פּונקט 6.9.6, טעכניש וואַלנעראַביליטי מאַנאַגעמענט

ISO 27701 - פּונקט 6.9.6 - טעכניש וואַלנעראַביליטי מאַנאַגעמענט

ISO 27701 פּונקט 6.9.6 קאָווערס טעכניש וואַלנעראַביליטי מאַנאַגעמענט, עמפאַסייזינג די נויט פֿאַר אָרגאַנאַזיישאַנז צו האַלטן אַן דערהייַנטיקט ינוואַנטאָרי פון אַסעץ (6.9.6.1) און קאָנטראָלירן ווייכווארג ינסטאַליישאַנז צו פאַרמייַדן אַנאָטערייזד ריסקס (6.9.6.2). עס באמערקט קיין ספּעציפיש PIMS, PII אָדער UK GDPR ימפּלאַקיישאַנז.

פארשטאנד פון פּונקט 6.9.6: טעכניש וואַלנעראַביליטי מאַנאַגעמענט

טעכניש וואַלנעראַביליטיז וואָס האָבן די פּאָטענציעל צו פּראַל PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ זענען כּמעט אוממעגלעך צו גאָר יראַדאַקייט, ראַגאַרדלאַס פון בודזשעט, סטאַפפינג לעוועלס אָדער עקספּערטיז.

ווי אַזאַ, ISO ריקווייערז אָרגאַנאַזיישאַנז צו אַרבעטן מיט אַ געזונט גאַנג פון וואַלנעראַביליטי פאַרוואַלטונג קאָנטראָלס וואָס ביידע ידענטיפיצירן פּאָטענציעל טעכניש וואַלנעראַביליטיז, און צושטעלן קלאָר גיידאַנס אויף די רימידיאַל קאַמף פארלאנגט צו פאַרמינערן קיין געשעפט, אַפּעריישאַנאַל אָדער רעפּיאַטיישאַנאַל שעדיקן.

וואָס איז קאַווערד אין ISO 27701 פּונקט 6.9.6

ISO 27001 6.9.6 כּולל צוויי סאַב-קלאָזיז וואָס האַנדלען מיט די טעמע פון וואַלנעראַביליטי פאַרוואַלטונג, שפּאַלטן צווישן טעכניש פאַרוואַלטונג און ווי אָרגאַנאַזיישאַנז זאָל באַטראַכטן ווייכווארג ינסטאַליישאַנז:

ISO 27701 6.9.6.1 - פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז (יסאָ קסנומקס קאָנטראָל 8.8)
ISO 27701 6.9.6.2 - ריסטריקשאַן אויף ווייכווארג ינסטאַלירונג (ISO 27002 קאָנטראָל 8.19)

ניט קיין סאַב-קלאָז כּולל קיין PIMS אָדער PII-ספּעציפיש גיידאַנס, און עס זענען קיין וק GDPR ימפּלאַקיישאַנז צו באַטראַכטן.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.9.6.1 - פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז

רעפערענצן ISO 27002 קאָנטראָל 8.8

אָרגאַנאַזיישאַנז זאָל באַקומען אַ דערהייַנטיקט רשימה פון אַלע אַסעץ (זען קאָנטראָלס 5.9 און 5.14) וואָס זענען אָונד און אַפּערייטאַד דורך די אָרגאַניזאַציע, אַרייַנגערעכנט:

פאַרקויפער נאָמען.
אַפּפּליקאַטיאָן נאָמען.
ווערסיע נומערן.
ווו די ווייכווארג איז דיפּלויד.
ווער איז פאַראַנטוואָרטלעך פֿאַר די אָפּעראַציע פון די ווייכווארג.

ווען איר ידענטיפיצירן וואַלנעראַביליטיז וואָס האָבן די פּאָטענציעל צו פּראַל אויף PII און פּריוואַטקייט שוץ, אָרגאַנאַזיישאַנז זאָל:

אַוטליין די פּערסאַנעל פאַראַנטוואָרטלעך פֿאַר וואַלנעראַביליטי פאַרוואַלטונג, אַרייַנגערעכנט:

אַסעץ פאַרוואַלטונג.
ריזיקירן אַסעסמאַנט.
מאָניטאָרינג.
אַפּדייטינג.

האַלטן אַן דערהייַנטיקט ינוואַנטאָרי פון אַפּלאַקיישאַנז און רעסורסן וואָס וועט זיין גענוצט צו ידענטיפיצירן טעכניש וואַלנעראַביליטיז.
קאָנטאַקט סאַפּלייערז און ווענדאָרס און פרעגן זיי צו קלאר אָנווייַזן וואַלנעראַביליטיז ווען נייַע סיסטעמען און ייַזנוואַרג זענען סאַפּלייד (זען ISO 27002 קאָנטראָל 5.20).
ניצן וואַלנעראַביליטי סקאַנינג געצייַג און פּאַטטשינג פאַסילאַטיז.
דורכפירן פּעריאָדיש דורכדרונג טעסטינג.
אַנאַלייז דריט-פּאַרטיי קאָד לייברעריז און / אָדער מקור קאָד פֿאַר אַנדערלייינג וואַלנעראַביליטיז און / אָדער עקספּלויץ (זען ISO 27002 קאָנטראָל 8.28).

ציבור אַקטיוויטעטן

אָרגאַנאַזיישאַנז זאָל אַנטוויקלען פּאַלאַסיז און פּראָוסידזשערז (אַרייַנגערעכנט אָטאַמאַטיק דערהייַנטיקונגען) וואָס דעטעקט וואַלנעראַביליטיז איבער אַלע זייַן פּראָדוקטן און באַדינונגס, און באַקומען וואַלנעראַביליטי אַסעסמאַנץ מיט די צושטעלן פון די פּראָדוקטן און באַדינונגס.

ISO אַדווייזיז אָרגאַנאַזיישאַנז צו מאַכן אַ עפנטלעך מי צו שפּור אַלע וואַלנעראַביליטיז - אַרייַנגערעכנט די נוצן פון סטראַקטשערד ברייטהאַרציקייט מגילה - און נוצן גרופּעס און עפנטלעך פאָרשונג אַקטיוויטעטן צו כאַפּן וויסיקייַט פון פּאָטענציעל עקספּלויץ און זיכערהייט ישוז.

אויב נאָך אַ זיכערהייט אינצידענט, רימידיישאַנאַל קאַמף איז גענומען וואָס קען אין קיין וועג ווירקן קאַסטאַמערז (אָדער זייער מערקונג פון די דאַטן געהאלטן), אָרגאַנאַזיישאַנז זאָל באַטראַכטן זיך מיט סערטאַפייד זיכערהייט ספּעשאַלאַסץ צו פאַרשפּרייטן אינפֿאָרמאַציע וועגן באַפאַלן וועקטאָרס.

עוואַלואַטינג וואַלנעראַביליטיז

בעשאַס דעם פּראָצעס פון יוואַליוייטינג וואַלנעראַביליטיז, אָרגאַנאַזיישאַנז זאָל:

פונאַנדערקלייַבן קיין ריפּאָרץ און באַשליסן וואָס קאַמף דאַרף זיין גענומען, אַרייַנגערעכנט קיין דערהייַנטיקונגען אָדער די באַזייַטיקונג פון אַפעקטאַד סיסטעמען און / אָדער ייַזנוואַרג.
שטימען אויף אַ האַכלאָטע וואָס נעמט אין חשבון אנדערע ISO קאָנטראָלס.

קאָונטעראַקטינג ווייכווארג וואַלנעראַביליטיז

ווען אַדרעסינג וואַלנעראַביליטיז נאָך זיי זענען יידענאַפייד, אָרגאַנאַזיישאַנז זאָל:

סאָלווע אַלע וואַלנעראַביליטיז אין אַ בייַצייַטיק און עפעקטיוו שטייגער.
אַדכיר צו אָרגאַנאַזיישאַנאַל פּראָוסידזשערז פֿאַר ענדערונג פאַרוואַלטונג (זען ISO 27002 קאָנטראָל 8.32) און ינסידענט ענטפער (זען ISO 27002 קאָנטראָל 5.26), צו ענשור אַ מונדיר צוגאַנג.
באַגרענעצן דערהייַנטיקונגען און פּאַטשאַז צו די פֿון טראַסטיד קוואלן.
פּרובירן דערהייַנטיקונגען איידער ימפּלאַמענטיישאַן.
ידענטיפיצירן הויך ריזיקירן און געשעפט-קריטיש סיסטעמען ווי אַ בילכערקייַט, ווען פּלאַנירונג רימידיאַל אַקשאַנז.

אויב אַן דערהייַנטיקן איז נישט אָנקומענדיק און רימידיאַל קאַמף איז פּריווענטיד דורך פונדרויסנדיק סיבות, אָרגאַנאַזיישאַנז זאָל:

באַראַטנ זיך מיט ווענדאָרס אויף וואָרקאַראָונדס.
דיסייבאַל קיין אָדער אַלע אַפעקטאַד נעץ באַדינונגס.
ינסטרומענט נעץ זיכערהייט קאָנטראָלס, אַרייַנגערעכנט פאַרקער כּללים און אינהאַלט פֿילטרירונג.
פאַרגרעסערן די אָפטקייַט און געדויער פון מאָניטאָרינג השתדלות אויף אַפעקטאַד סיסטעמען.
פאַרשפּרייטן אינפֿאָרמאַציע וועגן די וואַלנעראַביליטי און ענשור אַז אַלע אַפעקטאַד פּאַרטיעס זענען ינפאָרמד - אַרייַנגערעכנט סאַפּלייערז און קאַסטאַמערז.

באַטייַטיק ISO 27002 קאָנטראָלס

ISO 27002 5.14
ISO 27002 5.20
ISO 27002 5.9
ISO 27002 8.20
ISO 27002 8.22
ISO 27002 8.28

סופּפּלעמענטאַרי גיידאַנס

אַ קאָנטראָלירן שטעג זאָל זיין געהאלטן פון אַלע באַטייַטיק וואַלנעראַביליטי פאַרוואַלטונג אַקטיוויטעטן, און די וואַלנעראַביליטי פאַרוואַלטונג פּראָצעס פון דער אָרגאַניזאַציע זאָל זיין באריכטן צו ענשור אַז עס איז פּאַסיק פֿאַר ציל און טרעפן די גראָוינג באדערפענישן פון דער אָרגאַניזאַציע.

ווען וואָלקן-באזירט ווייכווארג איז זארגן, די אָרגאַניזאַציע זאָל ענשור אַז די שטעלונג פון די סערוויס פּראַוויידערז צו וואַלנעראַביליטי פאַרוואַלטונג איז אַליינד מיט זיין אייגענע. אָרגאַנאַזיישאַנז זאָל זוכן צו באַקומען אַ געשריבן באַשטעטיקונג פון קיין ריספּאַנסאַבילאַטיז דורך אַ ביינדינג סערוויס העסקעם (זען ISO 27002 קאָנטראָל 5.32).

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.9.6.2 - ריסטריקשאַן אויף ווייכווארג ינסטאַלירונג

רעפערענצן ISO 27002 קאָנטראָל 8.19

אין סדר צו באַשיצן די אַוויילאַבילאַטי און אָרנטלעכקייַט פון PII, און פירן ענדערונגען, אָרגאַנאַזיישאַנז זאָל:

פאַרזיכערן אַז ווייכווארג דערהייַנטיקונגען זענען דורכגעקאָכט דורך קאָמפּעטענט פּערסאַנעל (זען קאָנטראָל קאָנטראָל 8.5).
פאַרזיכערן אַז קאָד איז בעשאָלעם יקסידיד די אַנטוויקלונג בינע און איז פריי פון קיין באַגז.
פּרובירן אַלע ווייכווארג איידער דערהייַנטיקן אָדער ייַנמאָנטירונג, צו ענשור אַז קיין קאָנפליקט אָדער ערראָרס וועט פּאַסירן.
האַלטן אַן דערהייַנטיקט ווייכווארג ביבליאָטעק סיסטעם.
האַלטן אַ 'קאַנפיגיעריישאַן קאָנטראָל סיסטעם' צו פירן אַפּעריישאַנאַל ווייכווארג.
פּלאַן אַ 'ראָולבאַק סטראַטעגיע' וואָס ריסטאָרז סיסטעמען צו אַ ביז אַהער ארבעטן שטאַט, צו ענשור געשעפט קאַנטיניויישאַן.
האַלטן אַ גרונטיק קלאָץ פון קיין דערהייַנטיקונגען דורכגעקאָכט.
פאַרזיכערן אַז אַניוזד ווייכווארג אַפּלאַקיישאַנז - און אַלע זייער מיטאַרבעטער מאַטעריאַל - זענען סיקיורלי סטאָרד פֿאַר ווייַטער נוצן און אַנאַליסיס.
אַרבעטן מיט אַ ווייכווארג ריסטריקשאַן פּאָליטיק וואָס לויפט אין לויט מיט די פאַרשידן ראָלעס און ריספּאַנסאַבילאַטיז פון דער אָרגאַניזאַציע.

ווען איר נוצן ווייכווארג סאַפּלייד דורך פאַרקויפער, אַפּלאַקיישאַנז זאָל זיין געהאלטן אין אַ גוט אַרבעט אָרדענונג און אין לויט מיט די גיידליינז פון ישוערז.

ISO מאכט עס בפירוש קלאָר אַז אָרגאַנאַזיישאַנז זאָל ויסמיידן ניצן אַנסאַפּאָרטיד ווייכווארג סייַדן לעגאַמרע נייטיק. אָרגאַנאַזיישאַנז זאָל זוכן צו אַפּגרייד ינקאַמבאַנט סיסטעמען, אלא ווי צו נוצן אַוט-פון-דאַטע אָדער אַנסאַפּאָרטיד לעגאַט אַפּלאַקיישאַנז.

א פאַרקויפער קען דאַרפן אַקסעס צו אַן אָרגאַניזאַציע ס נעץ אין סדר צו דורכפירן אַן ייַנמאָנטירונג אָדער דערהייַנטיקן. אַזאַ אַקטיוויטעטן זאָל זיין אָטערייזד און מאָניטאָרעד אין אַלע צייט (זען ISO 27002 קאָנטראָל 5.22).

סופּפּלעמענטאַרי גיידאַנס

אָרגאַנאַזיישאַנז זאָל אַפּגרייד, לאַטע און ינסטאַלירן ווייכווארג אין לויט מיט זייער ארויס פּראָוסידזשערז פֿאַר ענדערונג פאַרוואַלטונג.
פּאַטשאַז וואָס יראַדאַקייט זיכערהייט וואַלנעראַביליטיז אָדער אַנדערש פֿאַרבעסערן אָרגאַנאַזיישאַנאַל פּריוואַטקייט שוץ זאָל שטענדיק זיין גערעכנט ווי אַ בילכערקייַט ענדערונג.
אָרגאַנאַזיישאַנז זאָל נעמען גרויס זאָרג אין ניצן אָפֿן מקור ווייכווארג, און זאָל ידענטיפיצירן די לעצטע עפנטלעך בנימצא ווערסיע צו ענשור אַז זיכערהייט רעקווירעמענץ זענען באגעגנט אין די פולאַסט מאָס.

באַטייַטיק ISO 27002 קאָנטראָלס

ISO 27002 5.22
ISO 27002 8.5

שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR

ISO 27701 קלאָז אידענטיפֿיער	ISO 27701 פּונקט נאָמען	ISO 27002 רעקווירעמענץ	אַססאָסיאַטעד GDPR אַרטיקלען
6.9.6.1	פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז	8.8 - פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז פֿאַר ISO 27002	גאָרניט
6.9.6.2	ריסטריקשאַן אויף ווייכווארג ינסטאַלירונג	8.19 - ינסטאַלירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען פֿאַר ISO 27002	גאָרניט

ווי ISMS.online העלפּס

מיט די ISMS.online פּלאַטפאָרמע, איר קענען ויסשטימען אַ PIMS צו ענשור אַז דיין זיכערהייט האַלטנ זיך איז אַלע-אין-איין-אָרט און אַוווידז דופּליקאַטיאָן ווו סטאַנדאַרדס אָוווערלאַפּ.

עס איז קיינמאָל געווען גרינגער צו מאָניטאָר, באַריכט און קאָנטראָלירן ביידע ISO 27001 און ISO 27701 מיט דיין PIMS גלייך צוטריטלעך פֿאַר אינטערעסירט פּאַרטיעס.

געפינען אויס ווי פיל צייט און געלט איר וועט שפּאָרן אויף דיין רייזע צו אַ קאַמביינד ISO 27001 און 27701 סערטאַפאַקיישאַן ניצן ISMS.online.

טאָבי קיין

פּאַרטנער קונה סאַקסעס מאַנאַדזשער

טאָבי קיין איז דער סיניער פּאַרטנער סאַקסעס מאַנאַדזשער פֿאַר ISMS.online. ער האָט געאַרבעט פֿאַר דער פֿירמע פֿאַר נאָענט צו 4 יאָר און האָט אויסגעפֿירט אַ ריי ראָלעס, אַרייַנגערעכנט האָסטינג זייערע וועבינאַרן. איידער ער האָט געאַרבעט אין SaaS, איז טאָבי געווען אַ לערער אין אַ מיטלשול.

מיר זענען אַ פירער אין אונדזער פעלד