האָפּקען צו צופרידן
ISMS.online

A.5.21 פאַרוואַלטן אינפֿאָרמאַציע זיכערהייט אין די ICT סאַפּליי קייט – MSP אַפּסטרים-דאַונסטרים קאָנטראָל

MSPs שטייען פאר אן אומגעזעהענע אויסשטעלונג פון דער ICT צושטעל קייט. איין איינציקע שוואכע פארבינדונג - צי א וואָלקן פּלאַטפאָרמע, געצייַג, אדער שותף - קען ווירקן אויף פילע קאַסטאַמערז אין איין מאָל. אַנעקס A.5.21 פון ISO 27001 פארוואנדלט די פארפּלאָנטערטע אפהענגיקייטן אין קענטיקע, אוידיטאָרירבארע קאָנטראָלן, און בויט צוטרוי מיט קאַסטאַמערז, דירעקטאָרן-באָרדס, און רעגולאַטאָרן. פארזיכערט אייער געשעפט מיט באווייזן, נישט אנווייזונגען.

מחבר
מארק שרון
דערהייַנטיקט מאַרץ 19, 2026
4/5 שטערן

פארוואס MSP צושטעל קייטן זענען איצט אייער גרעסטע אטאקע אויבערפלאך

מאָדערנע געראטן סערוויס פּראַוויידערז שטייען פאר א וואַקסנדיקן ריזיקע פון ​​אינפֿאָרמאַציע און קאָמוניקאַציע טעכנאָלאָגיע צושטעל קייטן, נישט נאָר פון זייערע אייגענע דאַטן צענטערס. אַפּסטרים מכשירים, פּלאַטפאָרמעס און פּאַרטנערס קענען ווערן איינציקע פונקטן פון דורכפאַל, וואָס ווען זיי זענען קאָמפּראָמיטירט אָדער נישט בנימצא, ווירקן אויף פילע קאַסטאַמערז און באַדינונגען אין דער זעלביקער צייט. אַנעקס A.5.21 עקזיסטירט צו העלפן איר פֿאַרשטיין די אָפּהענגיקייטן, מסכים זיין קלאָרע זיכערהייט עקספּעקטיישאַנז מיט סאַפּלייערז און קאַסטאַמערז, און באַהאַנדלען צושטעל קייט ריזיקע ווי אַ באַוואוסטזיניק טייל פון דיין ISMS אלא ווי אַ נאָכטראַכט.

פֿאַר פֿילע געראטן סערוויס פּראַוויידערז, איז די צושטעל קייט פֿון מכשירים, פּלאַטפאָרמעס און פּאַרטנערס אויף וועלכע איר פֿאַרלאָזט זיך געוואָרן איינער פֿון די ריזיקאַלישסטע טיילן פֿון אייער סביבה, צוזאַמען מיט אייער אייגענעם דאַטן צענטער. יענע געטיילטע קאָמפּאָנענטן שטיצן אייערע רעוועך, אייערע קאָנטראַקטן און אייערע רעגולאַטאָרישע הבטחות. ווען איינער פֿון זיי פֿאַרפֿאַלט אָדער ווערט קאָמפּראָמיטירט, קען דער אימפּאַקט אַריבערפֿאַלן פֿילע קאַסטאַמערז אין שעהען, וואָס איז פאַרוואָס אַנעקס A.5.21 איז אַזוי וויכטיק פֿאַר פֿאַרוואַנדלען יענעם נעץ פֿון אָפּהענגיקייטן אין עפּעס וואָס איר באַוואוסטזיניק פּלאַנירט און פֿאַרוואַלטעט.

מאָדערנע MSP'ס ירשענען ריזיקע פֿון דער מולטי-טענאַנט נאַטור פֿון ווײַט-פֿאַרוואַלטונג פּלאַטפאָרמעס, וואָלקן סערוויסעס, אידענטיטעט פּראַוויידערז און נישע מכשירים וואָס זיצן צווישן אײַך און אײַערע קאַסטאַמערז. איין אײַנציקע אַפּסטרים קאָמפּראָמיס קען געבן אַן אַטאַקער פּריווילעגירטן צוטריט צו אַ גרויסן טייל פֿון אײַער קונה באַזע. אויך, אַן אויספֿאַל אין אַ קאָר פּלאַטפאָרמע קען נעמען עטלעכע קליענטן אָפפליין אין איין מאָל, נישט קוקנדיק אויף ווי גוט איר פֿירט אײַער אייגענע אינפֿראַסטרוקטור.

שטאַרקע צושטעל קייטן הייבן זיך אָן מיט וויסן אויף וועמען איר פאַרלאָזט זיך טאַקע.

די נייע רעאליטעט פון MSP סאַפּליי טשיין ריזיקע

די נייע רעאליטעט פאר MSP'ס איז אז אנפאלער און אויספאלן גייען יעצט דורך געטיילטע ICT פלאטפארמעס שנעלער ווי זיי גייען דורך יחידישע קאסטומער נעטווארקס. ווען איר לייגט אריין ווייט-פארוואלטונג מכשירים, וואלקן סערוויסעס, אידענטיטעט פלאטפארמעס און זיכערהייט פראדוקטן אין אייערע אנבאטן, ווערט יעדער געטיילטער קאמפאנענט א פאטענציעלער איינציקער פונקט פון דורכפאל. אנעקס A.5.21 איז דיזיינט צו העלפן אייך דערקענען די רעאליטעט און בויען פראפארציאנעלע קאנטראלן ארום איר.

מאָדערנע MSP'ס ירשענען רובֿ פון זייער סאַפּליי-טשיין ריזיקע פֿון די וואָלקן פּלאַטפאָרמעס, SaaS מכשירים און סובקאָנטראַקטאָרס וואָס זיי לייגן צו זייערע סערוויסעס. ווען איר סעטאַפּלט נייע אָפפערס, איז עס נאַטירלעך צו האַלטן צו לייגן ספּעציאַליזירטע פּלאַטפאָרמעס, מאָניטאָרינג מכשירים, באַקאַפּ פּראַוויידערז און זיכערהייט סערוויסעס אויסער אַ קערן סכום פון קייפּאַבילאַטיז.

דער באַריכט "שטאַט פֿון אינפֿאָרמאַציע זיכערהייט 2025" ווײַזט אַז אַ מערהייט פֿון אָרגאַניזאַציעס האָבן דערפֿאַרט לפּחות איין זיכערהייט אינצידענט אין פֿאַרגאַנגענעם יאָר וואָס איז געקומען פֿון אַ דריטער פּאַרטיי אָדער פֿאַרקויפֿער.

מיט דער צייט, שאפט יענער וואוקס דיכטע, מער-שיכטיקע אפהענגיקייט קייטן: ווייטע מאָניטאָרינג מכשירים אויף שפּיץ פון עפנטלעכע וואָלקן, אידענטיטעט פּלאַטפאָרמעס פארבונדן אין קונה טענענטן, באַקאַפּ פּראַוויידערז וואָס רעפּליקירן דאַטן צווישן מקומות און ספּעציאַליסטישע זיכערהייט מכשירים אינטעגרירט דורך APIs. אַטאַקער דאַרפֿן נישט צילן יעדן קונה אינדיווידועל. קאָמפּראָמיסירן איין אַפּסטרים סערוויס קען געבן פּריווילעגירט צוטריט אין פילע געראטן סביבות, אָדער לאָזן ראַנסאָמווער צו פאַרשפּרייטן זיך שנעל צווישן קליענטן וואָס טיילן די זעלבע מכשירים. אַנאַליזעס פון ווייכווארג סאַפּליי-טשיין אינצידענטן באַשרייבן פּונקט דעם מוסטער, וואו קאָמפּראָמיס פון אַ וויידלי גענוצטן פאַרקויפער אָדער קאָמפּאָנענט קען ווירקן אַ גרויסע צאָל דאַונסטרים אָרגאַניזאַציעס אין איין מאָל (סאָפטווער סאַפּליי-טשיין אַטאַק אַנאַליז).

אויספֿאַלן פֿירן זיך אויף דעם זעלבן אופֿן. אַ דורכפֿאַל אין אַ צענטראַלער אידענטיטעט פּראָווײַדער אָדער ווײַט־פֿאַרוואַלטונג־שטאַק קען נעמען קייפל קאָנסומערן אָפֿליין, פֿאַראורזאַכן קאָנטראַקט־שטראָפֿן און צוציען רעגולאַטאָרישע אויפֿמערקזאַמקייט, אפילו אויב אײַער אייגענע אינפֿראַסטרוקטור איז נישט אַפֿעקטירט. אינדוסטריע־גיידאַנס וועגן אָפּשאַצן און פֿאַרוואַלטן סאַפּליי־קייט סייבער־זיכערהייט ריזיקע אָפֿט אונטערשטרייכט ווי דיסראַפּשאַן אָדער קאָמפּראָמיס פֿון געטיילטע וואָלקן־ אָדער אידענטיטעט־סערוויסעס קען פֿאַראורזאַכן סיימאַלטייניאַסע אויספֿאַלן און געשעפֿטלעכע השפּעה אויף פֿיל קאָנסומערן, ווי אויך קאָנטראַקטואַלע און רעגולאַטאָרישע קאָנסעקווענצן פֿאַר פּראָווײַדערס וואָס פֿאַרלאָזן זיך אויף זיי (סאַפּליי־קייט סייבער־זיכערהייט ריזיקע איבערבליק). אַנעקס A.5.21 איז געצילט גלייך אויף יענעם קאָמבינירטן טעכנישן און קאָנטראַקטואַלן בלאַס־ראַדיוס, נישט נאָר אויף אפגעזונדערטע וואַלנעראַביליטיז.

זיכערהייט מעטריקס אין פילע MSPs האבן נישט איינגעכאפט דעם פארשייבונג. טימס טרעקן נאך אלץ פערימעטער געשעענישן, פּאַטשינג ראַטעס און ענדפּוינט וואָרענונגען, אָבער האבן ווייניק זעאונג פון געירשנטע וואַלנעראַביליטיז אָדער סאַפּלייער-געטריבענע אינצידענטן. אָן אַ קלאָרן בליק אויף אַפּסטרים דיפּענדאַנסיז און זייערע ריזיקאָ פּראָופיילז, לויפט איר עפעקטיוו בלינד אין די ערטער וואו דורכפאַלן זענען מערסט מסתּמא צו שאַטן, וואָס איז וואָס איר דאַרפט סאַפּליי-טשעין קוקן אין דיין ISMS אלא ווי נעץ מעטריקס אַליין.

וואו זעיקייט טאַקע צעברעכט זיך

זעבארקייט צעברעכט זיך געווענליך אין דער "שאָטן" צושטעל קייט: מכשירים, סערוויסעס און פּאַרטנערס וואָס זענען אַרײַנגעגליטשט אַרויס פֿון פֿאָרמעלער באַשעפֿטיקונג. די זעען אָפֿט אויס ווי איין-מאָל באַשלוסן אין דער צײַט, אָבער זיי ווערן אַ טייל פֿון אײַער שטענדיקער אָפּהענגיקייט מאַפּע.

רובֿ MSP'ס קענען אויסרעכענען זייערע הויפּט ווענדאָרס פֿון זכּרון, אָבער ווייניק קענען ווײַזן אַ פֿולשטענדיק בילד פֿון וועמען און אויף וואָס זיי פֿאַרלאָזן זיך טאַקע. פֿרימיום סערוויסעס וואָס אינזשענירן האָבן אײַנגעפֿירט, "צײַטווײַליקע" פּילאָט מכשירים וואָס האָבן זיך קיינמאָל נישט געענדיקט, און קונה-געפֿאָדערטע פּלאַטפֿאָרמעס וואָס איר האָט מסכים געווען צו שטיצן, אַלע לייגן צו צו יענעם פֿאַרבאָרגענעם שיכט.

די פראבלעם איז אז אנפאלער און רעגולאטארן קימערן זיך נישט צי א דעפענדיענס איז פארמאל באשטעטיקט געווארן אדער שטילערהייט אנגענומען. אויב א קאמפראמיס גייט אדורך אין אייערע געראטן סביבות, וועלן קאסטומערס נאך ​​אלץ ערווארטן ענטפערס פון אייך. אנעקס A.5.21 באהאנדלט די באציאונגען ווי אין די גרופע. עס ערווארטעט אז איר זאלט ​​זיי אריינברענגען אין אייער סופּליי טשיין מאפע, קלאסיפיצירן זיי און באשליסן וואס "זיכער גענוג" מיינט פאר יעדן באזירט אויף ריזיקע.

א פּראַקטישער ערשטער שריט איז צו מאַפּירן דעם אויפרייס ראַדיוס פון אייערע מערסט קריטישע געטיילטע קאָמפּאָנענטן. פֿאַר יעדן הויפּט געצייַג אָדער פּלאַטפאָרמע, שאַצט וויפֿל קאַסטאַמערז, וועלכע טיפּן דאַטן און וועלכע באַדינונגען זענען דערפון אָפּהענגיק. זען אַז אַן איינציקער ווײַט-פֿאַרוואַלטונג סטאַק שטיצט אַ באַדײַטנדיקן טייל פֿון אייערע רעוועך איז אָפֿט דער מאָמענט ווען סאַפּליי טשיין ריזיקאָ הערט אויף צו פֿילן זיך אַבסטראַקט און הייבט אָן צו פֿאָדערן סטרוקטורירטע קאָנטראָלן.

פארוואס אייער ברעט זאל זיך אזוי זארגן ווי אייערע אינזשענירן

פעליקייַט באַשרייַבונג

ספר אַ דעמאָ


אַנעקס A.5.21 און די נייע דעפיניציע פון ​​ICT צושטעל-קייט פארזיכערונג

אַנעקס A.5.21 בעט אייך צו מסכים זיין, דאקומענטירן און אויפהאלטן פאסיגע אינפארמאציע-זיכערהייט ערווארטונגען מיט די אינפארמאציע-זיכערהייט סופלייערס און קאסטומערס אויף וועלכע איר פארלאזט זיך. אין פראקטישע טערמינען, זאלט ​​איר וויסן אויף וועמען איר פארלאזט זיך, וואס איר ערווארט פון זיי, וואס זיי ערווארטן פון אייך און ווי די ערווארטונגען ווערן געטשעקט איבער צייט. פאר אן MSP, מיינט דאס אנערקענען אז איר זיצט אין די אינערהאלב פון פילע קאסטומערס' אינפארמאציע-זיכערהייט סופליי קייטן, ווי אויך פירן אייערע אייגענע. דאס שפיגלט אפ דעם וועג ווי ISO/IEC 27001:2022 באשרייבט קאנטראל A.5.21 אין זיין קאטאלאג פון אינפארמאציע-זיכערהייט קאנטראלן פאר אינפארמאציע-זיכערהייט סופליי קייטן (ISO/IEC 27001:2022 איבערבליק).

כּמעט אַלע אָרגאַניזאַציעס אין דער 2025 ISMS.online אַנקעטע האָבן אויסגערעכנט דערגרייכן אָדער אויפהאַלטן זיכערהייט סערטיפיקאַציעס ווי ISO 27001 אָדער SOC 2 ווי אַ הויפּט פּריאָריטעט.

ערנסט גענומען, פארשיבט אנעקס A.5.21 די אינפארמאציע טעכנאָלאָגיע צושטעל-קייט פארזיכערונג פון א געפיל צו ריזיקאָ-באזירטע, דאקומענטירטע פראקטיק. עס בויט אויף דער ברייטערער משפּחה פון אנעקס A קאָנטראָלן פֿאַר סאַפּלייער באַציִונגען, קאָנטראַקטן און מאָניטאָרינג, און ווענדט זיי ספּעציפֿיש צו אינפארמאציע טעכנאָלאָגיע פּראָדוקטן און באַדינונגען. פֿאַרשטיין ווי עס פּאַסט צוזאַמען מיט A.5.19, A.5.20 און A.5.22 גיט אײַך אַ ראַם פֿאַר טאָן דאָס אָן איבערמאַכן אײַער גאַנצן ISMS.

אן אינטעגרירטע ISMS פּלאַטפאָרמע ווי ISMS.online קען אייך העלפֿן האַלטן דאָס בילד אין איין אָרט דורך פֿאַרבינדן סאַפּלייערז, קאַסטאַמערז, באַדינונגען, ריסקס און אַנעקס A קאָנטראָלס אַזוי אַז זיי זענען גרינג צו איבערקוקן און דערהייַנטיקן ווי אייער געשעפט יוואַלווז.

די אינפֿאָרמאַציע איז אַלגעמיין און שטעלט נישט פֿאָר לעגאַלע עצה; אָרגאַניזאַציעס זאָלן זוכן פּאַסיקע פּראָפֿעסיאָנעלע גיידאַנס פֿאַר רעגולאַטאָרישע באַשלוסן.

וואָס אַנעקס A.5.21 טאַקע ערוואַרטעט

אַנעקס A.5.21 ערוואַרטעט פון אייך צו באַהאַנדלען ICT סאַפּליי טשיין זיכערהייט ווי אַ קאָנטינויִערלעכע, געטיילטע פֿאַראַנטוואָרטלעכקייט אַנשטאָט אַן איינמאָליקע קאָנטראַקט קלאַזול. עס פֿאַרשטאַרקט די געדאַנק אַז ערוואַרטונגען זאָלן זיין ריזיקאָ-באַזירט, דאָקומענטירט און מיינטיינד איבער צייט אַנשטאָט אנגענומען אָדער באַשטימט איין מאָל און פֿאַרגעסן. פֿאַר MSPs, דאָס מיינט צו פּלאַנירן אַפּסטרים און דאַונסטרים ערוואַרטונגען און קאָנטראָלירן אַז זיי פאָרזעצן צו מאַכן זינען ווי באַדינונגען און ריזיקעס טוישן זיך.

אַנעקס A.5.21 זיצט לעבן דריי ענג פֿאַרבונדענע קאָנטראָלן:

  • A.5.19, וואָס דעקט פּאָליטיקס פֿאַר סאַפּלייער באַציִונגען.
  • A.5.20, וואָס פאָקוסירט אויף זיכער מאַכן אַז אינפֿאָרמאַציע זיכערהייט ווערט אַדרעסירט אין סאַפּלייער אַגרימאַנץ.
  • A.5.22, וואָס האַנדלט מיט מאָניטאָרינג, איבערבליק און ענדערונג פאַרוואַלטונג פון סאַפּלייער באַדינונגען.

צוזאַמען, קען מען לייענען די קאָנטראָלן אין וואָכעדיקער שפּראַך ווי: ידענטיפיצירן אייער אינפֿאָרמאַציע־טעכנאָלאָגיע צושטעל־קייט, דעפינירן די אינפֿאָרמאַציע־זיכערהייט רעקווייערמענץ וואָס איר ערוואַרט פון איר, פאַרלייגן די רעקווייערמענץ אין ווי איר אויסקלייבט, קאָנטראַקטירט מיט און השגחה האָט אויף סאַפּלייערס, און האַלטן די השגחה גייענדיק ווען די סערוויסעס טוישן זיך. אַנעקס A.5.21 איז וואו דאָס ווערט ספּעציפֿיש וועגן אינפֿאָרמאַציע־טעכנאָלאָגיע סערוויסעס און פּראָדוקטן, סיי אַרויף און אַראָפּ. די קאָנטראָל טיטלען און גרופּירונגען נאָכפאָלגן די סטרוקטור פאַרעפֿנטלעכט אין ISO/IEC 27001:2022, וואָס שטעלט אַרויס די אַנעקס A קאָנטראָלן און זייערע פֿאָקוס געביטן פֿאַר סאַפּלייער און ICT צושטעל־קייט זיכערהייט (ISO/IEC 27001:2022 איבערבליק).

פֿאַר אַן MSP, איז דאָ אַן נאָך טוויסט. איר זענט ביידע אַ קונה און אַ סאַפּלייער. איר פֿאַרלאָזט זיך אויף אַפּסטרים ICT באַדינונגען צו צושטעלן אייערע אָפפערס, און איר זענט אַ קריטישער סאַפּלייער אין אייערע קאַסטאַמערז' אייגענע ICT סאַפּליי קייטן. אַנעקס A.5.21 ערוואַרטעט אַז איר זאָלט פאַרוואַלטן ביידע זייטן קאָנסיסטענטלי אויף אַ וועג וואָס שפּיגלט אָפּ ריזיקע און איז איינגעוואָרצלט אין טעגלעכע פּראָצעסן, נישט באַהאַנדלט אין אפגעזונדערטע דאָקומענטן.

פארוואנדלען א נארמאלן טעקסט אין עפעס וואס יעדער קען פארשטיין

אייערע טימס וועלן מער מסתּמא זיך באַטייליקן אויב איר איבערזעצט די שפּראַך פֿון דעם סטאַנדאַרט אין אַ קליינעם סכום קלאָרע, פּראַקטישע פֿאַרפֿליכטונגען. די פֿאַרפֿליכטונגען זאָלן באַשרײַבן וואָס איר טוט טאַקע, אין טערמינען וואָס אינזשענירן, אַקאַונט מאַנאַדזשערז און לעגאַלע טימס דערקענען, אַנשטאָט ציטירן דעם סטאַנדאַרט.

איר קענט איבערזאגן אנעקס A.5.21 אלס צוזאגן ווי:

  • מיר קאָנטראָלירן און קלאַסיפֿיצירן די אינפֿאָרמאַציע־טעכנאָלאָגיע סאַפּלייערס און פּלאַטפאָרמעס אויף וועלכע מיר פֿאַרלאָזן זיך און נוצן זיי ווען זיי טרעפֿן די באַשטימטע זיכערהייט קריטעריעס.
  • מיר דעפינירן און דאקומענטירן ווער איז פאראנטווארטלעך פאר וועלכע זיכערהייט מיטלען אין יעדן געראטן סערוויס וואס מיר פארקויפן.
  • "מיר מאָניטאָרירן שליסל סאַפּלייערז און באַדינונגען איבער צייט און רעאַגירן געשווינד און טראַנספּעראַנט ווען עפּעס ענדערט זיך אָדער גייט שלעכט."

אזוי שנעל ווי איר האט די איבערזעצונגען, ווערט עס פיל גרינגער צו זען וואו איר האט שוין טיילן פון אנעקס A.5.21 אין פלאץ, ווי למשל אנשטארטונג קאנטראקטן פאר סופלייערס, קאנטראקט טעמפלעיטס אדער פעריאדישע איבערבליקן. עס ווייזט אויך ארויס וואו פראקטיקעס זענען אד-האק, נישט דאקומענטירט אדער זענען אפהענגיק פון יחידישע שטאב מיטגלידער. יענע מאפע גיט אייך אן אנפאנגספונקט פאר די מער דעטאלירטע אויבערשטע און אונטערשטע פראגראם פלאן ארבעט וואס קומט דערנאך.

אַנעקס A.5.21 ערוואַרטעט אַז אייערע רעקווייערמענץ זאָלן זיין פּראָפּאָרציאָנעל צו ריזיקע אַנשטאָט בלינדערהייט קאָפּירט פֿון איין באַציִונג צו אַן אַנדערער. הויך-אימפּאַקט סאַפּלייערז און קאַסטאַמערז דאַרפֿן געוויינטלעך טיפֿערע פֿליסיקייט און שטאַרקערע פֿאַרפֿליכטונגען ווי נידעריק-אימפּאַקט אָנעס, און דער זעלביקער פּרינציפּ מאַכט אייערע דאַונסטרים קאָנטראַקטן מער פֿאַרטיידיקבאַר פֿאַר רעגולאַטאָרן און אָדיטאָרס.

די קאָנטראָל מיינט נישט אַז איר דאַרפט אויסשטעלן אידענטישע דעטאַלירטע זיכערהייט ערוואַרטונגען אויף יעדן סאַפּלייער אָדער קונה. עס ערוואַרטעט אַז איר זאָלט באַרעכטיקן אייערע ערוואַרטונגען אין ליכט פון ריזיקע. אַ קריטישע וואָלקן פּלאַטפאָרמע וואָס האָסטירט קונה דאַטן פארלאנגט טיפערע דיו דילידזשענס, שטאַרקערע קאָנטראַקט קלאָזולעס און מער אינטענסיווע מאָניטאָרינג ווי אַ נידעריק-ריזיקירן, נישט-קריטיש געצייַג.

די זעלבע לאָגיק גילט ווייטער. א מענעדזשד סערוויס וואָס ווערט געגעבן צו אַ שפּיטאָל אָדער פינאַנציעלע אינסטיטוציע טראָגט אַנדערע פֿאַרפֿליכטונגען און קאָנטראָל ווי איינער וואָס ווערט געגעבן צו אַ קליין, נישט-רעגולירט געשעפט. אייער אימפּלעמענטאַציע פֿון אַנעקס A.5.21 איז גלויבווערדיק ווען די אונטערשיידן זענען קענטיק אין אייערע ריזיקאָ אַסעסמאַנץ און אין דעם וועג ווי איר סטרוקטורירט אָפּמאַכן, נישט ווען יעדע באַציִונג ניצט קאָפּי-און-פּייסט ווערטער, נישט קוקנדיק אויף די ווירקונג.

צופּאַסן אַנעקס A.5.21 מיט פריימווערקס וואָס איר ניצט שוין, אַזאַ ווי SOC 2, אנערקענטע סייבער-זיכערהייט גיידליינז אָדער נאציאנאלע סופּליי-טשעין רעקאָמענדאַציעס, קען העלפֿן. בעסט-פּראַקטיק סופּליי-טשעין גיידליינז פון זיכערהייט פאַרקויפער און פּראַקטישנערס מוטיקן איר צו מאַפּירן געמיינזאַמע קאָנטראָל אָביעקטיוון אַריבער סטאַנדאַרדס אַזאַ ווי ISO 27001, SOC 2 און נאציאנאלע סייבער-זיכערהייט פריימווערקס אַזוי טימז זענען נישט מיינטאַנינג קייפל, קאָנפליקטירנדיק סעץ פון רעקווירעמענץ (איבערבליק פון סופּליי-טשעין זיכערהייט פּראַקטיסיז). דאָ, "טיערינג" פשוט מיטל גרופּירן סאַפּלייערז און קאַסטאַמערז אין אַ ביסל פּראַל-באזירט לעוועלס, אלא ווי צו מייַכל יעדער שייכות ווי יינציק.



ISMS.online גיט אייך א 81% פארשטארקונג פון דעם מאמענט וואס איר לאגט זיך איין

ISO 27001 געמאַכט גרינג

א 81% פֿאָרשפּרונג פֿון טאָג איינס

מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.

באַקומען אנגעהויבן


אַפּסטרים קעגן דאַונסטרים קאָנטראָלס אין אַ MSP קאָנטעקסט

אין אַן MSP, "אַפּסטרים" באַדעקט די פארקויפער, פּלאַטפאָרמעס און סובקאָנטראַקטאָרס אויף וועלכע איר פֿאַרלאָזט זיך, בשעת "דאַונסטרים" באַדעקט די קאַסטאַמערז און טענאַנץ וואָס פֿאַרלאָזן זיך אויף אײַך. אַנעקס A.5.21 איז גרינגער צו ימפּלעמענטירן ווען איר באַהאַנדלט די באַציִונגען ווי באַזונדער אָבער פֿאַרבונדן, מיט קלאָרע פֿאַראַנטוואָרטלעכקייטן און ערוואַרטונגען אין יעדער ריכטונג. יענע סטרוקטור פֿאַרוואַנדלט אַבסטראַקטע סאַפּליי טשיין זאָרגן אין קאָנטראַקטן, פּלייבוקס און דאַשבאָרדז אויף וועלכע מענטשן קענען האַנדלען.

א קלארער אויבערשטער/אראפסטרים מאָדעל פארוואנדלט סטאנדארט טעקסט אין ארבעטס-פעאיקע קאנטראקטן, ראנבוקס און דעשבאָרדז. איר קענט דעפינירן ווי איר אויסקלייבט און מאָניטאָרירט סאַפּלייערז, ווי איר טיילט פֿאַראַנטוואָרטלעכקייט מיט קאַסטאַמערז און ווי איר רעאַגירט ווען אינצידענטן פּאַסירן אין ביידע ריכטונגען. אַמאָל די סטרוקטור עקזיסטירט אויף פּאַפּיר, ווערט עס אָפּעראַציאָנאַליזירן אין מכשירים און נאַטור פיל מער פּשוט.

דעפינירן אַפּסטרים, דאַונסטרים, און כייבריד באַציִונגען

אייער ערשטע אויפגאבע איז צו נעמען און קלאסיפיצירן די עקסטערנע באציאונגען אויף וועלכע איר זענט אפהענגיק, אנשטאט זיי אלע צו באהאנדלען ווי אלגעמיינע "סופלייערס" אדער "קאסטומערס". די קלאסיפיקאציע באשטימט וועלכע טיילן פון אנעקס A.5.21 זענען אמאסטנס נוגע און וואו צו פאקוסירן אייערע פלאנירונגס-מי. עס שאפט אויך א געמיינזאמע שפראך אינערהאלב אייער ארגאניזאציע ווען איר דיסקוטירט סופליי טשיין ריזיקע.

הייבט אן מיט אויסרעכענען עקסטערנע פארטייען און קלאסיפיצירן זיי אויף צוויי דימענסיעס: צי צושטעלן זיי אייך, אדער צי צושטעלן איר זיי, און ווי קריטיש זענען זיי פאר אייערע סערוויסעס? אן אויבערשטער ICT סאַפּלייער קען זיין א וואָלקן אינפראַסטרוקטור פּראַוויידער, א ווייַט מאָניטאָרינג געצייַג, א באַקאַפּ פּלאַטפאָרמע אדער א ספּעציאַליסט זיכערהייט שוטעף. אונטערשטער פארטייען זענען אייערע געראטן סערוויס קאַסטאַמערז, אַרייַנגערעכנט די וואו איר אַקט ווי אַ דאַטן פּראַסעסער אונטער דאַטן-שוץ געזעץ.

געוויסע באַציִונגען זענען כייבריד. אַ פּיר MSP אין אַ קאָ-מאַנאַדזשד אַראַנזשירונג סײַ צושטעלט געוויסע מעגלעכקייטן צו אײַך און סײַ פֿאַרלאָזט זיך אויף אײַערע סערוויסעס אין אויסטויש. אַ קונה וואָס האָסט זײַן אייגענעם וואָלקן טענענט אָבער בעט אײַך צו אַדמיניסטרירן עס פֿאַרשווימט די ליניע צווישן קונה פּלאַטפאָרמע און אַפּסטרים סביבה. די כייברידס דאַרפֿן באַזונדערע זאָרג, ווײַל עס איז גרינג פֿאַר וויכטיקע פֿאַראַנטוואָרטלעכקייטן צו ווערן איבערגענומען דורך ביידע זײַטן אָדער דורך קיין איינעם.

אזוי שנעל ווי איר האט די ראלעס רעקארדירט, קענט איר אנהייבן דעפינירן וועלכע קאטעגאריעס פון קאנטראלן זענען נוגע צו וועלכע ראלעס. פאר אויבערשטע באציאונגען, ווערן דיו דילידזשענס, זיכערע טעכנישע אינטעגראציע, אינצידענט מעלדונג און סוב-פראסעסאר קאנטראלן צענטראל. פאר אונטערשטע באציאונגען, זענען געטיילטע אחריות, גרונט זיכערהייט ערווארטונגען און קאסטומער פליכטן מער באוואוסט. כייבריד אראנדזשירונגען פארלאנגען א געמיש און זייער קלארע גרענעצן צו פארמיידן גאפעס.

ניצן ריזיקאָ-באַזירטע שטאַפּלען צו ברענגען סטרוקטור

ריזיקאָ-באַזירטע שטאַפּלען מאַכן אַ לאַנגע רשימה פון סאַפּלייערז און קאַסטאַמערז אין עפּעס מיט וואָס איר קענט אַרבעטן. דורך גרופּירן באַציִונגען אין אַ פּאָר פּראַל-באַזירטע קלאַסן, קענט איר דעפינירן נאָרמאַל קאָנטראָל סעץ פֿאַר יעדער שטאַפּל אַנשטאָט צו פּלאַנירן יעדע באַציִונג פֿון אָנהייב.

איר קענט, למשל, שאַפֿן דריי שטאַפּלען פֿאַר אַפּסטרים סאַפּלייערז:

  • שטאַפּל 1: קריטישע פּלאַטפאָרמעס מיט פּריווילעגירטן צוטריט אָדער האָסטינג קונה דאַטן.
  • שטאַפּל 2: וויכטיקע שטיצנדיקע באַדינונגען מיט באַגרענעצטן דירעקטן צוטריט צו קונה סיסטעמען.
  • טיער 3: נידעריק-ריזיקירטע מכשירים אָן צוטריט צו סענסיטיווע דאַטן אָדער פּראָדוקציע סביבות.

ווייטער, קענט איר אננעמען שטאפלען ווי "רעגולירט", "הויך-פארפֿיגבארקייט" און "סטאַנדאַרט", באזירט אויף דער סענסיטיוויטי פון דאַטן און דעם געשעפטלעכן אימפּאַקט פון אויספֿאַלן.

יעדע קאָמבינאַציע פון ​​אַפּסטרים און דאַונסטרים שטאַפּלען טרייבט אַנדערע ערוואַרטונגען. אַ טיער 1 אַפּסטרים פּלאַטפאָרמע וואָס שטיצט אַ רעגולירטן געזונטהייט קליענט פארלאנגט טיפערע זיכערהייט און מער שטרענגע קאָנטראָלן ווי אַ טיער 2 געצייַג וואָס שטיצט אַ סטאַנדאַרט קליענט. דאָקומענטירן די קאָמבינאַציעס אין פּשוטע פּאַטערנז - למשל, "MSP-היפּערסקיילער-רעגולירטן קליענט" קעגן "MSP-דיסטריביאַטאָר-MSP-ענטערפּרייז" - לאָזט איר דיזיינען סטאַנדאַרט קאָנטראָל סעץ אַנשטאָט צו אָנהייבן פון קראַץ פֿאַר יעדער נייַע באַציִונג.

א קורצער וועג צו וויזואַליזירן דאָס איז דורך אַ קליינע מאַטריץ וואָס ווייזט ווי פֿאַראַנטוואָרטלעכקייטן אַנדערשן זיך לויטן טיפּ פֿון באַציִונג.

באַציִונג טיפּ אויבערשטע פֿאַראַנטוואָרטלעכקייטן (ביישפילן) דאַונסטרים פֿאַראַנטוואָרטלעכקייטן (ביישפילן)
MSP – וואָלקן פּלאַטפאָרמע – רעגולירטער קליענט סערטיפיקאציעס, אינצידענט נאטיץ, סעגמענטאציע, צוטריט לאגס באַשטעטיקונגען, דאַטן שוץ פליכטן, קונה זיכערהייט קאָמוניקאַציע
MSP – SaaS זיכערהייט געצייַג – געמישטע קליענטן זיכערע אינטעגראַציע, ראָלע פּלאַן, מאָניטאָרינג, פאַרקויפער איבערבליק קונה באוואוסטזיין פון געצייַג פאַרנעם, צושטימונג ווו נייטיק
MSP – גלייַכגילטיק MSP (קאָ-געראטן) – קליענט גרענעץ דעפֿיניציע, געמיינזאַמע אינצידענט האַנדלינג, געטיילטע צוטריט דער קונה פֿאַרשטייט די צוטיילונג פֿון אויפֿגאַבן און די וועגן פֿון פֿאַרשפּרייטן

ווי די טאַבעלע פֿאָרשלאָגט, טוישן זיך די פֿאַראַנטוואָרטלעכקייטן באַדייטנד צווישן, למשל, אַ היפּערסקאַלער סצענאַר און אַ קאָ-מאַנאַדזשד MSP אַראַנזשירונג. אין פּראַקטיק, קענט איר אָנהייבן דורך מאַפּירן אייערע איצטיקע באַציִונגען אין איינעם פֿון די מוסטערן, באַשטעטיקן וועלכע אויפֿגאַבן פֿאַלן וואו און דערנאָך סטאַנדאַרדיזירן אייערע קאָנטראַקט קלאָזולעס און אינערלעכע ראַנבוקס אַרום די מוסטערן.



דיזיינינג אַפּסטרים קאָנטראָלס פֿאַר ווענדאָרס און סוב-פּראַסעסערז

אַפּסטרים קאָנטראָלס דעפינירן ווי איר אויסקלייבט, אָנבאָטן, מאָניטאָרירט און פֿאַרלאָזט די סאַפּלייערז און פּלאַטפאָרמעס אויף וועלכע איר פֿאַרלאָזט זיך. א פּשוטער, איבערחזרנדיקער לעבן-ציקל פֿאַרוואַנדלט דעם צוטרוי פֿון אַ הנחה אין באַווייַז געשטיצט דורך ריזיקאָ אַסעסמאַנץ, קאָנטראַקטן און קאָנפיגוראַציע. אַנעקס A.5.21 ערוואַרטעט אַז דער לעבן-ציקל זאָל זיין פּראָפּאָרציאָנעל צו ריזיקאָ און קאָנסיסטענט אַפּליקירט צו די סאַפּלייערז וואָס זענען וויכטיקסט.

גוטער אויבערשטער-פלאץ דיזיין פארוואנדלט צוטרוי פון אן אינפארמעלן משפט אין א דאקומענטירטער באשלוס. דאס מיינט פארשטיין וואס יעדער סאַפּלייער טוט פאר אייך, וועלכע ריזיקעס איר ירשעט, וועלכע קאנטראלן זיי אפערירן און וועלכע איר מוזט אליין צושטעלן. א ריזיקע-באזירטער לעבנס-ציקל מאכט דאס קאנטראלירבאר און גיט אוידיטארן בטחון אז איר באהאנדלט נישט סאַפּלייערס ווי א שווארצע קעסטל.

בויען אַ סאַפּלייער לעבן-ציקל וואָס אָדיטאָרס דערקענען

אוידיטארן זוכן בכלל א קלארן, ריזיקע-באזירטן לעבנס-ציקל פאר קריטישע סופלייערס: ווי אזוי איר אפשאצט א סופלייער פארן באנוץ, ווי אזוי איר לייגט אריין קאנטראלן ווען איר נעמט זיי אן, ווי אזוי איר האלט אן אויפזיכט און ווי אזוי איר גייט ארויס זיכער. אויב איר קענט ווייזן די טריט און די באווייזן הינטער זיי, וועט אייער אנעקס A.5.21 סטארע פילן גלויבווערדיק און פולשטענדיג. אנווייזונגען פאר סופלייערס-ריזיקירן פון אינסטיטוטן ווי SANS באשרייבן ריזיקע-באזירטע לעבנס-ציקלען פאר סופלייערס - וואס דעקן אויסוואל, איינפירן, אנגייענדע אויפזיכט און ארויסגיין - אלס א קענמארק פון דערוואקסענער דריט-פארטיי זיכערהייט מענעדזשמענט (SANS סופלייער-ריזיקירן ווייסע פאפיר).

דער באַריכט וועגן דעם צושטאַנד פֿון אינפֿאָרמאַציע־זיכערהייט 2025 ווײַזט אָן, אַז אַ מערהייט פֿון אָרגאַניזאַציעס האָבן שוין פֿאַרשטאַרקט ריזיקאָ־פֿאַרוואַלטונג פֿון דריטע פּאַרטייען און פּלאַנירן צו ינוועסטירן ווײַטער אין אים.

א פּראַקטישער אַפּסטרים לעבנסציקל האט פיר שטאַפּלען: דיו דילידזשענס איידער די באַטייליקונג, אָנבאָאַרדינג, געשעפט-ווי-געוויינטלעך אויפזיכט און אַרויסגאַנג. פֿאַר יעדער שטאַפּלען, דעפינירן וואָס איז דערוואַרט פֿאַר יעדער סאַפּלייער ריי און וועלכע אַרטיפאַקץ זאָלן עקזיסטירן צו באַווייַזן אַז די אַקטיוויטעטן האָבן פּאַסירט.

שריט 1: דורכפירן ריזיקאָ-באזירטע דיו דילידזשענס

ריזיקע-באזירטע דיו דילידזשענס איז וועגן זאמלען גענוג אינפארמאציע צו פארשטיין א סאַפּלייער'ס זיכערהייט שטעלונג און ווי עס פּאַסט צו אייערע באדערפענישן. דאָס טיפּיש כולל אומאָפּהענגיקע סערטיפיקאַציעס, הויך-לעוועל זיכערהייט סטייטמענטס, קיצורים פון טעסטינג, ראָלעס אין פּראַסעסינג פּערזענלעכע דאַטן און אינפֿאָרמאַציע וועגן סוב-פּראַסעסערז. די רעזולטאַט זאָל זיין אַ פאַרענדיקט אַסעסמאַנט רעקאָרד וואָס דערקלערט פארוואס דער סאַפּלייער איז פּאַסיק אויף די אויסדערוויילטע שטאַפּל.

שריט 2: זיך איינשרייבן מיט קאנקרעטע טעכנישע און קאנטראקטואלע קאנטראלן

איינפירן דעם סיסטעם פארוואנדלט אפשאצונג אין קאנקרעטע קאנטראלן. פאר א קריטישע פלאטפארמע, קען דאס ארייננעמען קאנפיגורירן שטארקע אויטענטיפיקאציע, באגרענעצן אדמיניסטראטיווע ראלעס, ערמעגליכן און אינטעגרירן לאגינג און מסכים זיין אויף אינצידענט מעלדונג צייט-ליניעס און קאנטאקט פונקטן. א פשוטע איינפירן טשעקליסט העלפט זיכער מאכן אז די טריט ווערן נישט פארפעלט און אז עמעצער איז קלאר פאראנטווארטלעך פאר יעדן.

שריט 3: האַלטן די געוויינטלעכע אויפזיכט

געשעפט-ווי-געוויינלעך אויפזיכט דארף זיין לייכט אבער רעאל. פאר הויך-אימפאקט סאַפּלייערז, שטעלט איבערבליק קאַדענצן צו באַשטעטיקן אַז סערטיפיקאַציעס ווערן מיינטיינד, זיכערהייט קאַמיטמאַנץ נאָך גילטיק און קיין הויפּט ענדערונגען זענען נישט פארגעקומען אָן אייער וויסן. פאר נידעריקערע לעוועלס, קענען איבערבליקן ווערן טריגערד דורך געשעענישן ווי סערוויס ענדערונגען, נייַע דאַטן פלאָוז אָדער אינצידענטן. רעקאָרדס פון די איבערבליקן, אפילו אויב קורץ, ווייַזן אַז אויפזיכט איז אַקטיוו אלא ווי אַנגענומען.

שריט 4: זיכער ארויסגיין און דערהייַנטיקן אייער צושטעל קייט מאַפּע

ארויסגיין ווערט אָפט איבערגעזען אָבער קריטיש וויכטיק. ווען איר הערט אויף צו נוצן אַ סאַפּלייער אָדער גייט איבער צו אַ נייער פּלאַטפאָרמע, זאָל זיין אַ דעפינירטער פּראָצעס פֿאַר אָפּרופן אַקסעס, צוריקגעבן אָדער זיכער אויסמעקן דאַטן און דערהייַנטיקן אייער דאָקומענטאַציע אַזוי אַז אייער סאַפּלייער קייט מאַפּע בלייבט פּינקטלעך. א קורצע ארויסגאַנג טשעקליסט און אַן דערהייַנטיקט רעגיסטער אַרייַנטרעטן ווייַזן אַז איר האָט פֿאַרמאַכט די שייכות אויף אַ קאָנטראָלירטן וועג.

אוידיטאָרן ערוואַרטן נישט קיין שלימות, אָבער זיי ערוואַרטן יאָ צו זען אַז אַזאַ לעבנסציקל עקזיסטירט, איז ריזיקאָ-באַזירט און ווערט נאָכגעפאָלגט אין פּראַקטיק פֿאַר קריטישע סאַפּלייערז.

קיין סאַפּלייער איז נישט פּערפעקט, און אַנעקס A.5.21 פארלאנגט נישט פּערפעקציע. עס ערוואַרטעט פון אייך צו מאַכן אינפאָרמירטע, דאָקומענטירטע באַשלוסן וועגן די ריזיקעס וואָס איר ירשעט און די קאָמפּענסירנדיקע קאָנטראָלן וואָס איר אַפּליקירט, און צו קענען דערקלערן די באַשלוסן צו אָדיטאָרס און קאַסטאַמערז.

נישט יעדער סאַפּלייער וועט טרעפן יעדן אידעאַלן קאָנטראָל, און נישט יעדער סאַפּלייער דאַרף. וואָס איז וויכטיק איז אייער פיייקייט צו דערקלערן פארוואס אַ שייכות איז פּאַסיק געגעבן דעם ריזיקע וואָס עס ברענגט אריין. טיערינג העלפט, אָבער איר דאַרפט אויך קלארקייט ווען איר זענט באַקוועם צו ירשענען קאָנטראָלן פון אַ סאַפּלייער'ס אייגענעם זיכערהייט פריימווערק און ווען איר בעפארצוגט קאָמפּענסירנדיקע מיטלען.

למשל, אויב אַ גרויסער וואָלקן פּראַוויידער האַלט ברייט אנערקענטע סערטיפיקאַציעס און אַרבעט לויט אַ שטאַרקן זיכערהייט סטאַנדאַרט, איז עס געוויינטלעך גלייַך צו פאַרלאָזן זיך אויף יענע פֿאַר פילע אונטערלייגנדיקע קאָנטראָלן, צוגעשטעלט אַז איר פאַרוואַלטעט אייער קאָנפיגוראַציע זיכער. אין קאַנטראַסט, פֿאַר אַ קלענערער ספּעציאַליסטישער פּלאַטפאָרמע מיט ווייניקער פֿאָרמעלער זיכערהייט, קענט איר באַשליסן צו באַגרענעצן איר פאַרנעם, פאָדערן ספּעציפֿישע קאָנטראַקטואַלע פֿאַרפֿליכטונגען אָדער צולייגן אייער אייגענע מאָניטאָרינג און טעסטינג.

אינצידענטן האַנדלינג פארדינט ספּעציעלע אויפמערקזאַמקייט. פֿאַר קערן פּלאַטפאָרמעס, זאָלן זיין קלאָרע צוזאָג וועגן ווי שנעל איר וועט ווערן געוואָרנט וועגן אַ זיכערהייט פּראָבלעם, וואָסערע אינפֿאָרמאַציע איר וועט באַקומען און ווי איר קענט קאָאָרדינירן ענטפֿערס צו באַשיצן אייערע קאַסטאַמערז. די ערוואַרטונגען זענען בעסטער געשריבן אין קאָנטראַקטן אָדער סערוויס אַגרימאַנץ אלא ווי צו לאָזן ווי אינפֿאָרמעלע פֿאַרשטענדענישן.

דאקומענטירן די אורטיילן אין אייער ריזיקע רעגיסטער און סטעיטמענט פון אנווענדבארקייט ווייזט אוידיטארן אז אנעקס A.5.21 ווערט אנגעווענדעט מיט אכטונג, נישט אויטאמאטיש. אייער סטעיטמענט פון אנווענדבארקייט איז פשוט אייער פארמאלע ליסטע פון ​​אנעקס A קאנטראלן, וואו איר דערקלערט וועלכע זענען נוגע, ווי אזוי און פארוואס.



קליימינג

באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ


דיזיינינג דאַונסטרים קאָנטראָלס פֿאַר קאַסטאַמערז און זייערע אַבלאַגיישאַנז

דאַונסטרים קאָנטראָלס דעפינירן ווי איר טיילט פֿאַראַנטוואָרטלעכקייט מיט קאַסטאַמערז און וואָס איר דערוואַרט פֿון זיי צו האַלטן סערוויסעס זיכער. פֿאַר MSPs, קלאָרע דאַונסטרים קאָנטראָלס רעדוצירן דעם ריזיקירן פֿון ווערן באַשולדיקט פֿאַר עקספּאָוזשערז וואָס ליגן מיט די קונה און ווייַזן רעגולאַטאָרס אַז איר האָט באַשטימט צונעמען, דאָקומענטירטע ערוואַרטונגען. אַנעקס A.5.21 פארשטארקט די נויטווענדיקייט צו מאַכן די ערוואַרטונגען קלאָר, דורכפירלעך און באַווייַז-געשטיצט.

אין פּראַקטיק, דאַונסטרים קאָנטראָל איז וועגן שטעלן גרענעצן און מאַכן זיכער אַז אַלעמען פֿאַרשטייט זיי. איר דעפינירט וואָס איר טוט דורך דיפאָלט, וואָס קאַסטאַמערז מוזן טאָן און ווי איר וועט ווייַזן אַז ביידע זייטן מקיים זייער פֿאַראַנטוואָרטלעכקייטן. ווען דאָס איז געטאן גוט, שמועסן וועגן אינצידענטן, נייַע באדערפענישן אָדער נאָך באַדינונגען אָנהייבן פון אַ געמיינזאַמע פארשטאנד אַנשטאָט פון אַ מחלוקת וועגן ווער איז געווען פאַראַנטוואָרטלעך.

דיזיינינג סערוויס-ספּעציפֿישע געטיילטע פֿאַראַנטוואָרטלעכקייט מאָדעלן

א נוצלעכער מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט זאָגט קאַסטאָמערס, אין פּשוטער שפּראַך, וועלכע טיילן פֿון זיכערהייט איר באַזיצט און וועלכע זיי באַזיצן פֿאַר אַ געגעבענער סערוויס. פֿאַרשידענע סערוויס משפּחות האָבן פֿאַרשידענע שפּאַלטונגען, אַזוי יעדע דאַרף איר אייגענעם פּשוטן מאָדעל וואָס שפּיגלט אָפּ ווי דער סערוויס איז דיזיינד אין דער ווירקלעכקייט. אין דעם קאָנטעקסט, איז אַ מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט פשוט אַ קלאָרע באַשרייַבונג פֿון ווי זיכערהייט אויפֿגאַבן זענען צעטיילט צווישן אײַך און דעם קונה.

פֿאַר יעדער סערוויס משפּחה, בויען אַ מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט וואָס ענטפֿערט ​​דריי פֿראַגעס:

  • וואָסערע קאָנפיגוראַציע און מאָניטאָרינג גיט איר צו דורך דיפאָלט?
  • וואָס מוז דער קונה טאָן כּדי דאָס זאָל זײַן עפֿעקטיוו?
  • ווי וועט איר באווייזן אז ביידע זייטן טוען זייער חלק?

למשל, פֿאַר אַ געראטן מייקראָסאָפֿט 365 סערוויס, קענען אייערע פֿאַראַנטוואָרטלעכקייטן אַרייַננעמען קאָנפיגורירן קאָנדישאַנאַל אַקסעס פּאָליטיקס, ערמעגלעכן לאָגינג און מאָניטאָרינג שליסל וואָרענונגען. די קונה'ס פֿאַראַנטוואָרטלעכקייטן קענען אַרייַננעמען האַלטן באַניצער דעטאַילס פּינקטלעך, דורכפירן פּאַסיק-נוצן פּאָליטיקס און ענטפֿערן שנעל צו זיכערהייט נאָוטאַפאַקיישאַנז. באַווייַזן דעם מאָדעל קען אַרייַננעמען פּעריאָדישע קאָנפיגוראַציע באַריכטן און דאָקומענטירטע קונה האַסקאָמע.

די מאָדעלן זאָלן זיין געשריבן אין אַ צוטריטלעכער שפּראַך, ווידערגענוצט איבער קאָנטראַקטן און פאָרשלאָגן, און געשטיצט דורך אינערלעכע פּלייבוקס וואָס ווייַזן אייערע טימז ווי צו מקיים זיין אייער זייט פון דער אָפּמאַך. ווען קאַסטאַמערז פֿאַרשטיין דעם מאָדעל פֿון אָנהייב, שפּעטערדיקע שמועסן וועגן זיכערהייט אינצידענטן אָדער נאָך פֿאַרפֿליכטונגען ווערן באַגרינדעט אין דעם געמיינזאַמען פֿאַרשטאַנד אַנשטאָט אין אַד האָק ערוואַרטונגען.

באַשטעטיקן קונה פֿאַרפליכטונגען און האַנדלען מיט ניט-קאָנפאָרמאַנס

קונה פֿאַרפֿליכטונגען באַשרײַבן וואָס קאַסטאַמערז דאַרפֿן טאָן צו מאַכן אײַערע סערוויסעס עפֿעקטיוו און צו האַלטן זייער אייגענע ריזיקע אין אַקצעפּטאַבלע גרענעצן. אַנעקס A.5.21 ערוואַרטעט פֿון אײַך קלאָר צו שטעלן די פֿאַרפֿליכטונגען, זיי מאָניטאָרירן וווּ איר קענט און באַשליסן פֿון פֿאָרויס ווי איר וועט האַנדלען מיט גאַפּס.

דאַונסטרים קאָנטראָלס אָפט אַרייַננעמען אָבליגאַציעס אַזאַ ווי:

  • אויפהאלטן געשטיצטע אפערירן סיסטעמען.
  • זיכער מאַכן אַז שטאב מיטגלידער פאַרענדיקן זיכערהייט וויסיקייַט טריינינג.
  • ערמעגלעכן מולטי-פאַקטאָר אויטענטיפיקאַציע אויף זייערע אייגענע סיסטעמען.
  • אייך באַלד אָנזאָגן וועגן באַטייַטיק ענדערונגען אין זייער סביבה.

יענע פֿאַרפֿליכטונגען זאָלן זײַן פּאַסיק צום סערוויס און ריזיקאָ פּראָפֿיל, פֿאַרשריבן אין קאָנטראַקטן אָדער זיכערהייט־פּלענער, און געשטיצט דורך פּשוטע מעכאַניזמען צו זאַמלען באַווײַזן. דאָס קען אַרײַננעמען פּעריִאָדישע באַשטעטיקונגען, טעכנישע קאָנטראָלן וווּ איר האָט זעאונג, אָדער רעזולטאַטן פֿון געמיינזאַמע איבערבליקן.

עס איז גלייך וויכטיג צו באַשליסן, פון פאָראויס, ווי איר וועט האַנדלען מיט נישט-קאָנפאָרמאַציע. עטלעכע לעכער קענען ווערן פֿאַרמינדערט; אַנדערע קענען פֿירן צו אויסנעמען, נאָך אָפּצאָלן אָדער, אין עקסטרעמע פֿאַלן, אָפּזאָג צו צושטעלן אַ סערוויס.

שריט 1: דעפינירן ווי נישט-קאָנפאָרמאַנס ווערט אידענטיפיצירט

באַשליסט וועלכע פֿאַרפֿליכטונגען איר קענט טעכניש קאָנטראָלירן און וועלכע פֿאַרלאָזן זיך אויף קונה באַשטעטיקונגען אָדער איבערבליק מיטינגען. כאַפּט די קאָנטראָלן אין אייערע פּראָצעסן אָדער מכשירים אַזוי אַז נישט-קאָנפאָרמאַנס איז קענטיק.

שריט 2: באַשליסן ווער קען געבן און באַשטעטיקן אויסנעמען

דאָקומענטירט וועלכע ראָלעס קענען באַשטעטיקן צייטווייליגע אויסנעמען, אונטער וועלכע באַדינגונגען און פֿאַר ווי לאַנג. דאָס פֿאַרמייַדט אויף-דער-אָרט קאָמפּראָמיסן וואָס שפּעטער ווערן שטענדיק.

שריט 3: רעקאָרדירן און איבערקוקן רעזידועל ריזיקע

זיכערט אז אויסנעמען און נישט-קאנפליענס פעלער ווערן רעקארדירט ​​אין אייער ריזיקע רעגיסטער און איבערגעקוקט אין פאסיגע גאווערנענס פארומס. דאס ווייזט אז איר פירט, נישט איגנארירט, דעם איבערבלייבנדיקן ריזיקע.

קלאָרע דאַונסטרים מאָדעלן און פֿאַרפֿליכטונגען זענען אַטראַקטיוו פֿאַר דערוואַקסענע קאַסטאַמערז. זיי ווײַזן אַז איר נעמט זייער ריזיקע ערנסט און אַז איר זענט גרייט צו שטעלן און האַלטן פֿאַרשטענדלעכע גרענעצן אַנשטאָט צו מסכים זײַן צו וואַגע, נישט דורכפֿירבארע הבטחות.



גאַווערנאַנס, ראָלעס, און לעבן-ציקל פֿאַר סאַפּליי-קייט קאָנטראָל

צושטעל קייט זיכערהייט וואקסט נאר ווען עמעצער איז קלאר דער אייגענטומער דערפון און די רעשט פון דער ארגאניזאציע פארשטייט זייער טייל. אנעקס A.5.21 ווערט נאכhaltig ווען עס איז איינגעווארצלט אין גאַווערנאַנס, מיט דעפינירטע ראָלעס, פֿאַראַנטוואָרטלעכקייטן און אָפּשאַצונג ריטמען, אַנשטאָט צו זיין איבערגעלאָזט ווי אַן אינפאָרמעלע זייט אַרבעט פֿאַר זיכערהייט. עפעקטיוו גאַווערנאַנס איז ווייניקער וועגן שאַפֿן נייַע מיטינגז און מער וועגן פרעגן בעסערע פֿראגן אין די וואָס איר האָט שוין.

אויב סופּליי טשיין זיכערהייט ווערט באהאנדלט ווי "עמעצנס פראבלעם" אן קלארקייט, וועט עס זיך פארדרייען. איר דארפט באשליסן ווער איז פאראנטווארטלעך פארן קאנטראל, ווער גיט אריין אינפוט, ווער פירט אויס ספעציפישע אויפגאבן און ווי אפט ווערט איבערגעקוקט די פערפארמענס. גוטע גאווערנענס איז וועגן קלארע באשלוסן און רעגעלמעסיגע באמערקונגען, נישט מער מיטינגען.

עפעקטיווע צושטעל קייט גאַווערנאַנס איז פרעגן בעסערע פֿראגן אין עקזיסטירנדע מיטינגז.

צוטיילן אייגנטומערשאפט און RACI איבערן געשעפט

א באשטימטער קאנטראל אייגענטימער גיט אנעקס A.5.21 א קלארע היים, אבער דערפאלג איז אפהענגיק פון קאארדינירטע אנשטרענגונגען איבער איינקויף, אפעראציעס, לעגאלע און קאנטע מענעדזשמענט. א פשוטער RACI מאדעל מאכט עס קלאר ווער טוט וואס, ווער אונטערשרייבט און ווער דארף בלייבן אינפארמירט ווען די ריזיקעס פון די סופלייערס אדער קאסטומערס טוישן זיך.

א פּראַקטישער אָנהייב־פונקט איז צו באַשטימען איין קאָנטראָל־באַזיצער פֿאַר אַנעקס A.5.21, אָפֿט אייער אינפֿאָרמאַציע־זיכערהייט־פֿירער אָדער ווירטועלער CISO. יענע פּערזאָן איז פֿאַראַנטוואָרטלעך פֿאַר זיכער מאַכן אַז די קאָנטראָל איז דיזיינד און אַרבעט, אָבער זיי קענען עס נישט אויספֿירן אַליין. פּראָקורמענט, לעגאַלע, אָפּעראַציעס און קאָנטאָ־פֿאַרוואַלטונג האָבן אַלע ראָלעס צו שפּילן.

א פשוטע RACI (פאראנטווארטלעך, אקאנטאבעל, קאנסולטירט, אינפארמירט) מאטריץ העלפט. למשל, פארן איינפירן א נייעם טיער 1 סופלייער:

  • פּראָקורעמענט איז פאַראַנטוואָרטלעך פֿאַר זיכער מאַכן אַז מסכים זיכערהייט קלאָזולעס זענען אין דעם קאָנטראַקט.
  • דער אינפֿאָרמאַציע זיכערהייט פירער איז פאַראַנטוואָרטלעך פֿאַר באַשטעטיקן דעם סאַפּלייער'ס ריזיקאָ אַסעסמאַנט און טיער.
  • לעגאַל ווערט קאָנסולטירט וועגן קאָמפּליצירטע טערמינען, אויסנעמען און פֿאַראַנטוואָרטלעכקייטן.
  • אָפּעראַציעס און אַקאַונט פאַרוואַלטונג ווערן אינפאָרמירט וועגן פאַרפליכטונגען וואָס האָבן אַן השפּעה אויף ווי זיי צושטעלן באַדינונגען.

ווען די פארטיילונג איז קלאר, הערן קאלעגן אויף צו זען אנעקס A.5.21 אלס "דעם ISO מענטש'ס פראבלעם" און הייבן אן צו פארשטיין זייער אייגענע ראלע אין דער באגעגעניש דערמיט.

אויסקלויבן גאַווערנאַנס ריטמען וואָס פּאַסן צו אָפּעראַציעס

גאַווערנאַנס אַרבעט בעסטן ווען סאַפּליי טשיין פֿראַגעס זענען געבויט אין מיטינגז וואָס זענען שוין וויכטיק, אַזאַ ווי ריזיקירן קאמיטעטן, פאַרוואַלטונג באריכטן און סערוויס באריכטן. אַנעקס A.5.21 ריקווייערז נישט קיין נייַע ביוראַקראַטיע; עס ריקווייערז איר צו פרעגן די רעכט פֿראַגעס וועגן סאַפּלייערז און קאַסטאַמערז אין די רעכט צייטן און רעקאָרדירן די ענטפֿערס.

קאָנטראָלן זענען מער מסתּמא צו בלייבן לעבעדיק ווען זיי ריטירן אויף ריטמען וואָס די אָרגאַניזאַציע רעספּעקטירט שוין. פֿאַר צושטעל קייט זיכערהייט, דאָס קען מיינען:

  • אריינרעכענענדיג שליסל סאַפּלייערז און קונה ריזיקירן טעמעס ווי שטייענדיקע אַגענדאַ פונקטן ביי עקזיסטירנדיק ריזיקירן אָדער סערוויס אָפּשאַצונג באָרדז.
  • פּלאַנירן פּעריִאָדישע איבערבליקן פון קריטישע סאַפּלייערז און הויך-ריזיקירן קאַסטאַמערז אין לויט מיט קאָנטראַקט ציקלען אָדער באַדייטנדיקע ענדערונגען.
  • איבערקוקן צושטעל קייט-פארבונדענע אינצידענטן און כמעט-אומגליקן אין נאך-אינצידענט איבערבליקן און אריינברענגען די געלערנטע לעקציעס צוריק אין צושטעלער און קונה מענעדזשמענט.

פֿאַרמײַדט צו שאַפֿן גאָר נײַע קאָמיטעטן סײַדן איר דאַרפֿט זיי; אַנשטאָט, פֿאַרבינדט אַנעקס A.5.21 אין אײַנגעפֿירטע גאַווערנאַנס פֿאָרומס. למשל, אײַער ISO 27001 מענעדזשמענט איבערבליק קען קלאָר באַהאַנדלען פּערפאָרמאַנס קעגן צושטעל קייט אינדיקאַטאָרן, אַזאַ ווי די צאָל קריטישע סאַפּלייערז אָן איצטיקע אַסעסמאַנץ, די אָפֿטקײַט פֿון סאַפּלייער-פֿאַרבונדענע אינצידענטן אָדער די צײַטלעכקײַט פֿון אינצידענט מעלדונגען.

גאַווערנאַנס זאָל אויך אויסברייטערן צו ווייניקער קענטיקע באַציִונגען, ווי סובקאָנטראַקטאָרס געניצט פֿאַר קאַווערידזש נאָך די שעה אָדער ווייסע-לייבל פּראַוויידערז וואָס צושטעלן באַדינונגען אונטער דיין בראַנד. די סאַפּליי קייט בילד איז נישט גאַנץ אָן זיי, און אינצידענטן וואָס אַרייַנציען די פּאַרטיעס קענען זיין פּונקט אַזוי שעדלעך. זיכער מאַכן אַז זיי זענען אין די פאַרנעם פון ריזיקאָ אַסעסמאַנט, קאָנטראַקטואַל קאָנטראָלס און השגחה איז טייל פון גלויבווערדיק אַנעקס A.5.21 ימפּלאַמענטיישאַן.



ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ


אינטעגרירן A.5.19–A.5.22 מיט ריזיקע, סאַפּלייער, און ענדערונג פּראָצעסן

אַנעקס A.5.19–A.5.22 אַרבעטן בעסטן ווען זיי זענען איינגעוואָבן אין פּראָצעסן וואָס איר ניצט שוין צו פאַרוואַלטן ריזיקע, סאַפּלייערז, ענדערונגען און אינצידענטן. אַנשטאָט צו שטיין באַזונדער ווי אפגעזונדערטע "ISO אויפגאַבן", זאָלן זיי זיין אָפּגעשפּיגלט אין אייער ריזיקע רעגיסטער, פּראָקורמענט וואָרקפלאָו, ענדערונג פאַרוואַלטונג און נאָך-אינצידענט באריכטן אַזוי אַז סאַפּליי קייט טראכטן ווערט אַ טייל פון טעגלעך אַרבעט. די אינטעגראַציע איז וואָס טורנס פּאָליטיק סטייטמאַנץ אין קאָנסיסטענט נאַטור.

צוויי דריטל פון אָרגאַניזאַציעס אין דער 2025 שטאַט פון אינפֿאָרמאַציע זיכערהייט אַנקעטע האָבן געזאָגט אַז די שנעלקייט און באַנד פון רעגולאַטאָרישע ענדערונגען מאַכן העסקעם שווערער צו האַלטן.

דיזיינען פּאָליטיקס און מאָדעלן איז נייטיק אָבער נישט גענוג. סופּליי טשיין קאָנטראָלס אַרבעטן נאָר ווען זיי זענען איינגעפלאַסטערט אין די פאָרמען, טיקעטן און וואָרקפלאָוז וואָס מענטשן נוצן שוין צו בעטן ענדערונגען, אָנשטעלן נייע מכשירים, אָפּשאַצן ריזיקעס און רעאַגירן אויף אינצידענטן. אַנעקס A.5.19–A.5.22 זענען מערסט עפעקטיוו ווען זיי זענען רעפלעקטירט אין ווי איר רעקאָרדירט ​​ריזיקעס, נעמט סאַפּלייער דיסיזשאַנז, באַשטעטיקן ענדערונגען און לערנט זיך פון אינצידענטן.

איינפירן צושטעל-קייט געדאנקען אין טעגליכע ארבעטספלאָוז

דער ערשטער שריט איז צו מאַכן די ריזיקע פון ​​די ICT צושטעל קייט קענטיק צוזאַמען מיט אַנדערע ריזיקעס. דאָס מיינט צו שאַפֿן קלאָרע ריזיקע איינטראַגעס פֿאַר קריטישע באַדינונגען און סאַפּלייערז און כאַפּן ווי איר פּלאַנירט צו באַהאַנדלען די ריזיקעס. אַמאָל דאָס איז אין פּלאַץ, קענט איר צולייגן קליינע, מאַנדאַטאָרישע טשעקפּוינטס צו וואָרקפלאָוז וואָס אייער מאַנשאַפֿט פֿאָלגט שוין, אַזוי אַז באַשלוסן וועגן סאַפּלייערז און ענדערונגען אויטאָמאַטיש שפּיגלען אַנעקס A ערוואַרטונגען.

הייבט אן מיט זיכער מאכן אז אייער צענטראלער ריזיקע רעגיסטער כאפט קלאר איין ריזיקעס אין די אינפארמאציע טעכנולוגיע צושטעל קייט. פאר יעדן הויפט סערוויס און קריטישן סאַפּלייער, זאלן זיין ריזיקע איינטראגעס וואס שפיגלען אפ די מעגליכע אויסווירקונג פון זייער דורכפאל אדער קאמפראמיס, צוזאמען מיט די אויסגעקליבענע באהאנדלונגען. דאס שטעלט די ריזיקע פון ​​די צושטעל קייט צוזאמען מיט אנדערע שוואכקייטן און העלפט די פירערשאפט פארשטיין קאמפראמיסן.

ווייטער, אינטעגרירן סופּליי טשיין טשעקפּוינטס אין עקזיסטירנדיקע וואָרקפלאָוז:

  • קויף פּראָצעסן זאָלן אַרייַננעמען פּראָמפּטס צו קאָנטראָלירן צי אַ פֿאָרגעלייגטער סאַפּלייער פֿאַלט אין אַ באַזונדער ריזיקאָ שטאַפּל, צי דיו דילידזשענס איז געענדיקט געוואָרן און צי קאָנטראַקט טעמפּלאַטן אַרייַננעמען די פארלאנגטע זיכערהייט קלאָזולעס.
  • ענדערונג פארלאנגען וואָס פירן איין אָדער פאַרבייטן וויכטיקע מכשירים אָדער סוב-פּראַסעסערז זאָלן אויטאָמאַטיש אַקטיוויירן אַ אָפּשאַצונג פון אַפּסטרים און דאַונסטרים ימפּאַקץ, נישט נאָר טעכנישע קאָמפּאַטאַבילאַטי.
  • סערוויס דיזיין אדער אָנבאָרדינג פּראָצעסן פֿאַר נײַע קאַסטאַמערז זאָלן אַנטהאַלטן טריט צו צולייגן דעם פּאַסיקן מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט און באַשטעטיקן אַז די נאָך-לימיטאַציעס זענען דאָקומענטירט און אָנגענומען.

די פראמפטן קענען אפט ווערן צוגעגעבן צו פארמען און טיקעט טעמפלעיטס מיט מינימאלער רייַבונג, צוגעשטעלט אז זיי זענען פארלאנגט פאר די סצענארן וואס זענען וויכטיג און ענטפֿערס ווערן רעקארדירט ​​צענטראל אזוי אז זיי ווערן צוריקגעגעבן צו אייערע ISMS רעקארדס.

מעסטן פאָרשטעלונג און לערנען פון אינצידענטן

איר קענט נישט פֿאַרבעסערן וואָס איר קענט נישט זען. אַנעקס A.5.21 ווערט פֿיל מער ווערטפֿול ווען איר פֿאָלגט ווי גוט די קאָנטראָלן פֿון סופּליי טשיין אַרבעטן און איר לערנט לעקציעס פֿון די אינצידענטן צוריק אין אייערע שטאַפּלען, טעמפּלאַטן און פּלייבוקס. די ציל איז נישט צו ברענגען יעדע נומער צו נול, נאָר צו פֿאַרשטיין וווּ אייערע גרעסטע עקספּאָוזשערז פֿון סופּליי טשיין טאַקע געפֿינען זיך און ווײַזן אַז איר פֿאַרוואַלטעט זיי.

אזוי שנעל ווי די קאנטראלן ארבעטן, דארפט איר באמערקונגען צו זיי פארבעסערן. נוצלעכע מיטלען קענען ארייננעמען:

  • דער פּראָפּאָרציע פון ​​קריטישע סאַפּלייערז מיט אַרויף-צו-דאַטע ריזיקאָ אַסעסמאַנץ און דאָקומענטירטע זיכערהייט קאַמיטמאַנץ.
  • די צאָל און ערנסטקייט פון אינצידענטן וואו די וואָרצל־אורזאַך האָט געהאַט אַ שייכות מיטן אויבערשטן אָדער אונטערשטן טייל.
  • די צייט וואָס עס נעמט צו ווערן געמאָלדן וועגן באַטייַטיקע סאַפּלייערז אינצידענטן און צו קאָמוניקירן מיט די אַפעקטירטע קאַסטאַמערז.
  • די ראטע פון ​​קונה נישט-נאכקומען שליסל דאון-סטרים פארפליכטונגען און ווי אפט אויסנעמען ווערן געגעבן.

ווען אינצידענטן פאסירן, זאָל די וואָרצל-גורם אַנאַליז באַוואוסטזיניק אונטערשיידן צווישן אויבערשטע דורכפאַלן, אינערלעכע פּראָבלעמען און אונטערשטע שוואַכקייטן. יענע אונטערשיידונג אינפאָרמירט וואו איר דאַרפט פארשטארקן ערוואַרטונגען, פֿאַרבעסערן אייערע אייגענע פּראַקטיקעס אָדער צופּאַסן קונה פֿאַרפליכטונגען. צוריקגעבן די איינזיכטן אין סאַפּלייער טיערינג, קאָנטראַקט טעמפּלאַטעס און פּלייבוקס מאַכט אייער אַנעקס A.5.21 ימפּלעמענטאַציע באמת איטעראַטיוו, נישט סטאַטיש.

א דעדיקירטע ISMS פּלאַטפאָרמע קען אייך העלפֿן פֿאַרבינדן סאַפּלייערז, באַדינונגען, קאַסטאַמערז, ריזיקעס און קאָנטראָלס אין איין אָרט, אַזוי אַז אַן איינציקע ענדערונג אָדער אינצידענט קען ווערן נאָכגעפֿאָלגט איבער די באַציִונגען וואָס עס אַפֿעקטירט. אפילו אויב איר זענט נישט גרייט צו אַדאַפּטירן אַזאַ פּלאַטפאָרמע גלייך, איז דיזיינינג אייערע פּראָצעסן אַזוי אַז די נייטיקע דאַטן קענען ווערן צענטראַל געכאפט שפּעטער אַ פּראַגמאַטישער שריט צו אַ מער אינטעגרירטן ISMS.



בוך אַ דעמאָ מיט ISMS.online הייַנט

ISMS.online קען אייך העלפן אריבערפירן אנאקס A.5.21 פון צעשפרייטע סופלייערס ליסטעס און קאנטראקט קלאוזעס אין איין, לעבעדיגע בילד פון אייער ICT סופליי קייט, קאנטראלן און באווייזן. דורך פארטרעטן ספּרעדשיטס, אימעיל טרעילס און אפגעזונדערטע דאקומענטן מיט איין פארבונדענע סביבה, קענט איר זען אפסטרים און דאוןסטרים באציאונגען קלארער, נאכפאלגן אחריותן און ענטפערן שווערע פראגעס פון קאסטומערס און אוידיטארן מיט גרעסערער בטחון.

אויב איר כאָשעד אַז ענטפֿערן אַ קאָמפּליצירט קונה פֿראַגעבאָגן אָדער אַן ISO 27001:2022 אוידיט וואָלט נאָך אַלץ אַרויסרופֿן אַ קאַמף, איז דאָס אַ סיגנאַל צו אויספֿאָרשן אַ מער סטרוקטורירטן צוגאַנג. זען אייערע אַפּסטרים און דאַונסטרים באַציִונגען קלאָר קאַרטירט, מיט פֿאַראַנטוואָרטלעכקייטן און ריזיקעס קענטיק אויף איין בליק, גיט איר אַ מער זיכערע געשיכטע פֿאַר קאַסטאַמערז, אוידיטאָרן און פֿירערשאַפֿט.

ווי אזוי צו פּילאָטירן A.5.21 אין איין טייל פון אייער צושטעל קייט

א פאָקוסירטער פּילאָט איז דער פּשוטסטער וועג צו זען ווי אַנעקס A.5.21 קוקט אויס ווען עס איז גאָר איינגעוואָרצלט אין אַן ISMS. אַנשטאָט צו פּרובירן צו מאָדעלירן אייער גאַנצע וועלט אויף איין מאָל, קאָנצענטרירט איר זיך אויף אַ קליינעם, רעפּרעזענטאַטיוון שטיקל פון אייער צושטעל קייט און פּרובירט צי די סטרוקטור און מכשירים רעדוצירן טאַקע מי און אומזיכערקייט.

א פּראַקטישער פּילאָט קען אָנהייבן מיט איין קריטישער אַפּסטרים פּלאַטפאָרמע און איין הויך-ריזיקירנדיקער קונה. איר קענט אימפּאָרטירן די באַציִונגען אין ISMS.online, זיי מאַפּירן צו אַנעקס A.5.19–A.5.22 און כאַפּן די שליסל אַרטיפאַקץ: סאַפּלייער ריזיקאָ אַסעסמאַנץ, געטיילטע פֿאַראַנטוואָרטלעכקייט מאָדעלס, קונה פֿאַרפֿליכטונגען און מאָניטאָרינג באַווייַזן. אין דעם באַגרענעצטן פאַרנעם, קענט איר זען צי די פּלאַטפאָרמע באַדייטנדיק ראַדוסאַז מי, קלעראַפיצירט אָונערשיפּ און פֿאַרבעסערט דיין גרייטקייט פֿאַר פֿראַגן פֿון אָדיטאָרס און קאַסטאַמערז.

דורך האַלטן דעם פּילאָט קליין, בלייבט איר אין קאָנטראָל פון דעם פאַרנעם און פאַרמייַדט צו איבערלאָדן שוין פאַרנומענע טימז. אין דער זעלבער צייט, גיט איר זיך קאָנקרעטע ביישפילן - אַ באַפעלקערטע ריזיקאָ רעגיסטער אַרייַנטרעטן, אַ דאָקומענטירט סאַפּלייער לעבן-ציקל, אַ געטיילטע פֿאַראַנטוואָרטלעכקייט מאַטריץ - וואָס איר קענט ווייַזן צו קאָלעגעס און פירערשאַפט ווען איר דיסקוטירט ווי צו סקאַלירן דעם צוגאַנג.

וואָס צו ברענגען צו אַן ISMS.online שמועס

איר וועט באַקומען די מערסטע ווערט פון אַ שמועס וועגן ISMS.online אויב איר קומט אָן מיט אַ פּשוט בילד פון אייער איצטיקע סאַפּליי קייט און טשאַלאַנדזשיז. אַ קליין ביסל צוגרייטונג מאכט עס גרינגער צו זען ווי די פּלאַטפאָרמע קען שטיצן אייער ספּעציפֿישע סיטואַציע און צי עס איז אַ גוטע פּאַסיק פֿאַר אייער אָרגאַניזאַציע.

נוצלעכע אינפֿאָרמאַציע איז טיפּיש:

  • א ליסטע פון ​​אייערע מערסט קריטישע אַפּסטרים ICT סאַפּלייערז און די באַדינונגען וואָס זיי שטיצן.
  • א קורצע ליסטע פון ​​הויך-אימפּאַקט קאַסטאַמערז, ספּעציעל די אין רעגולירטע סעקטאָרן.
  • יעדע עקזיסטירנדיקע דאקומענטן וואָס באַשרייבן געטיילטע פֿאַראַנטוואָרטלעכקייטן, קונה פֿאַרפֿליכטונגען אָדער סאַפּלייער ערוואַרטונגען.
  • ביישפילן פון לעצטיגע אינצידענטן פֿאַרבונדן מיט סאַפּלייער אָדער קונה וואָס זענען געווען שווער צו פאַרוואַלטן.

מיט די אינפוטס, קען די ISMS.online מאַנשאַפֿט דורכגיין ווי אייערע עכטע באַציִונגען וואָלטן אויסגעזען אינעווייניק פֿון דער פּלאַטפאָרמע און ווי אַנעקס A.5.19–A.5.22 וואָלט אויסגעדריקט ווערן אין פּראַקסיס. די ציל איז נישט צו פֿאָרשלאָגן אַן אַלגעמיינע לייזונג, נאָר צו ווײַזן, ניצנדיק אייערע אייגענע בײַשפּילן, ווי אַ פֿאַרבונדענער ISMS קען פֿאַרפּשוטערן אַנעקס A.5.21 און פֿאַרבעסערן אייער צושטעל-קייט געשיכטע.

אויב איר דערקענט אייער אייגענע אָרגאַניזאַציע אין די סצענאַרן און ווילט פּרובירן אַ מער אינטעגרירטן צוגאַנג, איז ISMS.online גרייט צו ויספאָרשן אַ פאָקוסירטן פּילאָט מיט אייך, ניצנדיק אייערע פאַקטישע סאַפּלייערז און קאַסטאַמערז צו זען צי אַ פֿאַרבונדענע ISMS איז דער ריכטיקער ווייטערדיקער שריט פֿאַר אייער MSP.

ספר אַ דעמאָ


אָפֿט געשטעלטע פֿראגן

ווי אזוי טוישט ISO 27001:2022 אנעקס A.5.21 דעם וועג ווי אַן MSP זאָל טראַכטן וועגן זיין ICT סאַפּליי קייט?

אַנעקס A.5.21 ערוואַרטעט אַז איר זאָלט פירן אייער אינפֿאָרמאַציע- און קאָמוניקאַציע טעכנאָלאָגיע (ICT) צושטעל קייט ווי איין גאַווערנד סיסטעם פֿון וואָלקן פּלאַטפאָרמע ביז קונה רעזולטאַטן, נישט ווי אַ סכום פֿון אָפּגעטיילטע פֿאַרקויפֿער, מכשירים און קאָנטראַקטן. פֿאַר אַן MSP, דאָס מיינט אַז איר דאַרפֿט אַ לעבעדיקע, פֿאַרטיידיקבאַרע איבערבליק פֿון ווי אַפּסטרים פּראַוויידערז, אייערע אייגענע סערוויסעס און דאַונסטרים קאַסטאַמערז זענען פֿאַרבונדן צוזאַמען און ווי איר פֿאַרוואַלטעט ריזיקאָ אַריבער יענער קייט.

וואָס מיינט טאַקע "ענד-צו-ענד ICT סאַפּליי טשיין" פֿאַר אַן MSP?

ענד-צו-ענד מיינט אז איר קענט אָנהייבן מיט איין סערוויס און שפּורן:

  • וואָס אינפֿאָרמאַציע־טעכנאָלאָגיע פּראָדוקטן און באַדינונגען איר פֿאַרלאָזט זיך אויף עס צו צושטעלן.
  • ווי דיין אייגענע פּלאַטפאָרמעס און פּראָצעסן זיצן אין מיטן.
  • וואָס קאַסטאַמערז אָדער קונה סעגמענטן ווערן אַפעקטירט אויב עפּעס צעברעכט זיך.

אנשטאט "מיר ניצן פארקויפער X און מיר באדינען קונה Y", נעמט אנעקס A.5.21 אן אז איר פארשטייט און רעגולירט דעם גאנצן וועג: וואָלקן/פּלאַטפאָרמעס → MSP מכשירים און פּראָצעסן → קונה סביבותאויב אַ קאָר פּלאַטפאָרמע פיילז אָדער איז קאָמפּראָמיטירט, זאָלט איר שוין וויסן וועלכע סערוויסעס און טענאַנץ זענען אויסגעשטעלט און וואָס איר וועט טאָן וועגן דעם.

אין פּראַקטיק, דאָס מיינט אַז איר קענט:

  • ווײַזט אויף אַ סאַפּלייער רעגיסטער וואָס מאַפּט ICT פאַרקויפער צו באַדינונגען און ריזיקאָ קלאַסן.
  • דערקלערט, אין פּשוטער שפּראַך, ווער טוט וואָס (איר, דער סאַפּלייער, דער קונה) פֿאַר יעדן טיפּ סערוויס.
  • ווײַזט אַז דאָס בילד בלייבט אַקטועל ווען סערוויסעס, סאַפּלייערז אָדער רעגולאַציעס טוישן זיך.

אויב איר קענט דורכפירן אן אוידיטאר דורך יענעם שטאק ניצנדיק טעגליכע רעקארדס אנשטאט אן אייןמאליגן "אוידיט פעקל", באהאנדלט איר אנעקס A.5.21 אלס טייל פון ווי אזוי איר פירט דעם ביזנעס, וואס איז פונקט וואס זיי זוכן.

ווי אזוי בויט אנעקס A.5.21 אויף די אנדערע אנעקס A.5 סאַפּלייער קאָנטראָלן פֿאַר אַ געראטן סערוויס פּראַוויידער?

אַנעקס A.5.21 נעמט די אַלגעמיינע סאַפּלייער טעמעס פֿון A.5.19, A.5.20 און A.5.22 און ווענדט זיי ספּעציפֿיש אָן צום ICT סטאַק וואָס אונטערשטיצט אייערע געראטן סערוויסעס. עס איז ווייניקער וועגן דערפֿינדן נייע פּראָצעסן און מער וועגן פֿאַרבינדן סאַפּלייער סעלעקציע, קאָנטראַקטן, מאָניטאָרינג און ענדערונגען אין איין קאָוכירענטן צוגאַנג פֿאַר ICT פּראָדוקטן און סערוויסעס.

ווי פּאַסן די אַנעקס A.5 סאַפּלייער קאָנטראָלן צוזאַמען אין אַ MSP'ס ICT סאַפּלייער קייט?

איר קענט טראַכטן פון די פיר קאָנטראָלס ווי איין פלוס:

  • A.5.19 – אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציִונגען: באַשליסט וואו זיכערהייט איז וויכטיק אין אייער סאַפּלייער לאַנדשאַפט און ווי איר נעמט עס אין באַטראַכט אין ברירות.
  • A.5.20 – אַדרעסירן אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער אַגרימאַנץ: פארוואנדלט די ערווארטונגען אין קלארע קלאָזולעס, צוגאבן און סערוויס באַשרייַבונגען.
  • A.5.21 – פאַרוואַלטן אינפֿאָרמאַציע זיכערהייט אין די אינפֿאָרמאַציע טעכנאָלאָגיע צושטעל קייט: ווענדט דעם געדאַנק אָן צו דער ספּעציפֿישער נעץ פֿון אינפֿאָרמאַציע־טעכנאָלאָגיע פּלאַטפאָרמעס, מכשירים און אינטעגראַציעס וואָס ליגן אונטער אייערע געראטן סערוויסעס.
  • A.5.22 – מאָניטאָרינג, איבערבליק און ענדערונג פאַרוואַלטונג פון סאַפּלייער באַדינונגען: האַלטן די ריזיקירן און פאָרשטעלונג פון די סאַפּלייער אונטער אָפּשאַצונג און רעאַגירן צו אינצידענטן און ענדערונגען.

פֿאַר אַן MSP, איבערזעצט זיך דאָס געוויינטלעך אין דריי קענטיקע פֿעיִקייטן:

  • A צוגעבונדענע רעגיסטער וואו אינפֿאָרמאַציע־טעכנאָלאָגיע סאַפּלייערז זענען געבונדן צו סערוויסעס, ריזיקאָ רייטינגז און קאָנטראַקטואַלע קאַמיטמאַנץ.
  • A קאָנסיסטענט מוסטער פֿאַר ווי איר אָנבאָטן, מאָניטאָרירן און פֿאַרלאָזן אינפֿאָרמאַציע־טעכנאָלאָגיע סאַפּלייערז, אַנשטאָט איין־מאָליקע באַשלוסן אין אימעיל.
  • A שפּורבאַר לינק פֿון יענע אַקטיוויטעטן ביז קונה-פֿאָקוסירטע הבטחות און אייער אינערלעכער ריזיקאָ רעגיסטער.

ניצן אַ פּלאַטפאָרמע ווי ISMS.online מאַכט עס גרינגער צו פֿאַרבינדן די פּונקטן ווייל איר קענט האַלטן סאַפּלייערז, קאָנטראַקטן, ריזיקעס און אַנעקס A.5.19–A.5.22 קאָנטראָלס אין איין אָרט. דאָס אַלאַוז איר צו ווייַזן אָדיטאָרס און קאַסטאַמערז אַז איר פירט אַן ICT סאַפּליי קייט, נישט נאָר אַ טעקע קאַבינעט פון העסקעם.

ווי זאָל אַן MSP דיזיינען אַן אַפּסטרים ICT פאַרקויפער לעבן-ציקל וואָס באַפרידיקט אַנעקס A.5.21 אָן איבערלאָדן דאָס מאַנשאַפֿט?

דער עפעקטיווסטער וועג צו באַפרידיקן אַנעקס A.5.21 אַפּסטרים איז צו דעפינירן אַן איינציקן, איבערחזרנדיקן פארקויפער לעבן-ציקל און דערנאָך סקאַלירן די טיפקייט פון טשעקס לויט ריזיקע, נישט דורך שאַצן. אייער מאַנשאַפֿט דאַרף נאָר לערנען איין מוסטער, און איר רעזערווירט שווערע דיו דילידזשענס פֿאַר די סאַפּלייערז וואָס קענען טאַקע שאַטן אייך אָדער אייערע קאַסטאַמערז.

ווי זעט אויס אַ פּראַקטישער, איבערחזרנדיקער ICT פאַרקויפער לעבן-ציקל פֿאַר אַן MSP?

א פשוטער פיר-שטאפליגער לעבנסציקל באלאנסירט געווענליך מי און זיכערהייט:

  • אויסקלייַבן: קלאַסיפֿיצירט דעם סאַפּלייער לויט אימפּאַקט איידער איר פֿאַרפֿליכטעט זיך. אַ פּלאַטפאָרמע וואָס פּראַסעסט קונה דאַטן אָדער זיצט אין מיטן פֿון אייער ווײַט-פֿאַרוואַלטונג סטאַק פֿאַרדינט טיפֿערע קאָנטראָלן ווי אַ נידעריק-ווערט יוטיליטי.
  • אויף ברעט: מאַכט אייערע ערוואַרטונגען קאָנקרעטע קאָנטראָלן. קאָנפיגורירט צוטריט, לאָגינג, ענדערונג נאָוטאַפאַקיישאַנז, שטיצע קאַנאַלן און אַרויסגאַנג טערמינען איידער איר גייט לייוו.
  • אַרבעטן: איבערקוקן די פאָרשטעלונג און ריזיקע אויף אַ פאַרשטענדלעכן קאַדענץ. פֿאַר קריטישע פּלאַטפאָרמעס, פּלאַנירן לפּחות אַ יערלעך איבערבליק, פּלוס טשעקס נאָך זיכערהייט אַדווייזעריז, אינצידענטן אָדער באַטייַטיק סערוויס ענדערונגען.
  • אַרויסגאַנג: פּלאַנירט ווי איר וועט אַראָפּנעמען אָדער מיגרירן דאַטן, אָפּרופן צוטריט, טוישן דיפּענדאַנסיז און דערהייַנטיקן אייער אייגענע דאָקומענטאַציע ווען איר פֿאַרלאָזט אָדער דאַונגרייד אַ סאַפּלייער.

איר דאַרפט נישט קיין קאָמפּליצירטע מכשירים צו באַווייַזן אַז איר פֿאָלגט דעם לעבן־ציקל. אַ געהאַלטן סאַפּלייער רעגיסטער, קורצע דיו־דילידזשענס נאָטיצן, פּשוטע אָנבאָאַרדינג טשעקליסטן און גרונטלעכע אָפּשאַצונג רעקאָרדס געבן שוין די אויטאָרן אַ קלאָרן סיגנאַל אַז איר באַהאַנדלט אינפֿאָרמאַציע־טעכנאָלאָגיע פֿאַרקויפֿער ווי אַ טייל פֿון אייער ISMS.

ISMS.online קען דאָס ווייטער פֿאַרשטאַרקן דורך האַלטן דעם סאַפּלייער רעגיסטער, לעבן-ציקל באַווײַזן און פֿאַרבונדענע אַנעקס A.5.19–A.5.22 קאָנטראָלן אין איין סביבה. דאָס העלפֿט אײַך האַלטן דעם פּראָצעס לײַכט פֿאַר אײַער מאַנשאַפֿט בשעת איר פּרעזענטירט אַ קלאָרן, קאָנסיסטענטן מוסטער צו קאַסטאַמערז, אָדיטאָרס און פּאַרטנערס.

ווי קען אַן MSP דעפינירן דאַונסטרים שערד פֿאַראַנטוואָרטלעכקייטן מיט קאַסטאַמערז אַזוי אַז אַנעקס A.5.21 איז באדעקט אָן צו מאַכן יעדן קאָנטראַקט אין אַ לעגאַל ראָמאַן?

ווייטער, איז אַנעקס A.5.21 צופֿרידן ווען אייערע קאַסטאַמערז קענען זען, אין פּשוטער שפּראַך, וואָס איר זיכערט דורך דיפאָלט, וואָס זיי דאַרפֿן צו טאָן אַליין און ווי איר וועט אַרבעטן צוזאַמען ווען עפּעס ענדערט זיך אָדער גייט שלעכט. איר דאַרפֿט נישט קיין באַזונדערן לעגאַלן טעקסט פֿאַר יעדן אָפּמאַך, אָבער איר דאַרפֿט יאָ אַ קליין סכום פון געטיילטע פֿאַראַנטוואָרטלעכקייט מוסטערן וואָס אייערע טימז פֿאַרשטייען און אַפּליקירן קאָנסיסטענט.

ווי זעט אויס אן אויספירבארע מאָדעל פון געטיילטע פֿאַראַנטוואָרטלעכקייט פֿאַר געוויינטלעכע MSP סערוויסעס?

א פּראַקטישער מוסטער איז צו סטאַנדאַרדיזירן מאָדעלן לויט סערוויס משפּחה און האַלטן די סטרוקטור אידענטיש יעדעס מאָל. פֿאַר יעדער משפּחה, דעפינירט פֿיר בלאָקס:

  • סערוויס היקף: וואָס דאָס געראטן סערוויס באדעקט און וואָס עס טוט נישט.
  • דיין ריספּאַנסאַבילאַטיז: למשל, באַזעלינע קאָנפיגוראַציע, לאָגינג, באַקאַפּ, מאָניטאָרינג, וואַלנעראַביליטי האַנדלינג און אינצידענט קאָאָרדינאַציע.
  • קונה ריספּאַנסאַבילאַטיז: למשל, האַלטן ענדפּונקטן געשטיצט, דורכפירן מולטי-פאַקטאָר אויטענטיפיקאַציע, פאַרוואַלטן דזשוינינגז/לעזערז און זאָגן אײַך וועגן הויפּט ענדערונגען.
  • שערד פֿאַראַנטוואָרטלעכקייט: למשל, צוטריט איבערבליקן, באשטעטיגן הויך-ריזיקירנדע ענדערונגען אדער דורכפירן אינצידענט קאמוניקאציעס.

איר קענט דעמאָלט אויסדריקן די מאָדעלן אין עטלעכע וועגן:

  • קורץ פֿאַראַנטוואָרטלעכקייט מאַטריץ אין פאָרשלאָגן, אַרבעטס־פּראָגראַמען און איינפֿיר־דאָקומענטן.
  • זיכערהייט צוגאבן: וואָס זענען אַטאַטשט צו קאָנטראַקטן אָן איבערשרייבן די פולע טערמינען.
  • אינערלעכע ראַנבוקס: וואָס אייערע טימז נוצן בײַם אָנבאָאַרדינג, אָפּערירן און האַנדלינג אינצידענטן.

ווען אַ קונה דאַרף אַן אויסנאַם, דאָקומענטירט איר די אָפּנייגונג עקספּליציט אַנשטאָט שטילערהייט אויסצושטרעקן דעם מאָדעל. אַמאָל די מוסטערן און אויסנעמען לעבן אין אייער ISMS און ווערן אָפּגעשפּיגלט אין אייער ריזיקאָ רעגיסטער, קענט איר ווייַזן אַז דער אַראָפּגייענדיקער ריזיקאָ ווערט באַהאַנדלט באַוואוסטזיניק אַנשטאָט אינפאָרמעל. דאָס איז פּונקט וואָס אַנעקס A.5.21 צילט צו פּרובירן.

ISMS.online גיט אייך א צענטראלן ארט צו האלטן און ווידער-ניצן די מאדעלן, זיי צו פארבינדן מיט ספעציפישע סערוויסעס און קאסטומערס, און צו האלטן קאנטראקט ווערטער, אינערליכע שפיל-בוקס און ריזיקע איינטראגעס אין איינקלאנג ווי אייער פארטפעל וואקסט.

ווי קען אַן MSP פֿאַרוואַנדלען אַ קאָמפּלעקסע נעץ פֿון פֿאַרקויפֿער, פּלאַטפֿאָרמעס און קאַסטאַמערז אין אַ קלאָרע ICT סאַפּליי טשיין ריזיקאָ מאַפּע וואָס האַלט זיך צו די באריכטן פֿון אַנעקס A.5.21?

דער גרינגסטער וועג צו בויען א באַדײַטנדיקע סאַפּליי טשיין ריזיקאָ מאַפּע איז צו אָנהייבן פֿון ווי אײַערע סערוויסעס אַרבעטן טאַקע הײַנט, אַנשטאָט אָנהייבן פֿון אַ סטאַטישער ליסטע פֿון פֿאַרקויפֿער. ווען איר פֿאָלגט דאַטן פֿלוסן און קאָנטראָל פּונקטן פֿון לינקס צו רעכטס, די באַציִונגען וואָס זענען וויכטיקסט פֿאַר אַנעקס A.5.21 טענד צו זיך אַנטפּלעקן.

וואָס פּראַקטישע טריט שאַפֿן אַ אינפֿאָרמאַציע־טעכנאָלאָגיע צושטעל־קייט מאַפּע וואָס אוידיטאָרן קענען נאָכפֿאָלגן?

איר קענט בויען די מאַפּע אין דריי אומאָפּהענגיקע טריט וואָס פֿאַרשטאַרקן איינער דעם אַנדערן:

  1. סערוויס מיינונג: ליסט אייערע געראטן סערוויסעס (למשל, געראטן מייקראָסאָפֿט 365, געראטן ענדפּונקטן, געראטן באַקאַפּ, קאָ-געראטן וואָלקן) און באַמערקט אויף וועלכע אַפּסטרים פּלאַטפאָרמעס, מכשירים און אינטעגראַציעס יעדער איינער איז אָפּהענגיק.
  2. באַציִונג מיינונג: פֿאַר יעדן סערוויס, ליסט:
  • די אַפּסטרים אינפֿאָרמאַציע־טעכנאָלאָגיע סאַפּלייערז און פּלאַטפאָרמעס וואָס זענען וויכטיק.
  • די דאַונסטרים קאַסטאַמערז אָדער קונה גרופּעס וואָס קאָנסומירן יענע סערוויס.
  1. ריזיקע בליק: פֿאַר יעדן הויך-אימפּאַקט סאַפּלייער אָדער קונה סעגמענט, רעקאָרדירן אַ באַזונדער ריזיקירן וואָס זאָגט:
  • וואָס קען גלייַך גיין שלעכט (למשל, אויספאַל, דאַטן בריטש, לייסאַנס ענדערונג).
  • ווי דאָס וואָלט אַפעקטירט אייערע סערוויסעס און קונה רעזולטאַטן.
  • וועלכע קאָנטראָלן, קאָנטראַקט טערמינען און אָפּעראַציאָנעלע פּראַקטיקעס רעדוצירן די ליקעליהאָאָד אָדער פּראַל.

פילע MSP'ס געפינען א פשוטע דיאַגראַמע נוצלעך, אפילו אויב איר ווייזט עס קיינמאָל נישט אויסערלעך: וואָלקן/פּלאַטפאָרמעס → MSP מכשירים און פּראָצעסן → קונה סביבות, מיט פארבן אדער איקאָנען צו ווײַזן רעלאַטיוון ריזיקע. יענע בילד העלפֿט אײַך באַשליסן וווּ צו אינוועסטירן מי און גיט אוידיטאָרן און קאַסטאַמערז אַ פּשוטן וועג צו פֿאַרשטיין אײַערע אָפּהענגיקייטן.

אין ISMS.online קענט איר שפּיגלען די סטרוקטור דורך פֿאַרבינדן סערוויסעס, סאַפּלייערז, קאַסטאַמערז און ריזיקעס אין איין סביבה. דאָס מאַכט עס פיל גרינגער צו ווייַזן ווי אַ נייַע פּלאַטפאָרמע אָדער אַ נייַ קונה ווערט צוגעגעבן צו דער מאַפּע, ווי עס איז קלאַסיפיצירט און ווי פֿאַרבונדענע ריזיקעס און פֿאַראַנטוואָרטלעכקייטן ווערן קאָנסיסטענט אַפּדייטעד.

וואָס טעגלעכע רעקאָרדס איבערצייגן ISO 27001 אוידיטאָרן אַז אַן MSP פירט טאַקע אַנעקס A.5.21 אַנשטאָט עס נאָר צו נעמען אין דער דאָקומענטאַציע?

אוידיטארן זענען געווענליך מער אינטערעסירט אין צי אייערע טעגליכע רעקארדס דערציילן א קלארע געשיכטע ווי אין ווי אימפּרעסיוו אייערע מכשירים קוקן אויס. פאר אנעקס A.5.21, ווילן זיי זען אז איר פארשטייט פון וואנעט די ריזיקע פון ​​ICT סופליי טשעין קומט, איר ניצט א איבערחזרנדיקע באהאנדלונג און איר קענט באווייזן די באהאנדלונג אן שאפן א צווייטע ביזנעס וואס איז געווידמעט צו אוידיט פאפירן.

וועלכע נאָרמאַלע אַרטיפאַקץ באַפרידיקן געוויינטלעך אַנעקס A.5.21 פֿאַר MSPs אָן בויען אַ פּאַראַלעלע "אָדיט אינדוסטריע"?

אין רובֿ MSPs, איז אַ קאָמפּאַקטער סכום רעקאָרדס גענוג אויב עס איז גאַנץ און ווערט געהאַלטן אַקטועל:

  • A סאַפּלייער רעגיסטרירן וואָס ליסטירט אינפֿאָרמאַציע־טעכנאָלאָגיע סאַפּלייערס, פֿאַרבינדט זיי צו סערוויסעס, ווײַזט זייער ריזיקאָ קלאַסיפֿיקאַציע און רעקאָרדירט ​​די דאַטעס פֿון די לעצטע איבערבליקן.
  • קורץ נאטיצן וועגן דיו דילידזשענס פֿאַר העכער-ריזיקירטע סאַפּלייערז, אַזאַ ווי רעפֿערענצן צו סערטיפיקאַציעס, ענטפֿערס אויף פֿראַגעבאָגן אָדער קורצע ריזיקאָ אַסעסמאַנץ.
  • קאנטראקטן אדער זיכערהייט צוגאבן: וואָס שטעלן ארויס זיכערהייט ערוואַרטונגען, אינצידענט מעלדונג כּללים, דאַטן האַנדלינג און סוב-פּראַסעסער באדינגונגען.
  • מאָניטאָרינג און איבערבליק רעקאָרדס: , ווי צום ביישפּיל סערוויס איבערבליק טיקעטן, פּראָטאָקאָלן פון סאַפּלייערס טשעק-אינס אָדער נאָך-אינצידענט באריכטן וואָס ווייַזן ווי איר האָט רעאַגירט.
  • מאָדעלן פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט: און פֿאַרבונדענע קלאָזולעס אין קונה קאָנטראַקטן, פּלוס עכטע ביישפילן פון ווי איר האַנדלט ווען פֿאַרפליכטונגען אויף יעדער זייט ווערן נישט מקוים.

אנשטאט בויען באזונדערע "אוידיט פּעקלעך", איז עס בכלל מער עפעקטיוו צו מאַכן זיכער אַז אייערע נאָרמאַלע דאָקומענטן - אָנבאָאַרדינג טשעקליסטן, ענדערונג רעקאָרדס, ראַנבוקס, אינצידענט און פּראָבלעם באריכטן - לאָזן אויטאָמאַטיש הינטער זיך די באַווייַזן וואָס אַן אוידיטאָר וועט בעטן.

אויב איר צענטראליזירט די אַרטיפאַקץ אין ISMS.online און פֿאַרבינדט זיי עקספּליציט צו אַנעקס A קאָנטראָלן און באַטייַטיקע ריזיקעס, קענט איר שנעל ענטפֿערן אויף אוידיט פֿראַגעס און קונה פֿראַגעבאָגן דורך פֿילטערן און עקספּאָרטירן פֿון איין אָרט. מיט דער צייט, דאָס רעדוצירט אוידיט דרוק, פֿאַרקירצט פֿאַרקויף ציקלען און העלפֿט אייער מאַנשאַפֿט ווערן אנערקענט פֿאַר פֿירן אַ גוט-גאַווערנד ICT צושטעל קייט אַנשטאָט צו קראַצן יעדעס יאָר צו ווידער-אַסעמבלען דעם זעלבן שטאָק פֿון אָנהייב.

ווי קען אַן MSP ניצן ISMS.online צו אַריינלייגן אַנעקס A.5.21 אין נאָרמאַלער סאַפּליי טשיין אַרבעט אַנשטאָט עס צו באַהאַנדלען ווי אַן איין-מאָל קאָנפאָרמאַנס פּראָיעקט?

אַנעקס A.5.21 ווערט גרינג צו קאָנטראָלירן ווען עס איז איינגעבויט אין ווי איר קויפט, צושטעלט און באריכטעט סערוויסעס, נישט ווען עס ווערט באַהאַנדלט ווי אַ זעלבשטענדיקער סטאַנדאַרט צו "אָפּהאַקן". ISMS.online שטיצט דעם ענדערונג דורך געבן איר אַן איינציקע סביבה צו פאַרבינדן סאַפּלייערז, סערוויסעס, קאַסטאַמערז, ריסקס, קאָנטראָלס און באַווייַזן, אַזוי אַז טעגלעכע אַקציעס נאַטירלעך האַלטן אַנעקס A.5.21 אין גוטן צושטאַנד.

ווי זעט עס אויס ווען אַנעקס A.5.21 ווערט טאַקע אָפּעראַציאָנאַליזירט אין ISMS.online?

א רעאליסטישער מוסטער פאר אסאך MSP'ס קוקט אזוי אויס:

  • איר האַלט אַ לעבן סאַפּלייער רעגיסטרירן אין ISMS.online, קלאַסיפיצירן ICT פאַרקויפער לויט פּראַל און פֿאַרבינדן יעדן איינער צו די געראטן סערוויסעס און אַנעקס A.5.19–A.5.22 קאָנטראָלס וואָס עס שטיצט.
  • דו כאַפּסט דיו דילידזשענס, אָנבאָרדינג, מאָניטאָרינג און אַרויסגאַנג אַקטיוויטעטן ווי נאָרמאַלע אַרבעט זאכן אָדער טאַסקס, אַזוי די באַווייַזן וואָס איר דאַרפֿן פֿאַר אַנעקס A.5.21 בויט זיך אויטאָמאַטיש ווי אייער מאַנשאַפֿט אַרבעט מיט סאַפּלייערז.
  • איר האַלט אויף און ניצט ווידער מאָדעלן פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט ווי סטרוקטורירט אינהאַלט, מאַפּינג זיי צו סערוויס משפּחות און קונה גרופּעס אַזוי קאָנטראַקט שפּראַך, ראַןבוקס און ריזיקירן איינטראַגעס בלייבן אַליינד.
  • דו לינקסט ריסקס צו ביידע אַפּסטרים סאַפּלייערז און דאַונסטרים קאַסטאַמערז, אַזוי אַ ענדערונג אין איין טייל פון די קייט אַדזשאַסטיז גלייך דיין מיינונג פון קוילעלדיק סאַפּליי קייט ויסשטעלן.

א נידעריק-ריזיקירנדיקער וועג צו אָנהייבן איז צו קלייבן איין וויכטיקן סערוויס, איין קריטישע אַפּסטרים פּלאַטפאָרמע און איין רעפּרעזענטאַטיוון קונה, מאָדעלירן יענע קייט ענד-צו-ענד אין ISMS.online און דערנאָך דורכפירן אַן עכטע ענדערונג אָדער אינצידענט דורך דעם סיסטעם. אויב אייערע טימז און אייער אוידיטאָר געפֿינען עס גרינגער צו זען אָפּהענגיקייטן, דערקלערן פֿאַרפליכטונגען און זאַמלען באַווייַזן פֿון יענעם איין בייַשפּיל, וועט איר האָבן אַ שטאַרקן אינערלעכן אַרגומענט פֿאַר אויסברייטערן דעם זעלבן צוגאַנג איבער מער פֿון אייער ICT צושטעל קייט.

מיט דער צייט העלפט דעם וועג פון ארבעטן אייער ביזנעס ווערן געזען נישט נאר אלס "האלטן סיסטעמען אין גאַנג", נאר אלס פירן א נאכפאלגבארע, גוט-געפירטע ICT צושטעל קייט וואס האלט זיך אויף צו קאסטומער קוועסטשאַנען און ISO 27001 אוידיטס מיט פיל ווייניגער שטערונג צו אייער טעגלעכער ארבעט. ווען איר זענט גרייט צו ווייזן יענע געשיכטע צו א קאסטומער אדער אוידיטאר, גיט אייך ISMS.online אלעס וואס איר דארפט אין איין ארט, אנשטאט אייך לאזן עס צוזאמענשטעלן אונטער דרוק.

מארק שרון

מארק שאַראָן פירט זוכן און דזשענעראַטיווע קינסטלעכע אינטעליגענץ סטראַטעגיע ביי ISMS.online. זיין פאָקוס איז צו קאָמוניקירן ווי ISO 27001, ISO 42001 און SOC 2 אַרבעטן אין פּראַקסיס - פֿאַרבינדן ריזיקע צו קאָנטראָלן, פּאָליטיק און באַווייזן מיט אָדיט-גרייט טרעיסאַביליטי. מארק פּאַרטנערירט מיט פּראָדוקט און קונה טימז אַזוי אַז די לאָגיק איז עמבעדיד אין וואָרקפלאָוז און וועב אינהאַלט - העלפּינג אָרגאַניזאַציעס פֿאַרשטיין, באַווייַזן זיכערהייט, פּריוואַטקייט און קינסטלעכע אינטעליגענץ גאַווערנאַנס מיט בטחון.

טוויטטער

נעמען אַ ווירטואַל רייַזע

הייבט אן אייער פרייע 2-מינוט אינטעראקטיווע דעמא יעצט און זעהט
ISMS.online אין אַקציע!

פּרוּווט עס איצט
פּלאַטפאָרמע דאַשבאָרד פול אויף מינט

מיר זענען אַ פירער אין אונדזער פעלד

4/5 שטערן
יוזערז ליבע אונדז
פירער - פרילינג 2026
הויך פּערפאָרמער - פרילינג 2026 קליינע געשעפטן וק
רעגיאָנאַל פירער - פרילינג 2026 אי.יו
רעגיאָנאַלער פירער - פרילינג 2026 EMEA
רעגיאָנאַל פירער - פרילינג 2026 וק
הויך פּערפאָרמער - פרילינג 2026 מיטל-מאַרק EMEA

"ISMS.Online, בוילעט געצייַג פֿאַר רעגולאַטאָרי העסקעם"

— דזשים מ.

"מאַכן פונדרויסנדיק אַדאַץ אַ ווינטל און סימלאַסלי פֿאַרבינדט אַלע אַספּעקץ פון דיין ISMS צוזאַמען"

— קארען סי.

"ינאַווייטיוו לייזונג צו אָנפירן ISO און אנדערע אַקרעדאַטיישאַנז"

— בן ה.