO/IEC 27001:2022 אַנעקס א אידענטיפיאר | ISO/IEC 27001:2013 אַנעקס א אידענטיפיאר | אַנעקס א נאָמען |
|---|---|---|---|
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.1 | אַנעקס א 5.1.1 אַנעקס א 5.1.2 | פּאַלאַסיז פֿאַר אינפֿאָרמאַציע זיכערהייט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.2 | אַנעקס א 6.1.1 | אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.3 | אַנעקס א 6.1.2 | סעגרעגאַציע פון דוטיז |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.4 | אַנעקס א 7.2.1 | פאַרוואַלטונג ריספּאַנסאַבילאַטיז |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.5 | אַנעקס א 6.1.3 | קאָנטאַקט מיט אויטאריטעטן |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.6 | אַנעקס א 6.1.4 | קאָנטאַקט מיט ספּעציעלע אינטערעס גרופּעס |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.7 | נעוו | סאַקאָנע ינטעלליגענסע |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.8 | אַנעקס א 6.1.5 אַנעקס א 14.1.1 | אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.9 | אַנעקס א 8.1.1 אַנעקס א 8.1.2 | ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.10 | אַנעקס א 8.1.3 אַנעקס א 8.2.3 | אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.11 | אַנעקס א 8.1.4 | צוריקקער פון אַסעץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.12 | אַנעקס א 8.2.1 | קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.13 | אַנעקס א 8.2.2 | לייבלינג פון אינפֿאָרמאַציע |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.14 | אַנעקס א 13.2.1 אַנעקס א 13.2.2 אַנעקס א 13.2.3 | אינפֿאָרמאַציע אַריבערפירן |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.15 | אַנעקס א 9.1.1 אַנעקס א 9.1.2 | אַקסעס קאָנטראָל |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.16 | אַנעקס א 9.2.1 | אידענטיטעט פאַרוואַלטונג |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.17 | אַנעקס א 9.2.4 אַנעקס א 9.3.1 אַנעקס א 9.4.3 | אָטענטאַקיישאַן אינפֿאָרמאַציע |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.18 | אַנעקס א 9.2.2 אַנעקס א 9.2.5 אַנעקס א 9.2.6 | אַקסעס רעכט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.19 | אַנעקס א 15.1.1 | אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער רעלאַטיאָנשיפּס |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.20 | אַנעקס א 15.1.2 | אַדרעסינג אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער אַגרימאַנץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.21 | אַנעקס א 15.1.3 | אָנפירונג אינפֿאָרמאַציע זיכערהייט אין די יקט סופּפּלי קייט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.22 | אַנעקס א 15.2.1 אַנעקס א 15.2.2 | מאָניטאָרינג, איבערבליק און טוישן מאַנאַגעמענט פון סאַפּלייער באַדינונגס |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.23 | נעוו | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון קלאָוד באַדינונגס |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.24 | אַנעקס א 16.1.1 | אינפֿאָרמאַציע זיכערהייט ינסידענט מאַנאַגעמענט פּלאַנירונג און צוגרייטונג |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.25 | אַנעקס א 16.1.4 | אַססעססמענט און באַשלוס אויף אינפֿאָרמאַציע זיכערהייט געשעענישן |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.26 | אַנעקס א 16.1.5 | ענטפער צו אינפֿאָרמאַציע זיכערהייט ינסידענץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.27 | אַנעקס א 16.1.6 | לערנען פון אינפֿאָרמאַציע זיכערהייט ינסידענץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.28 | אַנעקס א 16.1.7 | זאַמלונג פון זאָגן |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.29 | אַנעקס א 17.1.1 אַנעקס א 17.1.2 אַנעקס א 17.1.3 | אינפֿאָרמאַציע זיכערהייט בעשאַס דיסראַפּשאַן |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.30 | נעוו | יקט גרייטקייַט פֿאַר געשעפט קאָנטינויטי |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.31 | אַנעקס א 18.1.1 אַנעקס א 18.1.5 | לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאָנטראַקטואַל רעקווירעמענץ |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.32 | אַנעקס א 18.1.2 | אינטעלעקטואַל פאַרמאָג הזכויות |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.33 | אַנעקס א 18.1.3 | שוץ פון רעקאָרדס |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.34 | אַנעקס א 18.1.4 | פּריוואַטקייט און שוץ פון PII |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.35 | אַנעקס א 18.2.1 | אומאָפּהענגיק איבערבליק פון אינפֿאָרמאַציע זיכערהייט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.36 | אַנעקס א 18.2.2 אַנעקס א 18.2.3 | העסקעם מיט פּאָליסיעס, כּללים און סטאַנדאַרדס פֿאַר אינפֿאָרמאַציע זיכערהייט |
| אָרגאַנאַזיישאַנאַל קאָנטראָלס | אַנעקס א 5.37 | אַנעקס א 12.1.1 | דאַקיומענטאַד אַפּערייטינג פּראָוסידזשערז |
| אַנעקס א קאָנטראָל טיפּ | ISO/IEC 27001:2022 אַנעקס א אידענטיפיאר | ISO/IEC 27001:2013 אַנעקס א אידענטיפיאר | אַנעקס א נאָמען |
|---|---|---|---|
| מענטשן קאָנטראָלס | אַנעקס א 6.1 | אַנעקס א 7.1.1 | זיפּונג |
| מענטשן קאָנטראָלס | אַנעקס א 6.2 | אַנעקס א 7.1.2 | תּנאָים און קאָנדיטיאָנס פון באַשעפטיקונג |
| מענטשן קאָנטראָלס | אַנעקס א 6.3 | אַנעקס א 7.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טראַינינג |
| מענטשן קאָנטראָלס | אַנעקס א 6.4 | אַנעקס א 7.2.3 | דיסציפּלינאַרי פּראָצעס |
| מענטשן קאָנטראָלס | אַנעקס א 6.5 | אַנעקס א 7.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
| מענטשן קאָנטראָלס | אַנעקס א 6.6 | אַנעקס א 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרעעמענץ |
| מענטשן קאָנטראָלס | אַנעקס א 6.7 | אַנעקס א 6.2.2 | ווייַט ארבעטן |
| מענטשן קאָנטראָלס | אַנעקס א 6.8 | אַנעקס א 16.1.2 אַנעקס א 16.1.3 | אינפֿאָרמאַציע סעקוריטי עווענט רעפּאָרטינג |
| אַנעקס א קאָנטראָל טיפּ | ISO/IEC 27001:2022 אַנעקס א אידענטיפיאר | ISO/IEC 27001:2013 אַנעקס א אידענטיפיאר | אַנעקס א נאָמען |
|---|---|---|---|
| גשמיות קאָנטראָלס | אַנעקס א 7.1 | אַנעקס א 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
| גשמיות קאָנטראָלס | אַנעקס א 7.2 | אַנעקס א 11.1.2 אַנעקס א 11.1.6 | פיזיש פּאָזיציע |
| גשמיות קאָנטראָלס | אַנעקס א 7.3 | אַנעקס א 11.1.3 | סיקיורינג אָפפיסעס, רומז און פאַסילאַטיז |
| גשמיות קאָנטראָלס | אַנעקס א 7.4 | נעוו | גשמיות זיכערהייַט מאָניטאָרינג |
| גשמיות קאָנטראָלס | אַנעקס א 7.5 | אַנעקס א 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
| גשמיות קאָנטראָלס | אַנעקס א 7.6 | אַנעקס א 11.1.5 | ארבעטן אין זיכער געביטן |
| גשמיות קאָנטראָלס | אַנעקס א 7.7 | אַנעקס א 11.2.9 | קלאָר דעסק און קלאָר סקרין |
| גשמיות קאָנטראָלס | אַנעקס א 7.8 | אַנעקס א 11.2.1 | עקוויפּמענט סיטינג און שוץ |
| גשמיות קאָנטראָלס | אַנעקס א 7.9 | אַנעקס א 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
| גשמיות קאָנטראָלס | אַנעקס א 7.10 | אַנעקס א 8.3.1 אַנעקס א 8.3.2 אַנעקס א 8.3.3 אַנעקס א 11.2.5 | סטאָרידזש מעדיע |
| גשמיות קאָנטראָלס | אַנעקס א 7.11 | אַנעקס א 11.2.2 | שטיצן Utilities |
| גשמיות קאָנטראָלס | אַנעקס א 7.12 | אַנעקס א 11.2.3 | קאַבלע זיכערהייַט |
| גשמיות קאָנטראָלס | אַנעקס א 7.13 | אַנעקס א 11.2.4 | עקוויפּמענט וישאַלט |
| גשמיות קאָנטראָלס | אַנעקס א 7.14 | אַנעקס א 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוץ פון ויסריכט |
| אַנעקס א קאָנטראָל טיפּ | ISO/IEC 27001:2022 אַנעקס א אידענטיפיאר | ISO/IEC 27001:2013 אַנעקס א אידענטיפיאר | אַנעקס א נאָמען |
|---|---|---|---|
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.1 | אַנעקס א 6.2.1 אַנעקס א 11.2.8 | באַניצער ענדפּוינט דעוויסעס |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.2 | אַנעקס א 9.2.3 | פּריווילעדזשד אַקסעס רעכט |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.3 | אַנעקס א 9.4.1 | אינפֿאָרמאַציע אַקסעס ריסטריקשאַן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.4 | אַנעקס א 9.4.5 | אַקסעס צו מקור קאָד |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.5 | אַנעקס א 9.4.2 | זיכער אָטענטאַקיישאַן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.6 | אַנעקס א 12.1.3 | קאַפּאַציטעט פאַרוואַלטונג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.7 | אַנעקס א 12.2.1 | שוץ קעגן מאַלוואַרע |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.8 | אַנעקס א 12.6.1 אַנעקס א 18.2.3 | פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.9 | נעוו | Configuration Management |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.10 | נעוו | אינפֿאָרמאַציע דילעשאַן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.11 | נעוו | דאַטאַ מאַסקינג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.12 | נעוו | דאַטאַ ליקאַדזש פּרעווענטיאָן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.13 | אַנעקס א 12.3.1 | אינפֿאָרמאַציע באַקקופּ |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.14 | אַנעקס א 17.2.1 | רעדאַנדאַנסי פון אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.15 | אַנעקס א 12.4.1 אַנעקס א 12.4.2 אַנעקס א 12.4.3 | לאָגגינג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.16 | נעוו | מאָניטאָרינג אַקטיוויטעטן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.17 | אַנעקס א 12.4.4 | זייגער סינטשראָניזאַטיאָן |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.18 | אַנעקס א 9.4.4 | נוצן פון פּריווילעדזשד וטיליטי מגילה |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.19 | אַנעקס א 12.5.1 אַנעקס א 12.6.2 | ייַנמאָנטירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.20 | אַנעקס א 13.1.1 | נעטוואָרקס זיכערהייַט |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.21 | אַנעקס א 13.1.2 | זיכערהייט פון נעטוואָרק באַדינונגס |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.22 | אַנעקס א 13.1.3 | סעגרעגאַציע פון נעטוואָרקס |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.23 | נעוו | וועב פֿילטרירונג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.24 | אַנעקס א 10.1.1 אַנעקס א 10.1.2 | ניצן קריפּטאָגראַפי |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.25 | אַנעקס א 14.2.1 | זיכער אַנטוויקלונג לעבן ציקל |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.26 | אַנעקס א 14.1.2 אַנעקס א 14.1.3 | אַפּפּליקאַטיאָן זיכערהייַט רעקווירעמענץ |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.27 | אַנעקס א 14.2.5 | זיכער סיסטעם אַרקאַטעקטשער און אינזשעניריע פּרינסאַפּאַלז |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.28 | נעוו | זיכער קאָדירונג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.29 | אַנעקס א 14.2.8 אַנעקס א 14.2.9 | זיכערהייט טעסטינג אין אַנטוויקלונג און אַקסעפּטאַנס |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.30 | אַנעקס א 14.2.7 | אַוצאָרסט אַנטוויקלונג |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.31 | אַנעקס א 12.1.4 אַנעקס א 14.2.6 | צעשיידונג פון אַנטוויקלונג, טעסט און פּראָדוקציע ינווייראַנמאַנץ |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.32 | אַנעקס א 12.1.2 אַנעקס א 14.2.2 אַנעקס א 14.2.3 אַנעקס א 14.2.4 | טוישן מאַנאַגעמענט |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.33 | אַנעקס א 14.3.1 | טעסט אינפֿאָרמאַציע |
| טעקנאַלאַדזשיקאַל קאָנטראָלס | אַנעקס א 8.34 | אַנעקס א 12.7.1 | שוץ פון אינפֿאָרמאַציע סיסטעמען בעשאַס קאָנטראָלירן טעסטינג |
ISMS.online האט געמאכט דעם קאָנטראָל אָביעקטיוו זייער גרינג דורך פּראַוויידינג זאָגן אַז דיין באציונגען זענען קערפאַלי עלעקטעד, געראטן געזונט אין לעבן, אַרייַנגערעכנט מאָניטאָרינג און ריוויוד. אונדזער גרינג-צו-נוצן אַקאַונץ באַציונגען (למשל סאַפּלייער) געגנט טוט פּונקט דאָס. די קאַלאַבערייטיוו פּראַדזשעקס אַרבעט ספּייסאַז איז גרויס פֿאַר וויכטיק סאַפּלייער אויף-באָרדינג, שלאָס ינישאַטיווז, אַוועק-באָרדינג עטק אַלע וואָס דער אָדיטאָר קענען אויך זען מיט יז ווען פארלאנגט.
ISMS.online האט אויך געמאכט דעם קאָנטראָל אָביעקטיוו גרינגער פֿאַר דיין אָרגאַניזאַציע דורך געבן איר צו צושטעלן זאָגן אַז דער סאַפּלייער האט פאָרמאַלי באגאנגען צו נאָכקומען מיט די רעקווירעמענץ און האט פארשטאנען זיין ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט דורך אונדזער פּאָליטיק פּאַקס. פּאָליטיק פּאַקס זענען ידעאַל ווו די אָרגאַניזאַציע האט ספּעציפיש פּאַלאַסיז און קאָנטראָלס עס וויל סאַפּלייער שטעקן צו נאָכפאָלגן און נעמען בטחון זיי האָבן לייענען זיי און באגאנגען צו נאָכקומען - ווייַטער פון די ברייטערער אַגרימאַנץ צווישן קונה און סאַפּלייער.
דעפּענדינג אויף די נאַטור פון די ענדערונג (ד"ה פֿאַר מער מאַטעריאַל ענדערונגען) עס קען זיין אַ ברייטערער פאָדערונג צו ייַנרייען מיט A.6.1.5 אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט.
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
