A.5.23 וואָלקן זיכערהייט: געטיילטע פֿאַראַנטוואָרטלעכקייט פֿאַר MSPs אונטער ISO 27001

פארוואס MSP קלאָוד זיכערהייט איז צעבראכן איבערנאכט

MSP וואָלקן זיכערהייט איז "צעבראָכן" ווען וואָלקן פּלאַטפאָרמעס האָבן אויפגעהערט צו זיין פּשוטע סאַפּלייערז און זענען געוואָרן געטיילטע-פאַראַנטוואָרטלעכקייט סביבות וואָס איר מוזט אַקטיוו פירן. ISO 27001 A.5.23 מאַכט דעם וועקסל קלאָר דורך ערוואַרטן אַז איר זאָלט קאָנטראָלירן ווי איר אויסקלייבט, ניצט און פֿאַרלאָזט וואָלקן באַדינונגען אין לויט מיט אייער ISMS, אַנשטאָט זיך צו פֿאַרלאָזן אויף פּראַוויידער סערטיפיקאַטן אַליין. יענע ערוואַרטונג שפּיגלט אָפּ די ווערטער פון ISO 27001:2022 A.5.23 און די הויפּטשטראָם וואָלקן זיכערהייט גיידליינז, וואָס שטעלן דעם טראָפּ אויף דעפינירטע פּראָצעסן פֿאַר דער אַקוואַזישאַן, נוצן, פאַרוואַלטונג און פֿאַרלאָזן וואָלקן באַדינונגען אַנשטאָט זיך צו פֿאַרלאָזן אויף פּראַוויידער אַשוראַנסן אַליין, ווי אונטערגעשטראָכן אין קאָמענטאַר אויף ISO 27001 A.5.23 גיידליינז.

וואָלקן סערוויסעס לאָזן אייער MSP וואַקסן שנעל, אָבער זיי האָבן אויך אויפגעדעקט גאַפּס אין אָונערשיפּ, גאַווערנאַנס און באַווייַזן וואָס דער אַלטער סאַפּלייער מאָדעל האָט קיינמאָל נישט געדאַרפט סאָלווען. ווען קאַסטאַמערז און אָדיטאָרס פרעגן איצט ווער איז פאַראַנטוואָרטלעך פֿאַר וואָס אין די וואָלקן, "דער פּראַוויידער טוט דאָס" איז נישט מער גענוג. A.5.23 קריסטאַליזירט דעם שפּאַנונג דורך ערוואַרטן אַ קאָנטראָלירטן, דאָקומענטירטן צוגאַנג צו וואָלקן נוצן אַנשטאָט אַד-האָק פּלאַטפאָרמע ברירות.

קלאָוד ווערט נאָר אַ מייַלע פֿאַר MSP'ס ווען פֿאַראַנטוואָרטלעכקייט ווערט געטיילט באַוואוסטזיניק, נישט איבערגענומען.

קלאָוד איז אַרויסגעוואַקסן פון דיין אַלטן "סאַפּלייער" געדאַנקען-גאַנג

קלאָוד איז אַרויסגעוואַקסן פֿון דער געדאַנק אַז מען קען אונטערשרײַבן אַ קאָנטראַקט, פֿאַרטרױען אַ סערטיפֿיקאַט און אָננעמען אַז זיכערהייט־שטאָפּן בײַם פּראָווײַדערס ברעג זענען נישטאָ. פֿאַר MSP'ס, צווינגט אײַך A.5.23 צו דערקענען אַז אידענטיטעטן, קאָנפֿיגוראַציעס און טעגלעכע אָפּעראַציעס אויף יעדער פּלאַטפֿאָרמע ליגן איצט פֿעסט אין אײַערע פֿאַראַנטוואָרטלעכקייטן.

אסאך MSP'ס באהאנדלען נאך אלץ וואלקן פראוויידערס ווי טראדיציאנעלע סופלייערס, און דאס איז פונקט וואו A.5.23 הייבט אן צו דורכפאלן. פאר יארן, האט מען געקענט אונטערשרייבן א קאנטראקט, פארטרויען סערטיפיקאציעס, צולייגן עטליכע מאניטארינג דערצו און ווייטער גיין. דאס האט געארבעט ווען וואלקן איז נאר געווען אימעיל האוסטינג אדער א פאר ווירטועלע מאשינען.

היינט צו טאג לויפן גאנצע סערוויס קאטאלאגן אויף היפערסקייל פלאטפארמעס, מיט אייערע אינזשענירן וואס האלטן שטארקע אדמין ראלעס און אויטאמאטיזאציע מכשירים וואס רירן אן צענדליגער טענענטס אין איין מאל. אין יענער סביבה, "דער סאַפּלייער פירט זיכערהייט" הערט אויף צו זיין אמת. דער וואָלקן פּראַוויידער זיכערט זיין אינפראַסטרוקטור און קערן סערוויסעס, אבער איר באַשליסט אידענטיטעטן, קאָנפיגוראַציעס, אינטעגראַציעס און אַ גרויס טייל פון די אָפּעראַציאָנעלע ווידערשטאַנד. קאַסטאַמערז פֿאַרשטיין דאָס מער און מער און ערוואַרטן אַז איר זאָלט ווייַזן ווי געטיילטע פֿאַראַנטוואָרטלעכקייטן זענען דעפינירט און ווי אייער מאַנשאַפֿט פירט די קאָנטראָלן טעגלעך.

A.5.23 איז דער פונקט וואו דער סטאַנדאַרט רופט אויסדריקליך ארויס יענעם וועקסל. עס ערוואַרטעט פון אייך צו גיין פון אַלגעמיינער סאַפּלייער פארזיכערונג צו אַקטיווער פאַרוואַלטונג פון ווי וואָלקן פּלאַטפאָרמעס שטיצן אייערע באַדינונגען און אייערע קאַסטאַמערז.

די פארבאָרגענע קאָמפּלעקסיטעט פון אייער איצטיקן וואָלקן סטאַק

די פארבאָרגענע קאָמפּלעקסיטעט פון אייער וואָלקן סטעק ווערט ערשט קלאָר ווען איר שרייבט עס אַראָפּ. א קורצע, פאָקוסירטע אינווענטאַר אַנטפּלעקט געוויינטלעך פיל מער סערוויסעס, דאַטן פלאָוז און אַדמין ראָלעס ווי איר האָט געריכט, וואָס איז פּונקט וואָס A.5.23 וויל אַז איר זאָלט זען און דאַן באַוואוסטזיניק פאַרוואַלטן.

רובֿ MSP'ס אַנטדעקן אַז זיי פירן פיל מער סערוויסעס, אין פיל מער וועגן, ווי ווער עס יז האָט איינגעזען:

אינערלעכע SaaS מכשירים פֿאַר מיטאַרבעט, טיקעטינג, CRM און פינאַנץ.
עפנטלעכע וואָלקן פּלאַטפאָרמעס וואָס שטיצן געראטן אינפראַסטרוקטור, באַקאַפּ, מאָניטאָרינג און זיכערהייט באַדינונגען.
נישע וואָלקן מכשירים אויסגעקליבן דורך יחיד טימז אָדער אינזשענירן צו סאָלווע ספּעציפֿישע פּראָבלעמען.

צוזאַמען גענומען, שאַפֿן די סערוויסעס אַ נעץ פֿון דאַטן לאָקאַציעס, אַדמין ראָלעס, לאָגס און דורכפֿאַל מאָדעס. אָן אַ צענטראַלן בליק, זאַמלען זיך די ריזיקעס שטילערהייט אָן: איין אינזשעניר האַלט גלאָבאַלן אַדמין איבער קייפל טענענטן, אַ "צייטווייליקער" SaaS געצייַג ווערט געשעפֿט-קריטיש, אַ באַקאַפּ סערוויס איז קיינמאָל נישט געטעסט געוואָרן פֿאַר עכטע רעסטאָראַציע סצענאַרן. אַן ISMS פּלאַטפאָרמע ווי ISMS.online קען אײַך העלפֿן אויפֿהאַלטן דעם צענטראַלן בליק אַזוי אַז די קאָמפּלעקסיטעט זאָל נישט בלײַבן באַהאַלטן.

כּדי צו מאַכן דעם וועקסל קאָנקרעט, העלפֿט עס צו פֿאַרגלײַכן די אַלטע סאַפּלייער מיינדסעט מיט דער וואָלקן גאַווערנאַנס וואָס A.5.23 ערוואַרטעט.

א קורצע פארגלייך ווייזט ווי אייער צוגאנג מוז זיך ענדערן:

אַספּעקט	אַלטער סאַפּלייער מאָדעל	A.5.23 וואָלקן גאַווערנאַנס פֿאַר MSPs
מיינונג פון פּראַוויידער	"א באַגלייבטער פאַרקויפער האַנדלט מיט זיכערהייט."	"פּאַרטנער אין אַ דעפינירטן מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט."
קאָנטראָל־פאַרנעם	קאָנטראַקט פּלוס גרונטלעכע מאָניטאָרינג	גאַנצער לעבנסציקל: אויסקלייבן, נוצן, ענדערן, אַרויסגאַנג
באווייזן וואָס איר האַלט	סערטיפיקאַטן און קאָנטראַקטן	רעגיסטערס, ריזיקע רעקארדס, מאַטריצעס, לעבנסציקל אַרטיפאַקץ
אייגנטומערשאפט אינעם MSP	אימפליציט, מענטש-אפהענגיק	עקספּליציטע ראָלעס, ראַנבוקס און ISMS אינטעגראַציע

אַמאָל איר זעט אייער סיטואַציע דורך דעם לינזע, ווערט עס גרינגער צו באַשליסן וווּ איר דאַרפֿט סטרוקטור אַנשטאָט מער אַד-האָק פֿיקסיז.

וואו קאסטומערס און אוידיטארן אנטפּלעקן די ריסן

קאַסטאָמערס און אוידיטאָרן אַנטדעקן די ריסן אין אייער וואָלקן קראָם דורך פרעגן קלאָרע פֿראַגעס וועגן סערוויסעס, דאַטן און פֿאַראַנטוואָרטלעכקייטן. זייערע פֿראַגעס שטעלן אָפֿט ארויס גאַפּס אין אָונערשיפּ, לעבן-ציקל און באַווייזן לאַנג איידער אַ בריטש אָדער אויספֿאַל פּאַסירט. פאַרוואַלטן דריט-פּאַרטיי ריזיקאָ און טראַקינג סאַפּלייער קאָנפאָרמאַנס איז געווען דערמאָנט ווי אַ הויפּט אַרויסרופן דורך 41% פון אָרגאַניזאַציעס אין די 2025 ISMS.online אַנקעטע.

טיפּישע פֿראַגן אַרייַננעמען:

וועלכע וואָלקן סערוויסעס ניצט איר אין אונדזער נאָמען, און וואו ווערט אונדזער דאַטן געהיט?
ווער איז פאַראַנטוואָרטלעך פֿאַר באַקאַפּ, אידענטיטעט, לאָגינג און קאָנפיגוראַציע אין יעדער פּלאַטפאָרמע?
ווי טוט מען איבערקוקן, מאָניטאָרירן און, אויב נייטיק, פֿאַרלאָזן וואָלקן פּראַוויידערז?
ווי וועט איר אונדז שטיצן אויב מיר ווילן זיך אוועקציען פון א געוויסן סערוויס?

די פראגעס ווייזן וואו אייער יעצטיגע צוגאנג איז אומקלאר. אויב אייערע ענטפערס הענגען אפ פון ווער עס איז אין דער זיצונג, אדער פארלאנגען אז איינער זאל גיין און קאנטראלירן, איז A.5.23 שוין א פראבלעם. די קאנטראל ערווארטעט אז איר זאלט האבן פראצעסן פארן באקומען, ניצן, פירן און ארויסגיין פון קלאוד סערוויסעס אין לויט מיט דעפינירטע זיכערהייט רעקווייערמענטס. פאר אן MSP, מיינט דאס אריבערגיין פון אן אימפראוויזירטן קלאוד סטארי צו א סטרוקטורירטן וואס אוידיטארן און קאסטומערס קענען טעסטן.

דאָס איז וואו האָבן אַ לעבעדיק רעגיסטער פון וואָלקן באַדינונגען, פֿאַרבונדן מיט ריסקס, פֿאַראַנטוואָרטלעכקייטן און לעבן-ציקל רעקאָרדס, ווערט עסענציעל אלא ווי אָנגענעם צו האָבן.

ספר אַ דעמאָ

וואָס ISO 27001 A.5.23 טאַקע בעט פֿון אײַך

ISO 27001 A.5.23 בעט אייך צו באַהאַנדלען וואָלקן סערוויסעס ווי אַ גאַווערנד סערוויס לאַנדשאַפט מיט קלאָרע כּללים, פֿאַראַנטוואָרטלעכקייטן און באַווייַזן, נישט ווי אַ פרייַ זאַמלונג פון מכשירים און פּראַוויידערז. אין פּראַקטיק, דאָס מיינט צו קענען ווייַזן ווי וואָלקן סערוויסעס ווערן אויסגעקליבן, קאָנטראָלירט און פּענסיאָנירט אין לויט מיט דיין אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ.

דער 2025 באַריכט וועגן דעם צושטאַנד פון אינפֿאָרמאַציע זיכערהייט באַמערקט אַז קאַסטאַמערז דערוואַרטן רובֿ מאָל אַז סאַפּלייערז זאָלן זיך צופּאַסן צו פֿאָרמעלע ראַמען ווי ISO 27001, יסאָ קסנומקס, GDPR, סייבער עסענטשאַלז, SOC 2 און אויפקומענדיקע קינסטלעכע אינטעליגענץ סטאַנדאַרדן.

אין דער 2022 אויסגאבע, זאגט A.5.23 אז איר זאלט אויפשטעלן און איינפירן פראצעסן פארן קויפן, נוצן, פארוואלטן און ארויסגיין פון וואלקן סערוויסעס, אין איינקלאנג מיט אייערע אינפארמאציע זיכערהייט באדערפענישן. די פארמולירונג איז אין איינקלאנג מיטן ארויסגעגעבענעם קאנטראל טעקסט אין ISO 27001:2022 A.5.23 און מיט שטיצנדיקע וואלקן אנווייזונגען ווי ISO 27017 און ISO 27018, וועלכע אלע שטעלן דעם טראָפּ אויף ענד-צו-ענד פארוואלטונג פון וואלקן סערוויסעס אנשטאט איין-מאליקע סופלייערס קאנטראלן. א צענטראלע ISMS פלאטפארמע ווי ISMS.online קען מאכן די ארבעט גרינגער דורך האלטן פאליסיס, ריזיקעס, אחריותן און רעקארדס אין איין ארט.

אוידיטארן זוכן טיפיש א קלארע ליניע פון יענעם קאנטראל טעקסט ביז די פאקטישע פאליסיס, פראצעדורן און רעקארדס. אויב איר קענט מסביר זיין אין אייערע אייגענע ווערטער וואס A.5.23 מיינט פאר אייער ביזנעס, זענט איר שוין פאראויס פון אסאך MSP'ס וואס פארלאזן זיך נאר אויף די פארמאלע ווערטער.

פֿון איין זאַץ צו פּראַקטישע צילן

איבערמאַכן A.5.23 אין פּראַקטישע צילן מיינט צעברעכן די פֿאָרמעלע ווערטער אין אַ קליינעם סכום קאָנקרעטע, טעסטבאַרע ערוואַרטונגען אַרום וועלכע איר קענט דיזיינען קאָנטראָלן און באַווײַזן. די צילן געבן אײַך אַ ראַם צו דערקלערן די קאָנטראָל צו אײַער מאַנשאַפֿט און צו אוידיטאָרן. אינטערפּרעטאַציעס פֿון וואָלקן-פֿאָקוסירטע ISO 27001 פּראַקטישנערס גרופּירן געוויינטלעך A.5.23 רעקווייערמענץ אין טעמעס ווי וואָלקן פּאָליטיק, ריזיקע און רעקווייערמענץ, געטיילטע פֿאַראַנטוואָרטלעכקייט, לעבן-ציקל און באַווײַזן, וואָס איז דער צוגאַנג וואָס ווערט דאָ אָפּגעשפּיגלט.

אין פּראַקטיק, ערוואַרט A.5.23 אַז איר זאָלט טאָן פֿינף זאַכן קאָנסיסטענט און קענען זיי באַווײַזן. אַ נוצלעכער וועג צו אינטערפּרעטירן די קאָנטראָל איז צו צעטיילן עס אין פֿינף פּראַקטישע צילן:

וואָלקן פּאָליטיק און פאַרנעם – דעפינירן וואָס "וואָלקן" מיינט פֿאַר אייער אָרגאַניזאַציע, וועלכע סערוויסעס און דאַטן זענען אין דעם פאַרנעם, און ווער קען אַדאַפּטירן נײַע סערוויסעס.
ריזיקע און רעקווייערמענץ – אידענטיפיצירן וואָלקן-ספּעציפֿישע ריזיקעס ווי מולטי-טענאַנסי, דאַטן לאָקאַציע און קאָנעקטיוויטי, און שטעלן מינימום זיכערהייט און פּריוואַטקייט רעקווייערמענץ.
שערד פֿאַראַנטוואָרטלעכקייט – דאָקומענטירן ווער איז פאַראַנטוואָרטלעך פֿאַר שליסל קאָנטראָלס אַריבער פּראַוויידער, MSP און קונה פֿאַר יעדער הויפּט פּלאַטפאָרמע און סערוויס.
ליפעסיקלע פאַרוואַלטונג – בויען זיכערהייט אין אויסוואל, איינפיר, ענדערונג, מאָניטאָרינג און ארויסגאנג פאר וואָלקן סערוויסעס, נישט נאָר אין קאָנטראַקטן.
באַווייזן און פֿאַרבעסערונג – האַלטן רעקאָרדס וואָס ווייַזן אַז די פּראָצעסן אַרבעטן און אָפּשאַצן זיי ווי פּלאַטפאָרמעס, קאַסטאַמערז און רעגולאַציעס טוישן זיך.

צוזאַמען, מאַכן די צילן A.5.23 פֿון אַן איינציקן זאַץ אַ סכום געוווינהייטן. זיי געבן אײַך אויך אַ סטרוקטור פֿאַרן מאַפּירן די קאָנטראָל אין אײַער סטעיטמענט פֿון אַפּליקאַביליטי און אײַער ברייטערן ISMS. אויפֿשרייבן די צילן, אייגנטימער און שטיצנדיקע באַווײַזן אין אַ סיסטעם ווי ISMS.online העלפֿט אײַך זיי האַלטן קאָנסיסטענט ווי סערוויסעס און סטאַנדאַרדן עוואַלווירן.

ווי A.5.23 פארברייטערט דעם עלטערן סאַפּלייער מאָדעל

A.5.23 פארברייטערט דעם עלטערן סאַפּלייער מאָדעל דורך אנערקענען אַז וואָלקן איז אַ טעכנישע יסוד, נישט נאָר נאָך אַן אַוטסאָרסינג קאָנטראַקט. ווען אייערע סערוויסעס זענען אָפּהענגיק פון געטיילטע פּלאַטפאָרמעס, האָבן אייערע קאָנפיגוראַציע, צוטריט און אָפּעראַציעס ברירות אַ שטאַרקע השפּעה אויף זיכערהייט רעזולטאַטן, אפילו אויב די אונטערלייגנדיקע אינפראַסטרוקטור געהערט צו עמעצן אַנדערש.

קאַמפּערד מיט אַלגעמיינע סאַפּלייער קאָנטראָלס אין געביטן ווי סאַפּלייער פאַרוואַלטונג און אָפּעראַציעס זיכערהייט, A.5.23:

שטעלט דעם טראָפּ אויף דעם וואָלקן סערוויס לעבנסציקל, נישט נאָר די אויסוואַל פון סאַפּלייער.
ערוואַרטעט קלאָרע באַטראַכטונג פון געטיילטע פֿאַראַנטוואָרטלעכקייט און מולטי-טענאַנסי.
פאָקוסירט אויף ווי איר וועט פֿאַרלאָזן אָדער פאַרבייטן וואָלקן באַדינונגען אָן פֿאַרלירן קאָנטראָל איבער דאַטן.

די דאזיגע דגשים ווערן אפגעשפילט אין ספעציאליסטישע A.5.23 קאמענטארן און קלאָוד קאנטראל מאַפּינגז, וואָס אונטערשטרייַכן לעבן-ציקל, געטיילטע פֿאַראַנטוואָרטלעכקייט און אַרויסגאַנג פּלאַנירונג ווי אַנדערש פֿון טראַדיציאָנעלער סאַפּלייער אויפזיכט. פֿאַר MSP'ס, זיצט A.5.23 אויך לעבן אַקסעס קאָנטראָל, אַסעט פאַרוואַלטונג, אינצידענט פאַרוואַלטונג און אַנדערע אַנעקס A קאָנטראָלן. די ציל איז נישט צו דופּליקירן אַרבעט, נאָר צו מאַכן זיכער אַז אייערע עקזיסטירנדיקע קאָנטראָלן נעמען גאָר אין חשבון די קלאָוד און דעם וועג ווי איר צושטעלט סערוויסעס.

קלאר פֿאַרבינדן דעם קאָנטראָל צו אייער ISMS העלפֿט אוידיטאָרן זען אַז וואָלקן גאַווערנאַנס איז אינטעגרירט, נישט באַהאַנדלט ווי אַ באַזונדער שפּור.

דאָקומענט טיפּן וואָס אוידיטאָרן ערוואַרטן צו זען

דאקומענט טיפן וואָס אוידיטאָרן ערוואַרטן צו זען פֿאַר A.5.23 זענען די וואָס באַווייַזן אַז אייערע וואָלקן פּאָליטיקס, פּראָצעסן און פֿאַראַנטוואָרטלעכקייטן זענען רעאַל, קאָנסיסטענט און געווענדט. זיי וועלן זוכן אַ קליינעם, קאָוכירענטן סכום פון אַרטיפאַקץ אַנשטאָט אַ גרויסן באַנד פון לויז פֿאַרבונדענע דאָקומענטן. וואָלקן גאַווערנאַנס ימפּלעמענטאַציע גיידליינז פֿאַר A.5.23 ווײַזן אָפט אויף אַ קאָמבינאַציע פון פּאָליטיקס, סערוויס רעגיסטערס, ריזיקאָ אַסעסמאַנץ און לעבן-ציקל רעקאָרדס ווי דער קערן באַווייַז סכום וואָס אוידיטאָרן ערוואַרטן.

בעת אן אוידיט, וועט מען אייך מסתּמא בעטן פאר באווייזן ווי צום ביישפיל:

א וואָלקן נוצן אָדער וואָלקן זיכערהייט פּאָליטיק.
א רעגיסטער פון וואָלקן סערוויסעס גענוצט אינטערן און אין נאמען פון קאַסטאַמערז.
וואָלקן-ספּעציפֿישע ריזיקאָ אַסעסמאַנץ און באַהאַנדלונג פּלענער.
דיו דילידזשענס רעקאָרדס פֿאַר שליסל וואָלקן פּראַוויידערז און סוב-פּראַסעסערז.
מאַטריצעס פון געטיילטע פֿאַראַנטוואָרטלעכקייט אָדער עקוויוואַלענטע ראָלע דעפֿיניציעס.
פּראָצעדורן אדער פּלייבוקס פֿאַר אָנבאָאַרדינג און אַרויסגאַנג פון סערוויסעס.
ביישפילן פון לאָגס, באריכטן אדער טיקעטן וואָס ווייַזן די פּראָצעסן אַרבעטן.

אויב איר קענט זיי שנעל געפינען, און זיי דערציילן א קאנסיסטענטע געשיכטע, וועט A.5.23 זיך פילן קאנטראלירט און פראפארציאנעל. אויב זיי עקזיסטירן נאר אין פארשפרייטע דאקומענטן אדער מענטשנס קעפ, ווערט די קאנטראל א מקור פון געפינסן און עקסטערע ארבעט. ניצן אן ISMS פלאטפארמע ווי ISMS.online צו האלטן די ארטיפאקטן אין איין ארט מאכט עס פיל גרינגער צו ווייזן ווי וואלקן ווערט געראטן אין פראקטיק.

ISMS.online גיט אייך א 81% פארשטארקונג פון דעם מאמענט וואס איר לאגט זיך איין

ISO 27001 געמאַכט גרינג

מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.

באַקומען אנגעהויבן

דאָס טאָפּלטע לעבן פֿון MSP: קלאָוד קונה און פּראָווײַדער

אייער MSP האט א טאָפּל לעבן אונטער A.5.23: איר זענט ביידע אַ פאָדערנדיקער וואָלקן קונה פון אַפּסטרים פּראַוויידערז און אַ פאַראַנטוואָרטלעך וואָלקן פּראַוויידער צו אייערע אייגענע קליענטן. די קאָנטראָל ערוואַרטעט אַז איר זאָלט פֿאַרשטיין, דאָקומענטירן און רעגירן ביידע ראָלעס, אַרייַנגערעכנט ווי זיי ינטעראַקטירן אַריבער די שערד פֿאַראַנטוואָרטלעכקייט קייט.

אלס א וואָלקן קונה, פארלאזט איר זיך אויף היפּערסקאַלע פּלאַטפאָרמעס און SaaS מכשירים צו פירן אייער אייגענע געשעפט און צושטעלן סערוויסעס. אלס א וואָלקן פּראַוויידער, זעען אייערע קאַסטאַמערז אייך ווי די פּאַרטיי וואָס איז פאַראַנטוואָרטלעך פֿאַר זיכערהייט, קאָנטינעויטעט און שטיצע, אפילו ווען די אונטערלייגנדיקע טעכנאָלאָגיע געהערט צו עמעצן אַנדערש. A.5.23 ברענגט די צוויי פּערספּעקטיוון צוזאַמען און בעט אייך צו פירן זיי קאָוכירענט.

פֿאַרשטיין אייערע אויבערשטע און אונטערשטע ראָלעס

פֿאַרשטיין אייערע אויפֿשטײַג און אַראָפּשטײַג ראָלעס באַדײַט דערקענען אַז איר פֿאַרברויכט וואָלקן סערוויסעס ווי אַן אינערלעכער קונה בשעת איר פֿאַרקויפֿט אויך וואָלקן-באַזירטע סערוויסעס ווי אַ פּראָווײַדער צו אייערע אייגענע קליענטן. A.5.23 ערוואַרטעט פֿון אײַך צו האַלטן ביידע פּערספּעקטיוון אין זינען און צו זיכער מאַכן אַז זיי שטיצן, אַנשטאָט זיך צו פֿאַרקערפּערן, איינע די אַנדערע.

ווי אַ וואָלקן קונה, איר קאָנסומירט סערוויסעס ווי פּראָדוקטיוויטי סוויטס, טיקעטינג, מאָניטאָרינג פּלאַטפאָרמעס און עפנטלעכע וואָלקן אינפראַסטרוקטור. איר זענט פאַראַנטוואָרטלעך פֿאַר ווי די סערוויסעס זענען קאָנפיגורירט, ווער האט צוטריט און ווי זיי ווערן מאָניטאָרירט. ווען אינצידענטן פּאַסירן אָדער רעגולאַטאָרן פרעגן פֿראַגעס, דיין פיייקייט צו ווייַזן קאָנטראָל דעפּענדס אויף ווי גוט איר פאַרוואַלטעט דעם קאָנסומאַציע און ווי קלאָר עס איז פארבונדן אין דיין ISMS פּראָצעסן, אַזאַ ווי ריזיקירן אַסעסמאַנט און ענדערונג פאַרוואַלטונג.

ווי אַ וואָלקן פּראַוויידער אָדער פאַרוואַלטער, איר פּלאַנירט, צושטעלט און שטיצט סערוויסעס וואָס לויפן אויף די פּלאַטפאָרמעס. איר קענט פאַרקויפן געראטן אינפראַסטרוקטור, באַקאַפּ, SOC, אַפּליקאַציע האָסטינג אָדער זיכערהייט סערוויסעס. אייערע קאַסטאַמערז זען אייך ווי די פאַראַנטוואָרטלעך פּאַרטיי, אפילו ווען איר בויט אויף אַ דריט-פּאַרטיי וואָלקן. זיי מאַכן קיין אונטערשייד צווישן אייער סערוויס און די היפּערסקאַלער אויף וואָס עס לויפט; זיי נעמען אָן אַז איר האָט זיך גענומען זאָרגן וועגן די פרטים.

א געוויינטלעכע אומרעכטע אויסגלייך ערשיינט ווען איר מאַכט צוזאגן צו קאַסטאַמערז וועגן לאָג ריטענשאַן אָדער באַקאַפּ געשיכטע, אָבער אַן אַפּסטרים געצייַג לויפט נאָך אויף זיין פעליקייַט, פיל קירצער סעטינג. אין דעם פאַל, אייער דאַונסטרים צוזאָג האט איבערגעשטיגן אייער אַפּסטרים קאָנפיגוראַציע, און A.5.23 וועט אויפדעקן דעם ריס.

בויען אַ צוויי-ראָלע פֿאַראַנטוואָרטלעכקייט מיינונג

בויען א צוויי-ראלע פֿאַראַנטוואָרטלעכקייט בליק מיינט צו מאַפּירן פֿאַראַנטוואָרטלעכקייטן אַריבער פּראַוויידערז, דיין MSP טימז און קאַסטאַמערז אין אַ איין, קאָוכירענט מאָדעל. דאָס גיט דיין CISO, הויפּט פון סערוויס דעליווערי און אַקאַונט מאַנאַדזשערז אַ געמיינזאַם בילד פון ווער איז דער אָונער פון וואָס אַריבער די גאנצע קייט.

א פּראַקטישער וועג דאָס צו טאָן איז צו שאַפֿן אַ צוויי-ראָלע פֿאַראַנטוואָרטלעכקייט מאַטריץ. אַריבער שליסל קאָנטראָל געביטן - אידענטיטעט און אַקסעס פאַרוואַלטונג, קאָנפיגוראַציע, לאָגינג, באַקאַפּ, אינצידענט ענטפער, ענדערונג קאָנטראָל, דאַטן שוץ - איר ליסט:

וואָס אייערע אַפּסטרים פּראַוויידערז פאַרפליכטן זיך צו.
וואָס איר, אַלס דער MSP, פֿאַרפֿליכטעט זיך צו אַפּסטרים (למשל, ערמעגלעכן געוויסע פֿונקציעס, פֿאַרוואַלטן געוויסע ריזיקעס).
וואָס איר פֿאַרפֿליכטעט זיך צו דאַונסטרים אין אייערע קונה קאָנטראַקטן און SLAs.
וואָס איר דערוואַרט פון קאַסטאַמערז צו טאָן אַליין.

די געניטונג אַנטפּלעקט אָפט פאַלשע שטעלונגען: פֿאַרפֿליכטונגען צו קאַסטאַמערז וואָס האָבן נישט קיין שטיצע פֿון דער אויבערשטער זייט, אָדער הנחות וועגן פּראַוויידערז וואָס ווערן נישט געשטיצט דורך זייערע קאָנטראַקטן. עס קלעריט אויך וווּ איר דאַרפֿט שטאַרקערע קאָנטראָלן, קלאָרערע ווערטער אָדער אַנדערע סערוויס דיזיינז. ווען איר בויט דעם בליק אין אַן ISMS פּלאַטפאָרמע ווי ISMS.online, גיט איר טימז אַן איינציקע מקור פֿון אמת וועגן געטיילטע פֿאַראַנטוואָרטלעכקייטן.

איבערמאַכן פֿאַראַנטוואָרטלעכקייט מאַפּעס אין טעגלעכער פּראַקטיק

איבערמאַכן פֿאַראַנטוואָרטלעכקייט מאַפּעס אין טעגלעכער פּראַקטיק מיינט צו מאַכן זיכער אַז יעדער וואָס רירט אָן וואָלקן סערוויסעס פֿאַרשטייט די טיילן וואָס זענען אָנווענדלעך צו זיי און קען שנעל האַנדלען אויף זיי. די מאַפּעס זאָלן פֿאָרמען נאַטור אין פֿאַרקויף, אינזשעניריע, שטיצע און אַקאַונט פאַרוואַלטונג.

מאַכן פֿאַראַנטוואָרטלעכקייט מאַפּעס פאַקטיש מיינט:

ניצן זיי צו אינפארמירן פארקויף און אַקאַונט טימז, אַזוי זיי זאָלן נישט צו פיל צוזאָגן אָדער ימפּראַוויזירן קאַמיטמאַנץ.
צופּאַסן די ראַןבוקס און פּלייבוקס מיט די פֿאַראַנטוואָרטלעכקייטן וואָס איר האָט דעפינירט, אַזוי אַז טעכנישע טימז זאָלן האַנדלען קאָנסיסטענט.
טרענירן אינזשענירן ווי און ווען אויסצונוצן זייערע רעכטן אין קונה טענענטן, אריינגערעכנט צייט-געבונדענע העכערונגען און באשטעטיגונגען.
מסכים זיין ווי אינצידענטן וואָס האָבן צו טאָן מיט פּראַוויידערז וועלן ווערן קאָמוניקירט און באַהאַנדלט מיט קאַסטאַמערז, אַרייַנגערעכנט עסאַקאַלאַציע וועגן.

ווען אייער צוויי-ראלע בליק איז איינגעווארצלט אויף דעם אופן, הערט אויף A.5.23 צו זיין אן אבסטראקטע פארלאנג און ווערט א נאטירלעכע לינזע אויף ווי אייער MSP ארבעט אין די וואלקן. עס גיט אייך אויך א קלארע דערציילונג פאר באארדס און קאסטומערס וואס ווילן פארשטיין אייער פלאץ אין דער געטיילטער אחריות קייט.

א פּראַקטישער מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט פֿאַר MSP וואָלקן פּלאַטפאָרמעס

א פּראַקטישער מאָדעל פֿון געטיילטער פֿאַראַנטוואָרטלעכקייט פֿאַר MSP וואָלקן פּלאַטפאָרמעס איז אַ סכום קלאָרע מאַטריצעס וואָס ווײַזן ווער טוט וואָס פֿאַר יעדן סערוויס, פֿאַר יעדן פּראָווײַדער, MSP און קונה. אונטער A.5.23, פֿאַרוואַנדלען די מאַטריצעס די אידעע פֿון געטיילטער פֿאַראַנטוואָרטלעכקייט אין עפּעס וואָס איר קענט אָנפֿירן, לערנען און אויספֿאָרשן.

רובֿ עפֿנטלעכע וואָלקן פּראַוויידערז באַשרײַבן אַ פּשוטע צוטיילונג: זיי זיכערן די אינפֿראַסטרוקטור; איר זיכערט וואָס איר בויט אויף איר. יענע מוסטער איז דאָקומענטירט אין דערקלערונגען פֿון געטיילטע פֿאַראַנטוואָרטלעכקייט מאָדעלן פֿון גרויסע פּראַוויידערז ווי AWS, Azure און Google Cloud, און עס איז געוואָרן אַ געוויינטלעכע באַזע פֿאַר וואָלקן קאָנטראָל פּלאַן. פֿאַר MSP'ס, איז דאָס נאָר דער אָנהייבפּונקט. איר דאַרפֿט מאָדעלן וואָס שפּיגלען אָפּ די ספּעציפֿישע פּלאַטפאָרמעס וואָס איר ניצט, די סערוויסעס וואָס איר אָפֿערט און דעם אופֿן ווי אייערע טימז אַרבעטן טאַקע.

אריבערגיין פון אלגעמיינע "געמיינזאמע אחריות"

אריבערגיין פון אלגעמיינע "געמיינזאמע אחריות" עטיקעטן מיינט פארטרעטן אומקלארע סטעיטמענטס מיט ספעציפישע, באגרענעצטע אויפגאבן וואס יחידים און טימס פארשטייען. A.5.23 באלוינט די קלארקייט ווייל אוידיטארן און קאסטומערס קענען זען ווער איז פאראנטווארטלעך פאר עכטע אקציעס, נישט נאר אבסטראקטע קאנצעפטן.

אלגעמיינע "געמיינזאמע פֿאַראַנטוואָרטלעכקייט" עטיקעטן באַהאַלטן פאַקטישע ריזיקעס. כּדי צו גיין ווייטער פֿון זיי, דאַרפֿט איר באַטראַכטן:

די ספּעציפֿישע פּלאַטפאָרמעס וואָס איר ניצט (למשל, אינפֿראַסטרוקטור-אַלס-אַ-סערוויס, ווייכווארג-אַלס-אַ-סערוויס, געראטן זיכערהייט מכשירים).
די ספּעציפֿישע סערוויסעס וואָס איר אָפפערט (למשל, געראטן באַקאַפּ, געראטן SOC, געראטן מאָדערנעם אַרבעטספּלאַץ).
די וועג ווי אייער מאַנשאַפֿט אַרבעט טאַקע (למשל, נוצן פון אָטאָמאַציע, צענטראַליזירטע מאָניטאָרינג, וישאַלט פֿענצטער).

פֿאַר יעדער קאָמבינאַציע פֿון פּלאַטפֿאָרמע און סערוויס, זאָל אַ פֿאַראַנטוואָרטלעכקייט מאַטריץ דעפֿינירן פֿאַראַנטוואָרטלעכקייטן אין גענוג דעטאַל אַז מענטשן קענען האַנדלען. דאָס מיינט צו באַשטימען ווער עס ערמעגליכט לאָגינג, ווער עס טעסט רעסטאַרס, ווער עס האַנדלט מיט סוביעקט אַקסעס ריקוועסץ און ווער עס פֿירט אינצידענט קאָמוניקאַציע, אַנשטאָט פשוט צו זאָגן "געטיילט".

נעמען דעם עקסטרע שריט שטיצט אויך פארבונדענע קאנטראלן, ווי אינצידענט מענעדזשמענט און אפעראציעס זיכערהייט, ווייל יעדער קען זען וואו זייער ראלע הייבט זיך אן און ענדיגט זיך.

סטרוקטורירן אייערע פֿאַראַנטוואָרטלעכקייט מאַטריץ

גוט סטרוקטורירן אייערע פֿאַראַנטוואָרטלעכקייט מאַטריץ מיינט ניצן אַ קאָנסיסטענטן אויסלייג וואָס שפּיגלט אָפּ ווי אייערע אינזשענירן און סערוויס מאַנאַדזשערז טראַכטן, בשעת עס איז נאָך גענוג דעטאַלירט צו פירן אַקציע. אַ פּשוטע סטרוקטור, וואָס ווערט איבערגעחזרט איבער סערוויסעס, מאַכט טריינינג און איבערבליק פיל גרינגער.

א פּראַקטישע מאַטריץ פֿאַר יעדן סערוויס קען דעקן געביטן ווי:

אידענטיטעט און אַקסעס פאַרוואַלטונג: – ווער שאַפֿט און נעמט אָפּ אַקאַונטס, פאַרוואַלטעט ראָלעס און אָפּשאַצט צוטריט.
קאָנפיגוראַציע און פֿאַרהאַרטונג: – ווער ווענדט אָן באַסעליינס, האַנדלט מיט זיכערהייט דערהייַנטיקונגען און אָפּשאַצט קאָנפיגוראַציע דריפט.
לאָגינג און מאָניטאָרינג: – ווער עס אַקטיוויזירט לאָגס, האַלט זיי אויף, באַטראַכט אַלערץ און רעאַגירט אויף אינצידענטן.
באַקאַפּ און אָפּזוך: – ווער קאָנפיגורירט באַקאַפּס, טעסט רעסטאָרס און וועראַפיי די אָפּזוך צילן.
דאַטן שוץ און פּריוואַטקייט: – ווער קלאַסיפֿיצירט דאַטן, אַפּליקירט אויפֿהאַלטונג־רעגולאַציעס און פֿאַרוואַלטעט די רעכט פֿון די סוביעקטן.
קאָנטינויטעט און אַרויסגאַנג: – ווער איז פאַראַנטוואָרטלעך פֿאַר ריזיליאַנס פּאַטערנז, פיילאָוווער און דאַטן עקספּאָרט אָדער דילישאַן ביים סוף פון אַ קאָנטראַקט.

פֿאַר יעדער שורה, זאָל די מאַטריץ קלאָר אָפּצייכענען פֿאַראַנטוואָרטלעכקייטן: פּראָוויידער, MSP, קונה, אָדער געטיילט מיט ספּעציפֿישע אויפֿגאַבן וואָס זענען צוגעטיילט. איר זאָלט אויך זיכער מאַכן אַז יעדע מאַטריץ איז ווערסיע-קאָנטראָלירט און איבערגעקוקט ווען סערוויסעס, פּלאַטפאָרמעס אָדער קאָנטראַקטן טוישן זיך, אַזוי אַז זי בלייבט פּינקטלעך איבער צייט.

א פארפּשוטעטער ביישפּיל פֿאַר אַ געראטן באַקאַפּ אויף אַ פּובליק וואָלקן פּלאַטפאָרמע קען אויסזען אַזוי:

פעלד	פּראַוויידער / MSP / קונה פֿאַראַנטוואָרטלעכקייטן
באַקקופּ קאַנפיגיעריישאַן	פּראַוויידער אָפפערס פֿונקציע; MSP קאָנפיגורירט פּאָליטיק; קונה באריכטן פאַרנעם
צוריקשטעלן טעסטינג	MSP פירט אויס פּעריִאָדישע טעסט רעסטאָראַציעס; קונה וואַלידירט דאַטן פולשטענדיקייט
רעטענשאַן סעטטינגס	פּראַוויידער דורכצווינגען לימיטן; MSP שטעלט אָפּהאַלטונג; קונה באַשטעטיקט פּאָליטיק

איר קענט דעמאָלט ווידער נוצן די מאַטריצעס צווישן קאַסטאַמערז וואָס נוצן דעם זעלבן סערוויס מוסטער, אַדזשאַסטינג בלויז ווו טאַקע נייטיק.

פֿאַרבינדן דעם מאָדעל צו אייערע ISMS און קאַסטאַמערז

פֿאַרבינדן דעם מאָדעל פֿון געטיילטע פֿאַראַנטוואָרטלעכקייט צו אייערע ISMS און קאַסטאַמערז גאַראַנטירט אַז עס השפּעהט אויף באַשלוסן פֿון פֿאָר-פֿאַרקויף ביז אָף-באָרדינג אַנשטאָט צו זיצן אין אפגעזונדערטקייט. וואָס מער איר פֿאַרבינדט עס, אַלץ מער נוצלעך און גלויבווערדיק ווערט עס.

אַמאָל איר האָט דעפינירט די מאָדעלן, פֿאַרבינדט זיי:

אינטערן, דורך זיי רעפערענצירן אין פּאָליטיקס, פּראָצעדורן, ראַןבוקס און טריינינג.
קאמערציעל, דורך צופּאַסן אייערע סערוויס באַשרייַבונגען, פאָרשלאָגן און SLAs מיט די פֿאַראַנטוואָרטלעכקייטן וואָס איר האָט באַשטימט.
מיט קאַסטאַמערס, דורך טיילן פאַרפּשוטעטע קוקן אָדער דיאַגראַמען בעת אָנבאָאַרדינג, אַזוי אַז ערוואַרטונגען זענען קלאָר פֿון טאָג איינס.

ווען אַן אוידיטאָר פרעגט ווי איר פאַרוואַלטעט געטיילטע פֿאַראַנטוואָרטלעכקייט אונטער A.5.23, קענט איר ווײַזן אויף די מאַטריצעס, זייערע פֿאַרבינדונגען אין אייער ISMS און ביישפילן ווי זיי האָבן געפֿירט צו פאַקטישע באַשלוסן. ווען אַ קונה ווי אַ CISO אָדער הויפּט פֿון IT פרעגט "ווער איז דער באַזיצער פֿון דעם קאָנטראָל?", האָט איר אַן ענטפֿער וואָס איז קאָנסיסטענט איבערן גאַנצן געשעפֿט. אַ צענטראַלע פּלאַטפאָרמע ווי ISMS.online קען האַלטן די מאַטריצעס צוזאַמען מיט ריזיקעס, קאָנטראָלן און קאָנטראַקטן, אַזוי אַז זיי זענען גרינג צו האַלטן און באַווײַזן.

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

דיזיינינג וואָלקן סערוויס לעבן-ציקל פּראָצעסן פֿאַר A.5.23

קלאָוד סערוויס לעבן-ציקל פּראָצעסן זענען ווי איר באַווייַזט אַז A.5.23 איז מער ווי אַ פּאָליטיק סטעיטמענט: זיי ווייַזן אַז איר סעלעקטירט, לויפט און ריטייערמאַנט קלאָוד סערוויסעס אין אַ קאַנטראָולד, ריפּיטאַבאַל וועג. פֿאַר אַן MSP, די ציל איז צו פאַרבינדן קלאָוד לעבן-ציקל טריט מיט דיין יגזיסטינג ISMS פּראָצעסן, נישט צו שאַפֿן אַ באַזונדער ביוראַקראַטיע.

A.5.23 ערוואַרטעט פון אייך צו ווייַזן אַז וואָלקן סערוויסעס נאָכפאָלגן דעפינירטע טריט פון געדאַנק ביז אַרויסגאַנג, מיט זיכערהייט און געטיילטע פֿאַראַנטוואָרטלעכקייט באַטראַכט אין יעדער בינע. דאָס ליינט זיך ענג מיט דער קאָנטראָל'ס אייגענער שפּראַך אַרום "אַקוויזיציע, נוצן, פאַרוואַלטונג און אַרויסגאַנג" פון וואָלקן סערוויסעס אין לויט מיט אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ, און מיט געוויינטלעכע לעבן-ציקל מאָדעלס געניצט אין ISO 27001 און וואָלקן סטאַנדאַרדס גיידליינז אַזאַ ווי ISO 27001 A.5.23 קאָמענטאַר. דאָס ליינט זיך נאַטירלעך מיט ISO 27001 קלאָזולעס וועגן ריזיקאָ באַהאַנדלונג, אָפּעראַציאָנעלע פּלאַנירונג, ענדערונג פאַרוואַלטונג און סאַפּלייער פאַרוואַלטונג.

דעפינירן אַ וואָלקן סערוויס לעבן-ציקל וואָס מענטשן קענען נאָכפֿאָלגן

דעפינירן א וואָלקן סערוויס לעבנסציקל וואָס מענטשן קענען נאָכפֿאָלגן מיינט צו מאַכן A.5.23 אין אַ קליין סכום פון איבערחזרנדיקע סטאַגעס וואָס פּאַסן צו אייערע עקזיסטירנדיקע אַרבעטס-וועגן. דער לעבנסציקל זאָל זיין פּשוט גענוג אַז פּראָדוקט אייגנטימער, אינזשענירן און פּראָקורמענט טימז קענען עס אָנווענדן אָן ספּעציאַליסטיש וויסן. צוויי דריטל פון אָרגאַניזאַציעס אין דער 2025 ISMS.online שטאַט פון אינפֿאָרמאַציע זיכערהייט אַנקעטע זאָגן אַז די שנעלקייט און באַנד פון רעגולאַטאָרישע ענדערונגען מאַכן העסקעם שווערער צו האַלטן.

א טיפישער לעבנסציקל פאר וויכטיגע וואָלקן סערוויסעס קען ארייננעמען סטאַגעס ווי:

געדאַנק און אָפּשאַצונג – עמעצער פֿאָרשלאָגט אַ נײַעם וואָלקן סערוויס אָדער אַ נײַעם וועג צו נוצן אַן עקזיסטירנדיקן. איר קאָנטראָלירט עס לויט געשעפֿטלעכן ווערט, זיכערהייט און קאָנפאָרמאַנס פּאַסיק.
אויסוואל און געפֿאָלגרײַכקײַט – איר קאָנטראָלירט סערטיפיקאַציעס, דאַטן לאָקאַציעס, קאָנטראַקטואַלע טערמינען און שטיצע קייפּאַבילאַטיז, און פאַרגלייַכט אָפּציעס.
דיזיין און איינפיר – איר באַשליסט ווי דער סערוויס וועט זיין קאָנפיגורירט, אינטעגרירט און מאָניטאָרירט, און ווער וועט עס באַזיצן.
אָפּעראַציע און ענדערונג – איר פירט דעם סערוויס, קוקט איבער לאָגס און מעטריקס, האַנדלט מיט ענדערונגען און אינצידענטן, און האַלט די קאָנפיגוראַציע אין לויט מיט אייערע סטאַנדאַרדן.
איבערבליק און באַנייַונג – איר קוקט פּעריִאָדיש איבער צי דער סערוויס טרעפֿט נאָך די באַדערפֿנישן, צי ריזיקעס זענען אַקצעפּטאַבל און צי פֿאַרבעסערונגען זענען נויטיק.
אַרויסגאַנג אָדער פאַרבייַט – אויב איר שליסט אויס אדער פארטרעט דעם סערוויס, האנדלט איר מיט דאטן עקספארט, אויסמעקן און קאמוניקאציע מיטן קאסטומער.

די שטאפלען מאכן וואָלקן סערוויס באַשלוסן איבערחזרנדיק אַנשטאָט אַד-האָק. פֿאַר יעדער איינער, דעפינירט די מינימום אַקציעס, אַפּרווואַלז און רעקאָרדס וואָס איר דערוואַרט. דאָס קען אַרייַננעמען ריזיקירן אַסעסמאַנץ, דיו דילידזשאַנס טשעקליסטן, קאָנפיגוראַציע באַסעליינז, ענדערונג רעקאָרדס און עקזיט באַשטעטיקונגען, אַלע אין לויט מיט דיין צענטראַל ISMS.

כּדי דאָס צו מאַכן נאָך מער נוצלעך, קענט איר אויסדריקן דעם לעבנסציקל ווי אַ פּשוטע סעט פון טריט פֿאַר טימז צו נאָכפֿאָלגן.

שריט 1: כאַפּן און סקרינען די געדאַנק

כאַפּט און דורכקוקט יעדע וואָלקן סערוויס געדאַנק איידער ווער עס יז רעגיסטרירט זיך אָדער אינטעגרירט עס, אַזוי איר קענט אָפּוועגן ווערט, ריזיקע און אַליינמאַנט מיט אייער ISMS.

רעקאָרדירט דעם פארגעשלאגענעם וואָלקן סערוויס, זיין צוועק און ערשטע ריזיקעס איידער ווער עס יז רעגיסטרירט זיך אדער אינטעגרירט עס.

שריט 2: פאַרענדיקן דיו דילידזשאַנס און פּלאַן

פולשטענדיגע דיו דילידזשענס און דיזיין איידער א וואָלקן סערוויס ווערט אנגענומען, אזוי אז קאנפיגוראציע, מאָניטאָרינג און פֿאַראַנטוואָרטלעכקייטן ווערן דעפינירט אנשטאט ימפּראַוויזירט.

קאָנטראָלירט זיכערהייט, קאָנטראַקטן און דאַטן האַנדלינג, און דערנאָך דעפינירט קאָנפיגוראַציע, מאָניטאָרינג און געטיילטע פֿאַראַנטוואָרטלעכקייטן.

שריט 3: ארויפגיין, אפערירן און פלאנירן ארויסגאנג

ארויפגיין, אפערירן און פלאנירן ארויסגאנג אויף א סטרוקטורירטן וועג, אזוי אז איר קענט באווייזן ווי דער סערוויס ווערט קאנטראלירט איבער זיין גאנצן לעבן.

ארבעט אריין אין סערוויס לויט אייערע באזע-ליניעס, מאניטארירט עס און רעקארדירט ווי אזוי איר וועט עס פארלאזן אדער ערזעצן זיכער.

איינפירן לעבנסציקל קאנטראלן אין ווי אזוי איר ארבעט

איינפירן לעבנס-ציקל קאנטראלן אין ווי אזוי איר ארבעט מיינט זיי אינטעגרירן אין פראצעסן און מכשירים וואס אייערע טימז נוצן שוין. ווען דער לעבנס-ציקל איז דער פעליקייט וועג, ווערט די קאנפארמיטעט מיט A.5.23 פיל גרינגער צו אויפהאלטן.

Consider:

עס צופּאַסן צו די פּראָקורמענט וואָרקפלאָוז, אַזוי אַז קאָנטראַקטן קענען נישט אונטערגעשריבן ווערן ביז זיכערהייט, פּריוואַטקייט און אָפּעראַציאָנעלע רעקווירעמענץ זענען אָפּגעשטעלט.
פֿאַרבינדן עס מיט דיין סערוויס הקדמה פּראָצעס, אַזוי אַז נייַע אָפפערס אָדער הויפּט ענדערונגען גייען דורך די וואָלקן לעבן-ציקל טויערן.
אינטעגרירן לעבנס-ציקל אויפגאבן אין אייערע טיקעטינג און ענדערונג סיסטעמען, נישט נאר אין באזונדערע וואָלקן דאקומענטן.

דורך פארבינדן לעבנס-ציקל טריט צו איינגעשטעלטע פראצעסן ווי טויש-מענעדזשמענט און סופלייער-מענעדזשמענט, רעדוצירט איר רייבונג און פארבעסערט אדאפטאציע. מענטשן גייען נאך דעם לעבנס-ציקל ווייל דאס איז דער וועג פון קלענסטן קעגנשטאנד, נישט ווייל מען האט זיי געזאגט צו לייענען אן אנדער פאליסי.

מאַכן לעבן-ציקל באַווייַז-אויפֿזיכט גרייט

מאַכן לעבן-ציקל באַווייזן גרייט פֿאַר אַן אוידיט מיינט צו קענען ווייַזן אַ פּאָר גאַנצע ביישפילן וואָס דעמאָנסטרירן די זעלבע לאָגיק געווענדט צו פֿאַרשידענע סערוויסעס. אוידיטאָרן ווילן זען מוסטערן, נישט איין-מאָליקע הצלחות.

פֿאַר יעדן בייַשפּיל, צילט צו ווײַזן:

פארוואס דער סערוויס איז אויסגעקליבן געווארן, באזירט אויף ריזיקע און באדערפענישן.
ווי פֿאַראַנטוואָרטלעכקייטן זענען געווען דעפינירט, ניצנדיק דיין מאָדעל פֿון געטיילטע פֿאַראַנטוואָרטלעכקייט.
וועלכע קאנטראלן זענען אימפלעמענטירט געווארן ביים איינפירן, אריינגערעכנט באזעליינס און צוטריט מוסטערן.
ווי דער סערוויס ווערט מאָניטאָרירט און אָפּגעקוקט, מיט ביישפילן פון ענדערונגען אדער פֿאַרבעסערונגען.
ווי דאַטן און צוטריט וואָלט ווערן געהאַנדלט בײַם אַרויסגאַנג, אפילו אויב יענער אַרויסגאַנג איז נאָך נישט געשען.

אויב איר קענט פּראָדוצירן די באַווײַזן אָן אַ גרויסן געראַנגל, וועט A.5.23 זיך פֿילן איינגעוואָרצלט אַנשטאָט צוגעבונדן. אַ סיסטעם ווי ISMS.online קען העלפֿן דורך פֿאַרבינדן סערוויסעס, ריזיקעס, פֿאַראַנטוואָרטלעכקייטן, ענדערונגען און עקזיט רעקאָרדס אין איין אָרט, אַזוי איר דאַרפֿט נישט צוזאַמענשטעלן דאָס בילד פֿון אָנהייב יעדעס מאָל ווען עמעצער פֿרעגט.

טעכנישע קאָנטראָלן פֿאַר קייפל טענענטן: אימפּלעמענטירן קאָנסיסטענטע זיכערהייטס-מיטלען

טעכנישע קאָנטראָלן פֿאַר מערערע טענענטן זענען דער פּראַקטישער אויסדרוק פֿון אייערע A.5.23 וואָלקן גאַווערנאַנס באַשלוסן אין טעגלעכער אינזשעניריע אַרבעט. זיי איבערזעצן מאָדעלן פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט און לעבן-ציקל פּראָצעסן אין קאָנקרעטע באַזעליניעס וואָס באַשיצן פֿיל קאַסטאַמערז אין דער זעלבער צייט.

ווען איר פירט קייפל טענענטן אויף געמיינזאמע פּלאַטפאָרמעס, ערוואַרטעט A.5.23 אַז איר זאָלט נעמען אַ פּראָאַקטיוון, סטאַנדאַרדיזירטן צוגאַנג צו אידענטיטעט, קאָנפיגוראַציע, לאָגינג, באַקאַפּ און איזאָלאַציע. אויף דעם וועג קענט איר ווייַזן אַז אייערע טעכנישע זיכערהייטן שטימען מיט די פֿאַראַנטוואָרטלעכקייטן וואָס איר האָט אָנגענומען און די פֿאַרפֿליכטונגען וואָס איר מאַכט צו קאַסטאַמערז.

פארוואס מולטי-טענענט באזעליינס זענען וויכטיג

מולטי-טענאַנט באַזעלינעס זענען וויכטיק ווייל קליינע שוואַכקייטן קענען האָבן גרויסע קאָנסעקווענצן אויף פילע קאַסטאַמערז אין דער זעלביקער צייט. איין צו-פּערמיסיוו ראָלע, פאַרפעלטער דערהייַנטיקונג אָדער נישט-געטעסטע באַקאַפּ קען אונטערמינעווען דיין קוילעלדיק וואָלקן פארזיכערונג געשיכטע. וואָלקן זיכערהייט פריימווערקס און נאציאנאלע גיידליינז, אַזאַ ווי מולטי-טענאַנט ריזיקירן דיסקוסיעס אין קאָנטראָל קאַטאַלאָגן און וואָלקן זיכערהייט זאַמלונגען פון נאציאנאלע סייבער זיכערהייט צענטערס, קאָנסיסטענטלי הויכפּונקט אידענטיטעט פאַרוואַלטונג, פּאַטשינג און באַקאַפּ ווי סיסטעמישע ריזיקירן געביטן וואָס קענען געשווינד סקאַלירן אַריבער טענאַנץ ווען זיי פאַרלאָזן. א מערהייט פון אָרגאַניזאַציעס אין די 2025 ISMS.online יבערבליק האָבן געמאלדן אַז זיי זענען אַפעקטאַד דורך לפּחות איין דריט-פּאַרטיי אָדער פאַרקויפער-פֿאַרבונדענע זיכערהייט אינצידענט אין די לעצטע יאָר.

אין אַן MSP סביבה, קען איין איבער-פּריווילעגירטער אַדמין אַקאַונט, אומגעלאָגטע קריטישע אַקציע אָדער אומגעפּריפטע באַקאַפּ פּראָצעס אַפעקטירן דאַזאַנז קאַסטאַמערז אין איין אינצידענט. A.5.23 ערוואַרטעט פון אייך צו פאַרוואַלטן די ריזיקעס סיסטעמאַטיש, נישט רעאַקטיוו, און צו קענען ווייַזן ווי אייערע קאָנטראָלן אַפּלייזן זיך צו די וואָלקן סערוויסעס וואָס איר ניצט און צושטעלט. קאָנסיסטענטע באַזעליניעס דעפינירן די מינימום קאָנטראָלן אין פּלאַץ פֿאַר יעדן קונה וואָס ניצט אַ געגעבענע פּלאַטפאָרמע אָדער סערוויס און געבן אָדיטאָרס און קאַסטאַמערז בטחון אַז איר טוט נישט איבערמאַכן זיכערהייט יעדעס מאָל.

פֿון אַ פֿירערשאַפֿט פּערספּעקטיוו, שטעלן די באַזעליניעס אויך צו אַ זיכערהייט־שטאָק: איר קענט ווײַזן דירעקטאָרן־ראַטן און קאַסטאָמערס אַז טעכנישע זיכערהייטן שטימען מיט די גאַווערנאַנס און קאָנטראַקטואַלע באַשלוסן וואָס איר האָט שוין געמאַכט.

קערן טעכנישע טעמעס צו סטאַנדאַרדיזירן

קערן טעכנישע טעמעס צו סטאַנדאַרדיזירן זענען די געביטן וואו קאָנסיסטענטע זיכערהייטס מיטלען רעדוצירן די ליקעליהאָאָד פון קראָס-טענאַנט פּראָבלעמען און געבן אינזשענירן אַ קלאָרן סטאַרטינג פונט אויף יעדער פּלאַטפאָרמע.

כאָטש דעטאַלן זענען אַנדערש לויט פּלאַטפאָרמע, נוץ רובֿ MSP'ס פון סטאַנדאַרדיזירן לפּחות די פאלגענדע טעמעס. טאן דאָס מאכט עס גרינגער פֿאַר דיין זיכערהייט הויפּט, אָפּעראַציעס פירער און אינזשעניריע טימז צו ציען אין דער זעלביקער ריכטונג.

אידענטיטעט און אַקסעס פאַרוואַלטונג: – ראָלע-באַזירט צוטריט, מינדסטע פּריווילעגיע, צעשיידונג פון פליכטן, צייט-געבונדענע העכערונג פֿאַר הויך-ריזיקירטע אַקציעס און ראָבוסטע אָפבאָרדינג.
קאָנפיגוראַציע און פֿאַרהאַרטונג: – באַזיס טעמפּלאַטעס פֿאַר נעץ סעגמענטאַציע, ענקריפּשאַן, ענדפּוינט פּראַטעקשאַנז, פּאַטשינג פּאָליטיק און רעסורס נאַמינג.
לאָגינג און מאָניטאָרינג: – קאָנסיסטענט לאָגינג קאָנפיגוראַציעס, צענטראַלע לאָג אַגרעגאַציע, דעפינירטע אַלערט כּללים און דאָקומענטירטע ענטפער פּלייבוקס.
באַקאַפּ און אָפּזוך: – סטאַנדאַרט באַקאַפּ סקעדזשולז, ריטענשאַן, ענקריפּשאַן, רעסטאָר טעסט רוטינז און דאָקומענטאַציע פון קליענט רעקאָווערי אָביעקטיוון.
אפגעזונדערטקייט און צוזאמענהאלטונג: – מוסטערן פֿאַר צעשיידן טענענטן בײַם נעץ, אידענטיטעט און דאַטן שיכטן, און טשעקס צו באַשטעטיקן אַז אפגעזונדערטקייט האַלט זיך.

יעדע באַזעלינע זאָל קלאָר זאָגן וואָס דער פּראַוויידער צושטעלט, וואָס איר קאָנפיגורירט און האַלט, און וואָס איר ערוואַרטעט פון קאַסטאַמערז צו טאָן. צוזאַמען גענומען, ווערן די טעמעס די טעכנישע רוקן-ביין פון אייער A.5.23 אימפּלעמענטאַציע.

נאכדעם וואס איר דעפינירט די טעמעס, איז דער נעקסטער שריט זיי צו איינבעטן וואו אינזשענירן וואוינען: טעמפּלאַטן, סקריפּטן, אינפראַסטרוקטור-ווי-קאָד, צענטראלע פאַרוואַלטונג מכשירים און דאָקומענטירטע פּלייבוקס.

פֿאַרבינדן טעכנישע קאָנטראָלן צו A.5.23 און ווייטער

פֿאַרבינדן טעכנישע קאָנטראָלן צו A.5.23 און פֿאַרבונדענע קאָנטראָלן גאַראַנטירט אַז אייער גאַווערנאַנס, לעגאַלע פֿאַרפֿליכטונגען און אינזשעניריע פּראַקטיקעס שטיצן איינער דעם אַנדערן אַנשטאָט זיך צו צענעמען. די אויסריכטונג מאַכט אייער גאַנצע סיסטעם גרינגער צו דערקלערן און פֿאַרטיידיקן.

דאס מיינט:

מאַפּירן יעדן באַזע עלעמענט צו אייערע געטיילטע פֿאַראַנטוואָרטלעכקייט מאַטריץ, אַזוי אַז טעכנישע קאָנטראָלס שטימען מיט די פֿאַראַנטוואָרטלעכקייטן וואָס איר האָט צוגעטיילט.
זיכער מאַכן אַז באַסעליינז זענען טייל פון דיין וואָלקן סערוויס לעבן-ציקל, אַזוי זיי ווערן געווענדט ביי אָנבאָרדינג און איבערגעקוקט ביי אָפּשאַצונגען.
פֿאַרבינדן טעמעס ווי צוטריט, לאָגינג און באַקאַפּ צו אַנעקס א קאָנטראָלן אויף צוטריט קאָנטראָל, אָפּעראַציעס זיכערהייט, אינצידענט פאַרוואַלטונג און געשעפט קאַנטיניואַטי.

די אויסריכטונג מאכט אייער אלגעמיינע קאנטראל סיסטעם קאָוכערענט. דאס מיינט אויך אז ווען A.5.23 ווערט דיסקוטירט בעת אוידיטס אדער קאסטומער באריכטן, זענט איר גרייט צו ווייזן נישט נאר פאליסיס, נאר אויך ארבעטנדיקע טעכנישע זיכערהייטן וואס פאסן צו אייער גאַווערנאַנס סטאָרי. אויב איר פירט די באַזעלינעס אין א צענטראלן סיסטעם ווי ISMS.online, קענט איר דעמאנסטרירן די פארבינדונג פון א וואָלקן סערוויס, צו זיין ריזיקאָ אַסעסמענט, צו זיינע טעכנישע קאנטראלן, אין א פאר קליקן.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

קאנטראקטן, SLAs און סוב-פראסעסאר קלאוזעס וואס שטייען ארויף אין אוידיט

קאנטראקטן, SLAs און סוב-פראסעסאר קלאוזעס זענען וואו אייערע A.5.23 וואָלקן גאַווערנאַנס באַשלוסן ווערן לעגאַל בינדנדיקע הבטחות. די קאָנטראָל ערוואַרטעט אַז אייערע אָפּמאַכן מיט פּראַוויידערז, סוב-פראסעסארן און קאַסטאַמערז זאָלן שפּיגלען די געטיילטע פֿאַראַנטוואָרטלעכקייט, לעבן-ציקל און טעכנישע ברירות וואָס איר האָט געמאַכט, אַנשטאָט זיי צו סותר זיין.

A.5.23 פארלאנגט נישט אז איר זאלט שרייבן קאנטראקטן אויף א באשטימטן אופן, אבער אוידיטארן און קאסטומערס וועלן טעסטן צי אייערע לעגאלע פארפליכטונגען און אייער טעכנישע רעאליטעט שטימען איבער. פרינציפן-באזירטע אנווייזונגען וועגן A.5.23 און פארבונדענע וואלקן קאנטראלן שטעלן כסדר דעם טראָפּ אויף די וויכטיקייט פון צופּאַסן קאנטראקטועלע צוזאגן מיט די פאקטישע קאנטראלן און מאָדעלן פון געטיילטע אחריות, ווייל א מיסאליינמענט איז וואו אסאך אוידיט געפינסן און סכסוכים קומען ארויף.

מאכן פֿאַראַנטוואָרטלעכקייטן און ערוואַרטונגען קלאָר אין קאָנטראַקטן און SLAs מיינט איבערזעצן אייערע אינערלעכע פֿאַראַנטוואָרטלעכקייט מאַטריץ אין קלאָרע, סטאַבילע ווערטער וואָס לעגאַלע, פֿאַרקויף און קאַסטאַמערז קענען אַלע פֿאַרשטיין. A.5.23 איז פיל גרינגער צו באַווייַזן ווען די דאָקומענטן שטימען מיט דעם וועג ווי איר אַרבעט טאַקע.

קאנטראקטן און SLAs זענען וואו מיספארשטענדענישן ווערן צו קריגערייען, ספעציעל ווען וואָלקן סערוויסעס זענען פארמישט. צו שטיצן A.5.23, זאלן אייערע אפמאכן:

באַשרײַבט קלאָר די סערוויסעס, אַרײַנגערעכנט יעדע אָפּהענגיקייט אויף דריט-פּאַרטיי וואָלקן פּלאַטפאָרמעס.
שטעלט ארויס זיכערהייט און דאַטן שוץ פליכטן אין גענוג דעטאַל צו זיין באַדייטנדיק, אָן צוזאָגן וואָס איר קענט נישט מקיים זיין.
דערקלערט ווער איז פאַראַנטוואָרטלעך פֿאַר וועלכע אַספּעקטן פון אינצידענט דעטעקשאַן, רעאַקציע און קאָמוניקאַציע.
קלארשטעלן וואָס פּאַסירט ביים סוף פֿונעם קאָנטראַקט, אַרייַנגערעכנט דאַטן עקספּאָרט אָדער אויסמעקן און יעדע איבערגאַנג שטיצע.

וואו מעגלעך, זאָלט איר גלייך צופּאַסן די שפּראַך צו די דאָמעינען אין אייערע מאַטריצעס פֿון געטיילטער פֿאַראַנטוואָרטלעכקייט, אַזוי אַז עס זאָל זיין אַ קלאָרע ליניע פֿון מאָדעל ביז ווערטער. דאָס העלפֿט אויך צו באַפֿרידיקן די פֿאַרבונדענע ISO 27001 רעקווייערמענץ אַרום לעגאַלע, רעגולאַטאָרישע און קאָנטראַקטואַלע פֿאַרפֿליכטונגען.

אזוי שנעל ווי פאראנטווארטליכקייטן זענען קלאר באשטימט אין ביידע מאטריצעס און קאנטראקטן, האבן אייערע טימז ווייניגער פלאץ פאר קאנפליקטירנדע אינטערפרעטאציעס ווען אינצידענטן אדער קאמפליצירטע קאסטומער פארלאנגען שטייען אויף.

צופּאַסן די טעכנישע רעאַליטעט מיט לעגאַלע פֿאַרפֿליכטונגען

צופּאַסן די טעכנישע רעאַליטעט מיט לעגאַלע פֿאַרפֿליכטונגען מיינט קאָנטראָלירן אַז וואָס איר פֿאַרשפּרעכט אין קאָנטראַקטן איז דערגרייכלעך מיט אייערע איצטיקע מכשירים, פּראָצעסן און באַזעליניעס. דאָס רעדוצירט דעם ריזיקאָ אַז קאַסטאַמערז אָדער אָדיטאָרס אַנטדעקן גאַפּס צווישן ווערטער און פּראַקטיק. בלויז אַרום 29% פֿון אָרגאַניזאַציעס אין דער 2025 ISMS.online אַנקעטע האָבן געזאָגט אַז זיי האָבן נישט באַקומען קיין קנסות פֿאַר דאַטן-שוץ דורכפֿאַלן, מיט דער מערהייט וואָס האָט געמאָלדן קנסות און עטלעכע שטייען פֿאַר שטראָפן העכער £250,000.

עס איז גרינג פֿאַר לעגאַלע קלאָזולעס צו אָפּטרייבן פֿון דער טעכנישער רעאַליטעט מיט דער צייט. אפשר אַ טעמפּלאַט פֿאַרשפּרעכט זייער שנעלע אינצידענט מעלדונגען, אָבער אייערע מאָניטאָרינג און עסאַקאַלאַציע פּראָצעסן מאַכן דאָס שווער אין פּראַקסיס. אָדער אַ SLA פֿאַרפֿליכטעט זיך צו אָפּזוך צילן וואָס שטימען נישט מיט באַקאַפּ דיזיינז.

כדי דאָס צו פֿאַרמייַדן, קוקט איבער אייערע קאָנטראַקטן און SLAs צוזאַמען איבער לעגאַלע, זיכערהייט, אָפּעראַציעס און אַקאַונט פאַרוואַלטונג. פרעגט:

קענען מיר קאָנסיסטענט מקיים זיין די צוזאגונגען וואָס מיר מאַכן, געגעבן אונדזער איצטיקע מאָניטאָרינג, שטיצע שעה און טעכנישע באַזעליניעס?
זענען דא געביטן וואו מיר דאַרפן אינוועסטירן אין בעסערע קאָנטראָלן אדער מכשירים צו זיי אויספירן?
זענען דא פֿאַרפֿליכטונגען וואָס זאָלן אַנשטאָט ליגן אויף דעם קונה אָדער פּראַוויידער, און ווערן קאָמוניקירט ווי אַזעלכע?

ווען אייערע לעגאלע צוזאגן און טעכנישע מעגלעכקייטן זענען אויסגעשטעלט, ווערט A.5.23 גרינגער צו באווייזן און ווייניגער ריזיקאליש צו לעבן דערמיט. איר רעדוצירט אויך די מעגלעכקייט פון איבערראשונגען פאר קאסטומערס, רעגולאטארן אדער אוידיטארן וואס גראבן אריין אין די דעטאלן הינטער אייערע צוזאגן.

ארייננעמען גאַווערנאַנס אין אייערע אפמאַכן

ארייננעמען גאַווערנאַנס אין אייערע אפמאַכן מיינט ניצן קאָנטראַקט שפּראַך צו פארשטארקן דעם וועג ווי איר ווילט אַז פּראַוויידערז און קאַסטאַמערז זאָלן זיך אויפפירן, נישט נאָר דאָקומענטירן סערוויסעס און פּרייזן. דאָס קען מאַכן געטיילטע פֿאַראַנטוואָרטלעכקייט און לעבן-ציקל טראַכטן אַ טייל פֿון דער טעגלעכער באַציִונג.

דאָס קען אַרייַננעמען:

רעכט צו באַקומען אָדער איבערקוקן פּראַוויידער פארזיכערונג, אַזאַ ווי דערהייַנטיקט סערטיפיקאַציעס אָדער אומאָפּהענגיקע באַריכטן.
ערוואַרטונגען אַרום אָנטייל אין געמיינזאַמע אינצידענט אָדער קאָנטינעויטעט עקסערסייזיז.
פליכטן צו מעלדן וועגן באַדייטנדיקע ענדערונגען אין סערוויס אָדער אָרט.
פארלאנגען צו נאכפאלגן איינגעשטימטע ארויסגאנג פראצעדורן, אריינגערעכנט צייט-פליען און קאאפעראציע.

דורך איינפלעבן די דאזיגע זאכן אין אייערע קאנטראקטן, זיכערט איר אז גאַווערנאַנס איז נישט נאָר אַן אינערלעכע ענין. עס ווערט אַ טייל פון דעם וועג ווי איר, אייערע פּראַוויידערז און אייערע קאַסטאַמערז אַרבעטן צוזאַמען איבערן לעבן פון דער סערוויס. ווען אוידיטאָרן טעסטן A.5.23, קענען זיי זען אז לעבן-ציקל און געטיילטע פֿאַראַנטוואָרטלעכקייט ווערן קאָנסיסטענט אָפּגעשפּיגלט אין אייערע אָפּמאַכן, נישט נאָר אין אייערע פּאָליטיקס.

בוך אַ דעמאָ מיט ISMS.online הייַנט

בוקן א דעמא מיט ISMS.online איז א פראקטישער וועג צו זען ווי אייער MSP קען ברענגען A.5.23 וואָלקן גאַווערנאַנס אונטער קאָנטראָל אָן צו לייגן צו מער קאָמפּלעקסיטי צו אייערע טימז. אין איין אָרט קענט איר זען ווי וואָלקן באַדינונגען, ריסקס, פֿאַראַנטוואָרטלעכקייטן, לעבן-ציקל טריט און באַווייַזן פאַרבינדן זיך, אַזוי איר זענט גרייט פֿאַר אַדאַץ, קונה פֿראגן און באָרד באריכטן.

איר ברענגט A.5.23 וואָלקן גאַווערנאַנס אונטער קאָנטראָל ווען איר פאַרבייט צעוואָרפענע דאָקומענטן און אַד-האָק באַשלוסן מיט אַן איינציקן, קאָוכערענטן סיסטעם וואָס פֿאַרבינדט סערוויסעס, ריסקס, פֿאַראַנטוואָרטלעכקייטן, לעבן-ציקל טריט און באַווייַזן. פֿאַר פילע MSPs, קען די נוצן פון אַ ספּעציעל געבויטע ISMS פּלאַטפאָרמע ווי ISMS.online זיין אַ פּראַקטישער וועג צו דערגרייכן די קאָנסאָלידאַציע אָן צו לייגן צו מער קאָמפּלעקסיטעט.

ISMS.online העלפט אייך פארוואנדלען אייערע A.5.23 וואָלקן גאַווערנאַנס פֿאַראַנטוואָרטלעכקייטן אין איין, צוזאַמענגעבונדענע סיסטעם וואָס פֿאַרבינדט וואָלקן אינווענטאַרן, געטיילטע פֿאַראַנטוואָרטלעכקייט מאָדעלן, לעבן-ציקל וואָרקפלאָוז, קאָנטראַקטן און באַווייזן. אַנשטאָט נאָכצולויפֿן דאָקומענטן איבער דרייווז, קאָנסאָולז און ינבאָקסעס, קענט איר זען ווי וואָלקן סערוויסעס ווערן גאַווערנד און ווי פֿאַראַנטוואָרטלעכקייטן ווערן געראטן אין איין אָרט.

פֿאַר MSPs, דאָס מיינט אַז איר קענט ווייַזן אָדיטאָרס, באָרדס און קאַסטאַמערז אַ קלאָרערע, מער קאָוכירענטע דערציילונג: וועלכע וואָלקן סערוויסעס איר ניצט, ווי פֿאַראַנטוואָרטלעכקייטן זענען געטיילט, וועלכע קאָנטראָלס זענען אין פּלאַץ און ווי די אַראַנזשירונגען טוישן זיך איבער צייט. אָבסערוואַטאָרן פון גאַווערנאַנס, ריזיקירן און קאַמפּליאַנס (GRC) מכשירים באַמערקן אָפט אַז צענטראַליזירטע פּלאַטפאָרמעס מאַכן דעם סאָרט דערציילונג גרינגער צו צונויפשטעלן און האַלטן קאָנסיסטענט, ווייַל זיי ברענגען צוזאַמען ריזיקירן, קאָנטראָלס און באַווייַזן אין איין סביבה. איר בלייבט אין קאָנטראָל פון דיסיזשאַנז; די פּלאַטפאָרמע העלפּס איר באַווייַזן דעם קאָנטראָל, קאָנסיסטענטלי, ווי דיין געשעפט סקיילד און סטאַנדאַרדס יוואַלוו.

זעט אייער וואָלקן סטאָרי אין איין בליק

זען אייער וואָלקן סטאָרי אין איין בליק מאכט עס גרינגער פֿאַר אייער CISO, אָפּעראַציעס פירער און קונה-פייסינג טימז צו ענטפֿערן שווערע פֿראגן אָן רייַבונג. A.5.23 ווערט ווייניקער פון אַ קאַמפּליאַנס געניטונג און מער פון אַ פּשוט וועג צו באַשרייַבן ווי איר טאַקע אַרבעט.

ווען איר צענטראליזירט אייער וואָלקן גאַווערנאַנס אין אַן ISMS פּלאַטפאָרמע, גיט איר זיך און אייער מאַנשאַפֿט אַן איינציקן רעפֿערענץ פּונקט פֿאַר A.5.23. איר קענט:

פירן א לעבעדיגע רעגיסטער פון אינערליכע און קליענט-פייסינג וואָלקן סערוויסעס.
פֿאַרבינד יעדן סערוויס צו ריזיקעס, קאָנטראָלס, פֿאַראַנטוואָרטלעכקייט מאַטריץ און לעבן-ציקל סטאַגעס.
צוטשעפּען קאָנטראַקטן, דיו דילידזשענס, ענדערונג רעקאָרדס און עקזיט באַווייַז גלייך צו די סערוויסעס צו וועלכע זיי באַציען זיך.

צוזאַמען, מאַכן די מעגלעכקייטן עס פיל גרינגער צו ענטפֿערן אויף פֿראַגעס פֿון אוידיטאָרן, קונה זיכערהייט באריכטן און אינערלעכע באַשלוס־נעמער וואָס ווילן פֿאַרשטיין ווי די וואָלקן ווערט געפֿירט. איר פֿאַרלאָזט זיך מער נישט אויף זכּרון אָדער פֿאַרשידענע ספּרעדשיטס צו דערציילן אייער וואָלקן געשיכטע.

נעמט דעם נעקסטן שריט מיט בטחון

אויב איר דערקענט אייער MSP אין די דא באשריבענע שוועריקייטן – פארשוואומענע פֿאַראַנטוואָרטלעכקייטן, צעוואָרפענע באַווייזן, וואַקסנדיקער דרוק פֿון קאַסטאַמערז און אָדיטאָרס – איז אויספֿאָרשן אַ פּלאַטפאָרמע ווי ISMS.online אין אַ קורצער, פֿאָקוסירטער דעמאָנסטראַציע אַ פּראַקטישער ווייטערדיקער שריט. טראָץ וואַקסנדיקן דרוק, כּמעט אַלע ענטפֿערער אין דער 2025 שטאַט פֿון אינפֿאָרמאַציע זיכערהייט אַנקעטע ליסטן דערגרייכן אָדער אויפֿהאַלטן זיכערהייט סערטיפֿיקאַטן ווי ISO 27001 אָדער SOC 2 ווי אַ הויפּט פּריאָריטעט.

איר קענט זען ווי עס שטיצט אייערע עקזיסטירנדע מכשירים און וועגן פון ארבעטן בשעת עס גיט אייך די סטרוקטור וואס A.5.23 ערווארטעט.

קלייבט ISMS.online ווען איר ווילט איין ארט צו האלטן אייער וואָלקן סערוויס רעגיסטער, פֿאַראַנטוואָרטלעכקייטן, ריזיקעס און באַווייַזן, אַזוי איר קענט ווייַזן, נישט נאָר פאָדערן, אַז A.5.23 איז אונטער קאָנטראָל. אויב איר ווערטשאַצט קלאָרע גאַווערנאַנס, גלאַטערע אַדאַץ און אַ שטאַרקער געשיכטע פֿאַר קאַסטאַמערז און באָרדס, איז אונדזער מאַנשאַפֿט גרייט צו העלפֿן איר זען ווי דאָס קוקט אויס אין אייער סביבה.

ספר אַ דעמאָ

אָפֿט געשטעלטע פֿראגן

וואָס ערוואַרט ISO 27001:2022 A.5.23 טאַקע פֿון אַן MSP וואָס ניצט וואָלקן סערוויסעס?

ISO 27001:2022 A.5.23 ערוואַרטעט אַז אייער MSP זאָל אַקטיוולי פירן דעם גאַנצן לעבן-ציקל פון יעדן וואָלקן סערוויס אויף וועלכן איר פֿאַרלאָזט זיך, נישט נאָר זאַמלען פּראָוויידער סערטיפיקאַטן און האָפֿן אויף דאָס בעסטע. איר זאָלט קענען ווײַזן, שנעל און קאָנסיסטענט, וואָס איר ניצט, פאַרוואָס איר ניצט עס, וואָס קען גיין שלעכט, ווער באַזיצט וועלכע קאָנטראָלן, און ווי איר וואָלט פֿאַרלאָזן אָן צו פֿאַרלירן דאַטן אָדער סערוויס.

ווי זעט אויס "גוטע" A.5.23 באווייזן פאר אן MSP?

אוידיטאָרן און אנגעצונדענע קאַסטאָמערס זוכן געוויינטלעך אַ קליין, קאָוכירענט פּעקל פון באווייזן, נישט קיין ריזיקן ארכיון. פאר אן MSP, די קערן סעט טיפיש כולל:

א קלאָר וואָלקן נוצן / וואָלקן זיכערהייט פּאָליטיק

דאָס דעפינירט וואָס ווערט גערעכנט ווי "וואָלקן" אין אייער וועלט (IaaS, SaaS, PaaS, געראטן זיכערהייט באַדינונגען), ווער קען באַשטעטיקן נייע באַדינונגען, און אייערע מינימום ערוואַרטונגען פֿאַר קאָנפיגוראַציע, מאָניטאָרינג און אַרויסגאַנג.

A וואָלקן סערוויס רעגיסטרירן וואָס קאָווערס:
אינערלעכע מכשירים (RMM, PSA, טיקעטינג, בילינג, CRM, מאָניטאָרינג, זיכערע טעקע טראַנספער); און
קונה-פייסינג סערוויסעס (IaaS פּלאַטפאָרמעס, מייקראָסאָפֿט 365 און אַנדערע SaaS סוויטס, באַקאַפּ/DR, SOC/XDR, געראטן פיירוואָלז און WAFs).

וואָלקן-ספּעציפֿישע ריזיקאָ אַסעסמאַנץ און באַהאַנדלונגען:

די זאָלן אַרויסרופֿן מולטי-טענאַנט עקספּאָוזשער, שטאַרקע קראָס-טענאַנט ראָלעס, דאַטן רעזידענץ, ווענדאָר לאָק-אין, API דעפּענדענסיעס און שליסל פאַרוואַלטונג. די ריסקס זאָלן זיין פֿאַרבונדן מיט פאַקטישע קאָנטראָלס און פֿאַרבעסערונג אַקציעס.

דיו דילידזשענס רעקאָרדס: פֿאַר שליסל פּראַוויידערז און סוב-פּראַסעסערז

טיפּישערװײַז נעמט דאָס אַרײַן זיכערהייט־קיצורים, סערטיפֿיקאַטן (למשל ISO 27001, SOC 2), DPAs, אַפּטײַם־געשיכטע, בריטש־געשיכטע און באַקאַנטע לימיטאַציעס אָדער אויסשליסונגען װאָס האָבן אַן השפּעה אויף אײַערע דיזיינס.

מאַטריץ פון געטיילטע פֿאַראַנטוואָרטלעכקייט:

פֿאַר יעדן וויכטיקן סערוויס, ווײַזט וואָס דער פּראַווײַדער טוט, וואָס אײַער MSP טוט, און וואָס דער קונה מוז טאָן. די שפּראַך זאָל זײַן קאָנקרעט גענוג אַז אַן אינזשעניר אָדער קונה זאָל קענען זען "מײַנע אויפֿגאַבן" אָן אַ צווייטע זיצונג.

וואָלקן סערוויס לעבן-ציקל רעקאָרדס:

באווייז אז אויסוואל, איינפיר, קאנפיגוראציע, ענדערונג, פעריאדישע איבערבליק און ארויסגאנג ווערן געהאנדלט אויף א קאנטראלירטן, איבערחזרנדיקן וועג אנשטאט דורך אד-האק טיקעטס.

אויב די עלעמענטן זענען צוזאַמענגעבונדן און גרינג צו נאַוויגירן, פילט זיך A.5.23 אונטער קאָנטראָל און גלויבווערדיק. ניצן ISMS.online צו האַלטן פּאָליטיקס, ריזיקאָ איינטראַגעס, סאַפּלייער רעקאָרדס, פֿאַראַנטוואָרטלעכקייט מאַטריץ און לעבן-ציקל באַווייַזן אין איין ISMS וואָרקספּייס מיינט אַז איר דאַרפֿט נישט רעקאָנסטרויִרן אייער וואָלקן סטאָרי פֿון ינבאָקס זוכענישן און קאָנסאָלע סקרעענשאָץ יעדעס מאָל ווען אַן אוידיטאָר אָדער קונה הייבט אויף די קלאָז.

ווי זאָל אַן MSP בויען אַ נוציקן מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט פֿאַר קלאָוד אונטער A.5.23?

איר באַפרידיקט די כוונה פון A.5.23 ווען "געטיילטע פֿאַראַנטוואָרטלעכקייט" ווערט אַ סערוויס-ביי-סערוויס מאַפּע פון פאַקטישע אויפגאַבן, נישט נאָר אַ מאַרקעטינג סלייד וואָס זאָגט "מיר און דער פּראַוויידער זאָרגן זיך ביידע וועגן זיכערהייט." יעדער וואָס לייענט עס - אינזשעניר, פארקויפער, קאָנטראַקט איבערקוקער אָדער קונה - זאָל קענען זען פּונקט וואָס זיי פאַרמאָגן.

ווי אזוי מאַכט מען "געטיילטע פֿאַראַנטוואָרטלעכקייט" אין עפּעס קאָנקרעט?

א פּראַקטישער מוסטער וואָס אַרבעט גוט פֿאַר MSPs איז צו:

1. קאַטאַלאָגירן אייערע וואָלקן סערוויסעס לויט קאַטעגאָריע

אָנהייבן מיט אַ קורצע רשימה פון באַקאַץ:

עפנטלעכע-וואָלקן וואָרקלאָודז (IaaS/PaaS).
SaaS פּראָדוקטיוויטי סוויטס (מייקראָסאָפֿט 365, גוגל וואָרקספּייס און ענלעך).
געראטן באַקאַפּ און דיזאַסטער אָפּזוך באַדינונגען.
געראטן SOC/XDR און סאַקאָנע דעטעקשאַן באַדינונגען.
אַנדערע אָפטע וואָלקן-באַזירטע מכשירים אויף וועלכע איר פֿאַרלאָזט זיך צו פירן אייער געשעפט אָדער צושטעלן באַדינונגען.

די ליסטע שפּיגלט געוויינטלעך אָפּ די איינטראַגעס אין אייער וואָלקן סערוויס רעגיסטער, וואָס מאַכט עס גרינגער צו האַלטן די זאַכן אין איינקלאַנג.

2. קלייבט אויס א געמיינזאמע סעט פון זיכערהייט דאמעינען

קלייבט אויס א קליינע גרופע דאמעינס וואס זענען נוגע צו רוב פון אייערע סערוויסעס, ווי צום ביישפיל:

אידענטיטעט און צוטריט פאַרוואַלטונג.
באַסעליין קאָנפיגוראַציע און כאַרדאַנינג.
לאָגינג, מאָניטאָרינג און אַלערטינג.
באַקאַפּ, צוריקשטעלן און טעסט רוטינען.
ענקריפּשאַן און שליסל פאַרוואַלטונג.
אינצידענט דעטעקציע, טריאַזש און רעאַקציע.
ענדערונג פאַרוואַלטונג און האַסקאָמע.
דאַטן אויפהאלטונג, רעזידענץ און באַזייַטיקונג.

זיך האַלטן צו אַ סטאַנדאַרט מאַכט דאָס מאָדעל גרינגער צו פֿאַרשטיין און ווידער צו נוצן איבער סערוויסעס.

3. באַשטימען אָונערשיפּ פּער דאָמעין, פּער סערוויס

פֿאַר יעדן סערוויס און יעדן זיכערהייט דאָמעין, באַשליסט ווער טוט טאַקע די אַרבעט אין פּראַקסיס:

וואָלקן פּראַוויידער: – אינפראַסטרוקטור ריזיליאַנס, גשמיות זיכערהייט, רובֿ אַנדערלייינג פּלאַטפאָרמע פּאַטשאַז, עטלעכע לאָג סטאָרידזש אָפּציעס.
דיין MSP: – טענענט קאָנפיגוראַציע באַסעליינז, אַלערט רוטינג, באַקאַפּ סקעדזשולז, רעסטאָר טעסטינג, אינצידענט טריאַזש, קונה ריפּאָרטינג.
קונה: – באַניצער נאַטור, אַקסעפּטאַבאַל נוצן, דאַטן קלאַסיפיקאַציע, צוטריט האַסקאָמע, אינהאַלט לעבן ציקל דיסיזשאַנז.

וואו פֿאַראַנטוואָרטלעכקייטן זענען געטיילט, שרײַבט אַראָפּ די צעטיילונג ווי ספּעציפיש טאַסקס, נישט אומקלארע "געמיינזאמע" עטיקעטן. למשל:

"דער קונה באַשטעטיקט די אויפהאלטונגס-פּעריאָד; MSP ימפּלעמענטירט און אָפּשאַצט די קאָנפיגוראַציע יעדן קוואַרטאַל."
"MSP באַטראַכט זיכערהייט וואָרענונגען; פּראַוויידער האַנדלט מיט פּלאַטפאָרמע-לעוועל אינצידענט רעספּאָנס."

4. איינפירן דעם מאָדעל אין טעגלעכע אפעראציעס

א פֿאַראַנטוואָרטלעכקייט מאַטריץ איז נאָר וויכטיק אויב עס דערשיינט דאָרט וואו מענטשן אַרבעטן. מאַכט זיכער אַז איר:

רעפֿעריר עס אין ראַנבוקס און פּלייבוקס, אַזוי קענען אינזשענירן זען וואָס צו טאָן בעת אינצידענטן און ענדערונגען.
ייַנרייען סטאַנדאַרט סערוויס באַשרייַבונגען און SoWs דערמיט, אַזוי פארקויפונגען צוזאָגן נישט אויפֿגאַבן וואָס איר טוט נישט אויספֿירן.
שפּיגלט עס אָפּ אין קאָנטראַקטן און SLAs, אַזוי לעגאַלע קאַמיטמאַנץ שטימען מיט דער טעכנישער רעאַליטעט און די מעגלעכקייטן פון די אויבערשטע פּראַוויידערס.
אַרייננעמען עס אין אָנבאָאַרדינג פּאַקס, אַזוי אַז נײַע קאַסטאַמערז זאָלן פֿאַרשטיין וועלכע אַקציעס בלייבן מיט זיי און וועלכע בלייבן מיט אײַך.

אויפהאלטן די מאַטריצעס צענטראל אין ISMS.online – פארבונדן צו סערוויסעס אין אייער וואָלקן רעגיסטער, ריזיקע איינטראגעס און סאַפּלייער רעקאָרדס – לאָזט אייך דערהייַנטיקן אַ מאַטריץ איין מאָל און לאָזן די ענדערונג פאַרשפּרייטן זיך אין ראַנבוקס, דאָקומענטאַציע און אוידיט באַווייזן. דאָס מאַכט עס פיל גרינגער צו ווייַזן אַז A.5.23 אַרבעט אין פּראַקטיק, נישט בלויז אין אַ פּאָליטיק דאָקומענט.

וואָסערע וואָלקן-ספּעציפֿישע ריזיקעס אונטערשטרייכט A.5.23 פֿאַר MSP'ס, און וואו טענדירן זיי צו גליטשן?

פֿאַר MSPs, איז A.5.23 ווייניקער וועגן אַלגעמיינע "וואָלקן בריטש" מעשיות און מער וועגן נישט-אויסגעשטעלטע ערוואַרטונגען, קאָנפיגוראַציע שוואַכקייטן און שלעכטע לעבן-ציקל קאָנטראָל איבער געטיילטע סביבות. פראבלעמען טענד צו דערשייַנען וואו אייערע מאַרקעטינג הבטחות, פּראַוויידער קייפּאַבילאַטיז און מאַנשאַפֿט נאַטורן שטימען נישט איבער.

וואו ווערן MSP'ס געוויינטלעך געכאפט?

מוסטערן וואָס ריפּיטידלי פאַרשאַפן צרות אַרייַננעמען:

איבער-פארלאז אויף זיכערהייטס-אנווייזונגען פון פראוויידערס

עס איז גרינג צו רעדן וועגן "זיכער דורך דיזיין" בשעת מען נעמט אן אז אויפגאבן ווי צוריקשטעלן טעסטן, לאג איבערבליק, טרעץ-יאגן אדער טענענט-לעוועל פארהארטעווען זענען אריינגערעכנט אין א וואלקן-אבאנעמענט. אין פאקט, אסאך פון די אקטיוויטעטן זענען דיין פֿאַראַנטוואָרטלעכקייט ווי דער MSP, און מאנchmal טיילווייז אייער קונה'ס. ווען זיי ווערן נישט איינגעכאפט אין אייערע אחריות מאטריצעס און ראנבוקס, ווערן זיי זעלטן אויסגעפירט קאנסיסטענט.

איבערגעטריבענער, שלעכט רעגולירטער פריווילעגירטער צוטריט

MSPs האַלטן אָפט שטאַרקע ראָלעס – גלאָבאַלע אַדמין אַקאַונטס, פּאַרטנער פּאָרטאַלס, ברייק-גלאַס אידענטיטעטן – וואָס דעקן פילע טענאַנץ. אויב די בארעכטיקונגען פעלט שטאַרקע האַסקאָמע, לאָגינג און אָפּשאַצונג, קען אַן איינציקער קאָמפּראָמיטירטער קרעדענשאַל אָדער מיסברויכט אַקאַונט ווערן אַ באַטייטיקער מולטי-טענאַנט אינצידענט. A.5.23 ערוואַרטעט אַז איר זאָלט דערקענען דעם ריזיקע אין אייערע אַסעט און ריזיקע רעגיסטערס, און צו שטעלן קלאָרע קאָנטראָלס אַרום אים.

נישט רעגיסטרירטע אדער "שאָטן" SaaS

טימז נעמען אן SaaS מכשירים וואָס האַנדלען מיט סענסיטיווע אָדער קונה דאַטן - פֿאַר שטיצע, מיטאַרבעט, אַנטוויקלונג, פארקויפונג אָדער אָטאָמאַציע - אָן זיי צוצולייגן צו אייער ISMS, סאַפּלייער רעגיסטער אָדער ריזיקאָ פּראָצעסן. יענע סערוויסעס פאַלן דאַן אַרויס פון אייערע מאָניטאָרינג, אינצידענט רעספּאָנס און עקזיט פּלענער.

שוואַכע אָדער נישט געפּרוּווטע אַרויסגאַנג פּלענער

אסאך MSP'ס טראכטן נאר וועגן ארויסגיין ווען א פראוויידער מעלדט א פראדוקט רעטייערמענט, א גרויסע פרייז ענדערונג אדער אן אויספאל. אן א רעקארדירטן ארויסגאנג פלאן – אריינגערעכנט דאטן עקספארט, מיגראציע, באווייז אויפהאלטונג און קאסטומער קאמוניקאציע – אימפראוויזירט איר אין דעם פונקט וואו איר דארפט די מערסטע קאנטראל.

SLAs וואָס צוזאָגן צו פיל

קאנטראקטן פארפליכטן אייך מאנchmal צו רעקאָווערי צילן, אויפהאלטונג פעריאדן אדער דאטן רעזידענץ ספעציפיקס וואס דער אונטערלייגנדיקער סטאַק קען נישט גאַראַנטירן. ווען דער סערוויס פּלאַן, וואָלקן פּראַוויידער פֿעיִקייטן און קאנטראקט שפּראַך שטימען נישט איבער, טראָגט איר אומנייטיקע ריזיקע.

A.5.23 גיט אייך א פריימווערק צו באהאנדלען די פראבלעמען סיסטעמאטיש:

אינווענטאַר און קלאַסיפֿיצירן וואָלקן סערוויסעס: אַזוי ווייסט איר וואו ריזיקע קאָנצענטרירט זיך.
דורכפירן וואָלקן-ספּעציפֿישע ריזיקאָ אַסעסמאַנץ וואָס אַדרעסירן פּראָבלעמען מיט מולטי-טענאַנט, פּריווילעגירט אַקסעס און פּראַוויידער דורכפאַל מאָדעס.
טייַנען פֿאַראַנטוואָרטלעכקייט מאַטריץ אַזוי ווערן אויפֿגאַבעס צוגעטיילט, פֿאַרמאָגט און איבערגעקוקט.
יידעס - זאָגן לעבן-ציקל טריט – פון איינפירן ביז ארויסגיין – אזוי קענען מענטשן זען אז ענדערונגען, רעצענזיעס און ארויסגיין זענען קאנטראלירטע געשעענישן, נישט רעאקציעס.

ווען איר קענט נאכפאלגן א ריזיקע – למשל, איבערגעטריבענע שותף פארטאל צוטריט – פון אייער רעגיסטער ביז אחריות מאטריצעס, דערנאך צו ענדערן רעקארדס און פארבעסערונג אקציעס, זענט איר נישט נאר קאמפלייענט מיט A.5.23; איר פרעזענטירט אויך א פיל שטארקערע קלאָוד ריזיקע געשיכטע פאר אוידיטארן און קאסטומערס.

ווי קען אַן MSP דאָקומענטירן A.5.23 אין זײַן ISMS אָן אַלץ איבערצודיזײַנען?

איר קענט געוויינטלעך דעקן A.5.23 דורך לייגט אריין וואָלקן-ספּעציפֿישע גאַווערנאַנס אויף אייערע עקזיסטירנדיקע ISMS, אנשטאט בויען א פאראלעלע סטרוקטור. די ציל איז אז יעדער וואס איז באקאנט מיט ISO 27001 זאל קענען נאכפאלגן ווי אזוי איר אויסקלייבט, קאנטראלירט און רעטייערט קלאוד סערוויסעס אזוי גרינג ווי זיי קענען נאכפאלגן טראדיציאנעלע אקטיוון אדער סופלייערס.

ווי אזוי פלעכט מען אריין קלאָוד גאַווערנאַנס אין וואָס איר האָט שוין?

א פשוט אבער עפעקטיווער מוסטער איז צו אָנהייבן מיט דריי פארבונדענע קאָמפּאָנענטן און דערנאָך זיי אַרײַנשטעקן אין אײַער עקזיסטירנדיקן ISMS:

1. וואָלקן נוצן / וואָלקן זיכערהייט פּאָליטיק

פארברייטערן אייער עקזיסטירנדיקע אינפארמאציע זיכערהייט פאליסי מיט א פאקוסירטן דאקומענט וואס:

דעפינירט וואָס קוואַליפֿיצירט זיך ווי אַ וואָלקן סערוויס אין דיין קאָנטעקסט.
שטעלט פעסט באַשטעטיקונג שוועלן (למשל, ווער קען אויטאָריזירן אַ נייעם פּראַוויידער).
שטעלט ארויס ערוואַרטונגען פֿאַר דיו דילידזשענס, קאָנפיגוראַציע באַסעליינז, מאָניטאָרינג, אינצידענט האַנדלינג און אַרויסגאַנג.

די פּאָליטיק ווערט דער אַנקער פֿאַר פֿאַרבונדענע פּראָצעדורן און רעקאָרדס.

2. וואָלקן סערוויס רעגיסטרירן

שאַפֿן אַ רעגיסטער – אָפֿט אַן ISMS.online אַסעט אָדער סאַפּלייער רשימה – וואָס כאַפּט, לפּחות:

סערוויס נאָמען און פּראַוויידער.
אינערלעכער אייגענטימער.
געשעפט ציל.
דאַטן טיפּן כאַנדאַלד און דאַטן לאָקאַציעס.
קריטישקייט און ווירקונג פון פארלוסט.
לינקס צו קאנטראקטן, DPAs, סערטיפיקאציעס און פֿאַראַנטוואָרטלעכקייט מאַטריצעס.

איר קענט דאָס אינטעגרירן מיט אייער עקזיסטירנדיקע אַסעט אינווענטאַר אַזוי אַז וואָלקן סערוויסעס לעבן נישט אין אַ באַזונדערן וניווערס.

3. מאַטריצעס פון געטיילטע פֿאַראַנטוואָרטלעכקייט

פֿאַר די סערוויסעס וואָס זענען וויכטיקסט, בויט און האַלט פֿאַראַנטוואָרטלעכקייט מאַטריצעס ווי פריער באַשריבן. פֿאָקוסירט זיך אָנהייב אויף:

אייער הויפּט עפנטלעכע וואָלקן פּלאַטפאָרמע.
אייער הויפּט SaaS פּראָדוקטיוויטעט און מיטאַרבעט סוויט.
אייער פלאַגשיפּ געראטן באַקאַפּ/DR אָנבאָט.
אייערע געראטן SOC/XDR אדער ענלעכע זיכערהייט-אלס-א-סערוויס לייזונגען.

איר קענט דעמאָלט פֿאַרבינדן די קאָמפּאָנענטן אין די ISMS עלעמענטן וואָס איר שוין אָפּערירט:

ריזיקירן פאַרוואַלטונג: – פֿאַרבינדן וואָלקן סערוויסעס צו ריזיקאָ איינטראַגעס און באַהאַנדלונגען, ספּעציעל וואו עס עקזיסטירן סצענאַרן פון דורכפאַל פון קייפל טענאַנטן אָדער פּראַוויידערס.
סאַפּלייער פאַרוואַלטונג: – צוטשעפּען קאָנטראַקטן, זיכערהייט סאַמעריז, DPAs און אוידיט באַריכטן צו די באַטייַטיק פּראַוויידערז; רעקאָרדירן פּעריאָדישע באריכטן און באַשלוסן.
אַפּעריישאַנאַל קאָנטראָלס: – רעפֿערירן וואָלקן-ספּעציפֿישע אָנבאָרדינג, ענדערונג, איבערבליק און אַרויסגאַנג סטעפּס אין אייערע עקזיסטירנדיקע ענדערונג פאַרוואַלטונג און אינצידענט האַנדלינג פּראָצעסן.
באַווייז פאַרוואַלטונג: – פֿאַרבינדן אינצידענטן, באַקאַפּ טעסט רעזולטאַטן, אַקסעס באריכטן און פֿאַרבעסערונג אַקשאַנז צוריק צו די באַטייַטיק וואָלקן איינטראַגעס און ריסקס.

ניצן אויסגעארבעטע ביישפילן – למשל, איין אינערליכע SaaS, איין קונה-פייסינג לייזונג געבויט אויף עפנטליכע וואלקן און איין נישע אבער קריטישע פלאטפארמע – העלפט אייך ווייזן אוידיטארן אז דער מוסטער איז איבערחזרבאר אן דאקומענטירן יעדן קליינעם סערוויס אינדיווידועל. ISMS.online איז דיזיינט פאר דעם סטיל פון מאדעלירן: פאליסיס, רעגיסטערס, ריזיקעס, סופלייערס, אויפגאבעס און באווייזן זיצן צוזאמען, מיט לינקס וואס מאכן די וואלקן גאווערנענס בילד גרינג צו נאכפאלגן.

וועלכע קאנטראקטן און SLAs זאל אן MSP אויסגלייכן צו דעמאנסטרירן A.5.23 צו קאסטומערס?

צו דעמאנסטרירן A.5.23 איבערצייגנד, דארפסטו ביידע אייערע אויבערשטע און אונטערשטע אפמאכן צו פּאַסן צו דעם וועג ווי איר פאַרוואַלטעט טאַקע וואָלקן ריזיקע. דאָס מיינט אַז אייערע קאָנטראַקטן און SLAs מיט פּראַוויידערז און סוב-פּראַסעסערז, און אייערע טערמינען מיט קאַסטאַמערז, זאָלן אַלע ווײַזן אויף די זעלבע פֿאַראַנטוואָרטלעכקייט שפּאַלטונגען און קייפּאַבילאַטיז וואָס איר דאָקומענטירט אין אייער ISMS.

וואָס זאָלט איר קאָנטראָלירן אין אַפּסטרים פּראַוויידער און סוב-פּראַסעסער אַגרימאַנץ?

איבערקוקט די טיילן פון יעדן אפמאך וואס האבן א דירעקטן איינפלוס אויף אייערע סערוויסעס און טענות:

זיכערהייט און פאַרפֿיגבאַרקייט קאַמיטמענץ: – זיכער מאַכן אַז RPO/RTO צילן, אַפּטיים SLAs און דאַטן דויערהאפטקייט שטימען מיט ווי איר דיזיינט באַדינונגען און די הבטחות אין אייערע אייגענע SLAs.
דאַטן אָרט און רעזידענץ סטייטמאַנץ: – איר זאָלט קענען ענטפֿערן "וואו איז אונדזער דאַטן?" מיט בטחון, אַרייַנגערעכנט באַקאַפּ לאָקאַציעס און פיילאָוווער געגנטן.
אינצידענט מעלדונג און עסאַקאַלאַציע: – טשעק ווי און ווען פּראַוויידערז פֿאַרפֿליכטן זיך צו אינפֿאָרמירן אײַך וועגן אינצידענטן וואָס קענען אַפֿעקטירן אײַערע קאַסטאַמערז.
שטיצע פֿאַר שליסל קאָנטראָלס: – באַשטעטיקן צי פֿונקציעס ווי דעטאַלירטע לאָגינג, קונה-געפֿירטע ענקריפּשאַן שליסלען, אומענדערלעכע באַקאַפּס אָדער אַוואַנסירטע אַקסעס קאָנטראָלס אויף וועלכע איר פֿאַרלאָזט זיך זענען עקספּליציט בנימצא און געשטיצט.
פארזיכערונג מעכאניזמען: – אידענטיפיצירן סערטיפיקאציעס, פארזיכערונג באריכטן, דורכדרינגונג טעסט סאַמעריז אדער קאנטראקטועלע אוידיט רעכטן וואָס איר קענט נוצן ווי באַווייַזן אין אייער אייגענע ISMS און קונה באריכטן.

איר דאַרפט אפשר נישט איבערהאנדלען יעדן קאָנטראַקט, אָבער איר זאָלט פֿאַרשטיין און דאָקומענטירן וווּ אַ פּראַוויידער'ס צוזאָג איז נישט גענוג לויט אייערע איצטיקע סערוויס באַשרייַבונגען, און צופּאַסן אייערע אייגענע אָפפערס אָדער אַרכיטעקטורן אַקאָרדינגלי.

ווי זאָלן קונה קאָנטראַקטן און SLAs זיך ענדערן צו שפּיגלען A.5.23?

ווייטער, זאָלן אייערע קונה-פייסינג דאָקומענטן:

קלאר אידענטיפיצירן וועלכע סערוויסעס פאַרלאָזן זיך אויף וועלכע וואָלקן פּלאַטפאָרמעס, ספּעציעל וואו דאָס אַפעקטירט דאַטן לאָקאַציע, ווידערשטאַנד אָדער שטיצע.
דערקלערן ווער איז פאַראַנטוואָרטלעך פֿאַר וועלכע קאָנטראָל געביטן – ווי למשל באַניצער צוטריט באַשטעטיקונגען, אַקסעפּטאַבלע נוצן, קלאַסיפֿיקאַציע, לעגאַלע האַלטונגען און אינהאַלט לעבן ציקל – אין לויט מיט דיין געטיילטע פֿאַראַנטוואָרטלעכקייט מאַטריץ.
יבערגעבן צו אָפּזוך צילן, ריטענשאַן פּיריאַדז און אינצידענט קאָמוניקאַציע צייט ראַמען אַז אייערע אַפּסטרים אָפּמאַכן און דיזיינז קענען פאַרלעסלעך צושטעלן.
רעפֿערענץ, אדער לינק צו, פֿאַראַנטוואָרטלעכקייט און אָפּהענגיקייט אינפֿאָרמאַציע אויף אַ וועג וואָס קאַסטאַמערז קענען פֿאַרשטיין אָן לייענען אייער ISMS.

ווען אַפּסטרים קאָנטראַקטן, אינערלעכע פֿאַראַנטוואָרטלעכקייט מאַטריצעס און דאַונסטרים SLAs דערציילן אַלע די זעלבע געשיכטע, איז עס פיל גרינגער צו דורכפֿירן אַ קונה אָדער אַודיטאָר דורך ווי איר פאַרוואַלטעט וואָלקן ריזיקירן אונטער A.5.23. פאַרוואַלטן די דאָקומענטן אין ISMS.online, צוזאַמען מיט אייערע פּאָליטיקס און ריזיקירן, העלפֿט איר האַלטן די דערציילונג אין איינקלאַנג ווען פּראַוויידערז דערהייַנטיקן זייערע באַדינגונגען, רעגולאַציעס אַנטוויקלען זיך און קאַסטאַמערז ווערן מער פֿאָדערנדיק.

ווי קען אַן MSP ניצן ISMS.online צו האַלטן A.5.23 אונטער קאָנטראָל ווען וואָלקן סערוויסעס טוישן זיך?

ISMS.online העלפט אייך האַלטן A.5.23 אונטער קאָנטראָל דורך פארוואנדלען וואָלקן גאַווערנאַנס אין אַ קעסיידער דערהייַנטיקט, פֿאַרבונדן סיסטעם, אנשטאט א סעט פון סטאטישע דאקומענטן וואס בלייבן הינטערשטעליג אין ענדערונגען אין אייער סטאק. ווען איר נעמט אן, מאדיפיצירט אדער רעטייערט קלאוד סערוויסעס, קען אייער ISMS אנשויאונג בלייבן אקטועל, אוידיטירבאר און ערקלערבאר.

ווי זעט אויס טעגלעכע A.5.23 פאַרוואַלטונג אין ISMS.online?

אין א טיפישן סעטאַפּ, וואָלט אייער מאַנשאַפֿט געניצט ISMS.online צו:

פירן א לייוו וואָלקן סערוויס רעגיסטער

רעקאָרדירט יעדן וואָלקן סערוויס מיט זיין באַזיצער, צוועק, דאַטן טיפּן, דאַטן לאָקאַציעס און קריטישקייט.
טאַג סערוויסעס געניצט אינטערן קעגן די וואָס געניצט צו צושטעלן געראטן סערוויסעס.
פֿאַרבינד יעדן איינטראַג צו באַטייַטיקע פּאָליטיקס, ריסקס, סאַפּלייערז און פֿאַראַנטוואָרטלעכקייט מאַטריץ.

אַטאַטשט און טראַק וואָלקן-ספּעציפֿישע ריסקס און באַהאַנדלונגען

שאַפֿן ריזיקאָ איינטראַגעס פֿאַר מולטי-טענאַנט ויסשטעל, שטאַרקע קראָס-טענאַנט אַקאַונץ, דאַטן רעזידאַנס, פּראַוויידער לאָק-אין און API דיפּענדאַנסיז.
באַשטימען באַהאַנדלונגען, אייגנטימער און אָפּשאַצונג דאַטעס.
ניצט די פּלאַטפאָרמע'ס פֿאַרבונדענע אַרבעט און פּראָיעקטן צו שפּורן רעמעדיאַציע און פֿאַרבעסערונג אַקציעס.

האַלטן קאָנטראַקטן, סערטיפיקאַציעס און דיו דילידזשענס אין איין אָרט

אַרויפֿלאָדן פּראַוויידער קאָנטראַקטן, DPAs, זיכערהייט סאַמעריז און פארזיכערונג באַריכטן גלייך קעגן סאַפּלייער רעקאָרדס.
רעקאָרדירן רעזולטאטן און באַשלוסן פון רעצענזיעס, אַזוי איר קענט ווייַזן אַז די ריזיקע פון די פּראַוויידערס ווערט געראטן איבער צייט.

צענטראליזירן געטיילטע פֿאַראַנטוואָרטלעכקייט מאַטריץ

האַלטן איין אויטאָריטעטיוו מאַטריץ פּער הויפּט וואָלקן סערוויס אָדער סערוויס משפּחה.
פֿאַרבינדן מאַטריץ אין פּאָליטיקס, סערוויס באַשרייַבונגען, ריזיקאָ איינטראַגעס און סאַפּלייער רעקאָרדס.
ניצט זיי ווי רעפערענץ פונקטן ווען איר דערהייַנטיקט ראַןבוקס, SLAs און אָנבאָרדינג מאַטעריאַלן.

באַווייז לעבן-ציקל אַקטיוויטעטן

לאָג סעלעקציע, אָנבאָרדינג, קאָנפיגוראַציע באַסעלינע אַפּרווואַלז, ענדערונג רעצענזיעס, פּעריאָדישע ריאַסעסמאַנץ און אַרויסגאַנג סטעפּס ווי טאַסקס אָדער פֿאַרבונדענע אַרבעט זאכן.
פֿאַרבינדן פֿאַרבונדענע אינצידענטן, באַקאַפּ טעסטן, צוטריט איבערבליקן און פֿאַרבעסערונגען מיט די באַטייַטיקע באַדינונגען און ריסקס.

ווען איר נעמט אריין א נייע פלאטפארמע, קענט איר קלאנירן אן עקזיסטירנדיקן איינטראג, צופאסן קאנפיגוראציע און אחריות, און עס פארבינדן צו ריזיקעס און סופלייערס אין מינוטן. ווען איר נעמט ארויס א סערוויס, קענט איר אויפשרייבן די דאטן מיגראציע, סאניטיזאציע און באווייז אויפהאלטונג באשלוסן אין דעם זעלבן ארט.

פֿאַר אויספֿאָרשונגען, קונה־פֿראַגעבאָגן אָדער באָרד־סעסיעס, קענט איר דאַן צוזאַמענשטעלן אַ פֿאָקוסירטן A.5.23 באַווײַז־פּאַק גלייך פֿון ISMS.online: די וואָלקן־פּאָליטיק, דאָס איצטיקע רעגיסטער, בײַשפּיל פֿאַראַנטוואָרטלעכקייט־מאַטריצעס, שליסל־וואָלקן־ריסקעס און באַהאַנדלונגען, סאַפּלייער־דיו־דילידזשענס און אַ בײַשפּיל פֿון לעבן־ציקל און אינצידענט־רעקאָרדס. די מעגלעכקייט צו דערציילן אַ קאָנסיסטענטן, ענד־צו־ענד געשיכטע איז וואָס מאַכט אַן MSP אויסזען ווי ער האָט קאָנטראָל איבער וואָלקן־גאַווערנאַנס אַנשטאָט קעסיידער צו רעאַגירן. אויב איר ווילט אַז קאַסטאַמערז און אויספֿאָרשער זאָלן אײַך זען אין דער ערשטער גרופּע, איז ינוועסטירן אין ריכטיק סטרוקטורירן A.5.23 אין ISMS.online אַ הויך־לעווערידזש ווײַטערדיקער שריט.

A.5.23 אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגען – MSP וואָלקן פּלאַטפאָרמעס און שערד פֿאַראַנטוואָרטלעכקייט