האָפּקען צו צופרידן
פישינג פֿאַר צרות –
דער IO פּאָדקאַסט קערט זיך צוריק פֿאַר סעריע 2 הערן איצט
ISMS.online

A.5.35 אומאָפּהענגיקע איבערבליק פון אינפֿאָרמאַציע זיכערהייט – MSP אינערלעכע אויספֿאָרשונגען

MSPs זעען אָפט אַנעקס A.5.35 ווי עקסטרע אַרבעט, אָבער אומאָפּהענגיקע זיכערהייט איבערבליקן קענען ווערן אַ שטאַרקער באַווייַז פּונקט. דורך מאַכן אַדאַץ רוטין און באַווייַז-באַזירט, באַשיצט איר קליענט צוטרוי, פאַרפּשוטערט קאַנפאָרמאַטי, און ווייזט פירמע קאַסטאַמערז אַז דיין קאָנטראָלס אַרבעטן אין פּראַקטיק. מיטן ריכטיקן צוגאַנג ווערן אינערלעכע אַדאַץ אַ מייַלע - נישט אַ לאַסט - פֿאַר דיין מאַנשאַפֿט און געשעפט.

מחבר
מארק שרון
דערהייַנטיקט מאַרץ 19, 2026
4/5 שטערן

פארוואס אַנעקס A.5.35 שאַטן MSPs ווען אינערלעכע אָדיטס קוקן אויס ווי 'עקסטרע אַרבעט'

אַנעקס A.5.35 שאַטן MSPs ווען אינערלעכע אוידיטס לאַנדן ווי איבעראשנדיקע, איין-מאָל פּראָיעקטן אַנשטאָט אַ נאָרמאַלער טייל פון סערוויס צושטעלן. ווען אָפּשאַצונגען ווערן אָפּגעלאָזט אויף אינזשענירן אין דער לעצטער מינוט, פילן זיי זיך ווי ביוראָקראַטישע "עקסטרע אַרבעט", כאָטש דער זעלביקער קאָנטראָל קען ווערן איינער פון אייערע שטאַרקסטע געשעפטלעכע אַסעץ. אומאָפּהענגיקע אָפּשאַצונג פון אינפֿאָרמאַציע זיכערהייט פילט זיך אָפט ווי אַ לוקסוס פֿאַר גרויסע אונטערנעמונגען, אָבער אַנעקס A.5.35 שטופּט עס גלייך אין אייער MSP'ס טעגלעכער רעאַליטעט: איר ווערט דערוואַרט צו באַווייַזן אַז אייערע אייגענע זיכערהייט קאָנטראָלן אַרבעטן, נישט נאָר אַז זיי זענען דאָקומענטירט. סטאַנדאַרט קאָמענטאַר אויף ISO/IEC 27001:2022 אַנעקס A.5.35 אונטערשטרייכט דאָס דורך באַטאָנען פּעריִאָדישע, אָביעקטיווע אָפּשאַצונג פון די פּאַסיקייט, אַדאַקוואַסי און עפעקטיווקייט פון אייערע אינפֿאָרמאַציע זיכערהייט אַראַנזשירונגען, נישט נאָר די עקזיסטענץ פון פּאָליטיקס.

אומאפהענגיקע איבערבליק ענדערט אייערע פליכטן ווייל איר מוזט ווייזן אז אייער צוגאנג ארבעט נאך אין דער רעאלער וועלט, און אז עמעצער וואס איז פאסיג אומאפהענגיק האט עס איבערגעקוקט. אויב איר ענדערט אומאפהענגיקע איבערבליק אין א פארזעבארע, נידריג-פריבונג רוטינע, באשיצט איר סיי אייערע קאסטומערס און סיי אייער מאנשאפט'ס שכל אין דער זעלבער צייט וואס איר פארשטארקט אייער פאזיציע מיט סערטיפיקאציע אוידיטארן און פירמע קאסטומערס וואס זוכן יעצט רוטינמעסיג קאנקרעטע A.5.35 באווייזן. אנווייזונגען וועגן סערוויס-ארגאניזאציע באריכטן, ווי צום ביישפיל די AICPA'ס מאטעריאל וועגן SOC באריכטן, שפיגלט אפ די זעלבע ערווארטונג: באנוצער ענטיטיס און זייערע אוידיטארן ערווארטן מער און מער באווייזן אז קאנטראלן ארבעטן עפעקטיוו, נישט נאר ארדנטליכע פאליסי דאקומענטן.

די 2025 אנקעטע ווייזט אז קאסטומערס ערווארטן מער און מער פון זייערע סאַפּלייערס זיך צו צופּאַסן צו פֿאָרמעלע ראַמען ווי ISO 27001, יסאָ קסנומקס, GDPR אדער SOC 2, אנשטאט זיך צו פארלאזן אויף אלגעמיינע 'גוטע פראקטיק' טענות.

גוטע זיכערהייט באריכטן פילן זיך יושרדיק, און פארוואנדלען טעגליכע גוטע געוואוינהייטן אין קענטיקע באווייזן.

די עכטע ביזנעס פראבלעם וואס A.5.35 ווייזט אויף פאר MSP'ס

A.5.35 ענטפּלעקט דעם ריס צווישן "מיר זאָגן אַז מיר זענען זיכער" און "מיר קענען באַווייַזן אַז אונדזער זיכערהייט אַרבעט טאַקע אין פּראַקסיס." אומאָפּהענגיקע אָפּשאַצונג איז וויכטיק ווייל קליענטן, רעגולאַטאָרן, פאַרזיכערונג קאָמפּאַניעס און פּאַרטנערס זענען מער נישט צופֿרידן מיט פּאָליטיק סטעיטמענטס; זיי פרעגן מער און מער ווי אַזוי איר קאָנטראָלירט אַז אייער זיכערהייט אַרבעט טאַקע. רעגולאַטאָרישע קאָמוניקאַציעס וועגן סייבערזיכערהייט, אַזאַ ווי די יו. עס. סעקיוריטיז און עקסטשיינדזש קאַמישאַן'ס סייבערזיכערהייט ספּאָטלייט מאַטעריאַלס, שטעלן קאָנסיסטענטלי דעם באַדאַרף פֿאַר דעמאָנסטראַבלע קאָנטראָל עפעקטיווקייט אַנשטאָט זיך צו פֿאַרלאָזן אויף פּאָליטיק אַליין, און אַז טראַכטן פליסט דורך צו ווי אַזוי זיי קוקן אויף סאַפּלייערז.

ווען אַן אונטערנעמונג פּראָספּעקט שיקט אַ דעטאַלירטן פֿראַגעבאָגן אָדער זייערע אוידיטאָר באַזוכן, טעסטן זיי עפֿעקטיוו צי אַנעקס A.5.35 עקזיסטירט אין פּראַקסיס: צי קוקט עמעצער אָביעקטיוו איבער אייער צוגאַנג צו זיכערהייט אין געפּלאַנטע אינטערוואַלן און נאָך גרויסע ענדערונגען, און צי פֿירט יענע איבערבליק צו אַן עכטער פֿאַרבעסערונג?

אויב די ענטפער איז אומקלאָר אדער באַגראָבן אין אַד-האָק דאָקומענטן, זענען די אָפּמאַך און אייער קרעדיביליטי אין ריזיקע. הינטער די סטאַנדאַרט'ס ווערטער ליגט אַ פּשוטע פראַגע: קענט איר ווייַזן אַז אייער זיכערהייט פּראַקטיק איז מער ווי יחידישע העלדישע מעשים און מכשירים דאַשבאָרדז? אויב די איינציקע זיכערהייט וואָס איר קענט אָנבאָטן איז "אונדזער עלטערער אינזשעניר האַלט אַן אויג אויף די זאכן," פאַרלאָזט איר זיך אויף צוטרוי, נישט אויף באַווייַזן. אומאָפּהענגיקע אָפּשאַצונג צווינגט אייך צו באַהאַנדלען אייער זיכערהייט פאַרוואַלטונג סיסטעם ווי אַ פּראָדוקט וואָס מוז געטעסט און דורכגעקוקט ווערן ווי יעדן אַנדערן סערוויס וואָס איר פאַרקויפט. דאָס קען פילן אומבאַקוועם, אָבער דאָס איז אויך וווּ איר קענט אָנהייבן צו אונטערשיידן אייער MSP.

פארוואס טראדיציאנעלע אינערליכע אויספארשונגען פילן זיך ווייטיקדיק פאר אינזשענירן

טראדיציאנעלע אינערלעכע אויספארשונגען פילן זיך ווייטיקדיק פאר אינזשענירן ווייל זיי שטערן די ארבעט אן אנבאטן קענטיקע בענעפיטן. אינערלעכע אויספארשונגען ווערן אפט דורכגעפירט ווי איין-מאל פראיעקטן, צוגעלייגט צו נארמאלע בילעט רייעס און פראיעקט דעדליינס. עמעצער צירקולירט א ספּרעדשיט, בוקט א סעריע אינטערוויוס, בעט פאר סקרינשאטס און לאג עקספארטן, און פארשווינדט פאר חדשים ביזן נעקסטן סערטיפיקאציע ציקל. פון דער טעכנישער מאַנשאַפט'ס פּערספּעקטיוו, איז רוב פון דער מי אונטערברעכונג-געטריבן: שטעלט אפ וואס איר טוט, דערקלערט א פראצעס וואס ארבעט שוין, גראבט ארויס באווייזן וואס וואוינען אין פארשידענע מכשירים, און איבערחזרט דאס ווען א קליענט פרעגט ענלעכע פראגעס.

דאס מוסטער איז אויסמאַטערנדיק און ברענגט כּעס. אינזשענירן הייבן אָן צו זען אויספֿאָרשונגען ווי ביוראַקראַטיע אַנשטאָט אַ וועג צו פֿאַרבעסערן זיכערהייט. ערגער נאָך, ווײַל איבערבליקן ווערן באַהאַנדלט ווי זעלטענע געשעענישן, קאָנצענטרירן זיי זיך אָפֿט אויף דאָקומענטאַציע אַנשטאָט אויף עכטע קאָנטראָל אָפּעראַציע; אַ פּאָליטיק וואָס קוקט אָרדנטלעך אויף פּאַפּיר קען דורכגיין, אפילו אויב די עכטע פּאַטשינג, צוטריט איבערבליקן אָדער אינצידענט נאָכפֿאָלגן זענען נישט קאָנסיסטענט. שטיצנדיקע גיידאַנס פֿאַר קאָנטראָל 5.35 אין ISO/IEC 27002:2022 שטעלט דעם טראָפּ אויף פּראָפּאָרציאָנעלע, פּעריאָדישע אומאָפּהענגיקע איבערבליקן אַנשטאָט פֿאָרשרייבן גרויסע, זעלטענע פּראָיעקטן, וואָס גיט אײַך מעגלעכקייט צו פּלאַנירן אַ לייטערן צוגאַנג וואָס נאָך אַלץ טרעפֿט די כוונה.

אַנעקס A.5.35 בעט נישט פון אייך צו פירן גרויסע, זעלטענע פראיעקטן וואס פארלעמען די ליפערונג. עס בעט פון אייך צו בויען א קאנטראלירבארן, איבערחזרנדיקן וועג צו קאנטראלירן אז אייערע זיכערהייט אראנדזשירונגען זענען נאך אלץ פאסיג, גענוג און עפעקטיוו, אויף א וועג וואס אייער מאַנשאַפֿט קען לעבן דערמיט. איר זאָלט נישט דארפן אפשטעלן די ליפערונג ארבעט פאר טעג צו שטיצן א רעצענזיע אויב איר פלאנירט עס מיט שכל.

פארוואנדלען לוקסוס אוידיטס אין א פראקטישן MSP מייַלע

איר קענט פארוואנדלען לוקסוס אוידיטס אין א MSP מייַלע דורך באַהאַנדלען אומאָפּהענגיקע איבערבליק ווי אַ באַווייַז אַז אייער מולטי-טענאַנט סביבה איז טאַקע אונטער קאָנטראָל. די זעלבע קאָנטראָל וואָס פילט זיך ווי אָוווערכעד קען ווערן אַ הייבער פֿאַר שטאַרקערע פארקויפונגען, גלאַטערע קליענט אוידיטס און ווייניקער שלעכטע איבערראַשונגען אויב איר דיזיינט עס מיט אייער MSP מאָדעל אין זינען. אומאָפּהענגיקע איבערבליק איז איינער פון די ווייניק ערטער וווּ איר קענט ווייַזן, מיט סטרוקטורירטע באַווייַז, אַז אייערע מכשירים, פּראָצעסן און מענטשן אַרבעטן פאַרלעסלעך אַריבער פילע קאַסטאַמערז.

ווען איר קענט געבן א פּראָספּעקט א פרישע אומאָפּהענגיקע איבערבליק קיצור, ווייזן ווי די רעזולטאַטן האבן געפֿירט צו ספּעציפֿישע פֿאַרבעסערונגען, און דערקלערן ווי אָפֿט איר איבערחזרט דעם ציקל, זעט איר גלייך אויס מער דערוואַקסן ווי פּראַוויידערז וואָס ענטפֿערן מיט אַלגעמיינע פּאָליטיק PDFs. א פּלאַטפאָרמע ווי ISMS.online קען דאָ העלפֿן ווייל עס גיט אײַך איין אָרט צו פּלאַנירן איבערבליקן, באַשטימען אומאָפּהענגיקע איבערקוקער, זאַמלען באַווײַז רעפֿערענצן פֿון אײַערע עקזיסטירנדיקע מכשירים, און פֿאַרפֿאָלגן די רעזולטאַטן ביזן סוף. אַנשטאָט זיך דורכצושפּאַרן דורך אימעילס און ספּרעדשיטס ווען אַנעקס A.5.35 ווערט דערמאָנט, קענט איר ווײַזן אויף א לעבעדיקע אינערלעכע אוידיט פּראָגראַם וואָס לויפט שוין. יענע פֿאַרשיבונג - פֿון רעאַקטיווע, אַד-האָק קאָנטראָלס צו א שטענדיקן פֿאַרזיכערונג ריטם - איז אין צענטער פֿון מאַכן דעם קאָנטראָל פֿילן ווי אַ טייל פֿון נאָרמאַלע MSP אָפּעראַציעס אַנשטאָט אַן אָנגעבויטע קאָנפֿאָרמאַנס אַרבעט.

ספר אַ דעמאָ


וואָס אַנעקס A.5.35 טאַקע פארלאנגט אין פּראַקסיס פֿאַר MSPs

אַנעקס A.5.35 פארלאנגט טאקע אז איר זאלט ​​פלאנירן און דאקומענטירן אביעקטיווע קאנטראלן צי אייער אלגעמיינער זיכערהייט צוגאנג ארבעט נאך, נישט נאר צי פאליסיס עקזיסטירן. דערקלערונגען פון אַנעקס A.5.35 אונטערשטרייכן כסדר אז ארגאניזאציעס זאלן פעריאדיש און זעלבשטענדיג איבערקוקן די פאסיגקייט, אדעקוואטקייט און עפעקטיווקייט פון זייערע אינפארמאציע זיכערהייט אראנדזשירונגען, וואס גייט ווייטער ווי פשוט באשטעטיגן אז דאקומענטאציע איז פאראן. פאר אן MSP, דאס מיינט דעפינירן וואס "אייער צוגאנג צו אינפארמאציע זיכערהייט" באדעקט, באשליסן ווען און ווי זעלבשטענדיגע איבערקוקן וועלן פארקומען, און ווייזן אז איבערקוק רעזולטאטן פירן צו פארבעסערונג. די קאנטראל ערווארטעט אז אייער צוגאנג צו אינפארמאציע זיכערהייט, און די וועג ווי איר אימפלעמענטירט עס איבער מענטשן, פראצעסן און טעכנאלאגיע, זאל ווערן איבערגעקוקט דורך עמיצן זעלבשטענדיגן אין געפלאנטע אינטערוואלן און ווען באדייטנדע ענדערונגען פאסירן; ווען איר איבערזעצט די פארמאלע שפראך אין MSP-פריינדלעכע טערמינען און מאכט די באשלוסן קלאר, ווערט די קאנטראל פיל קלארער, מער באהאנדלט, און גרינגער פאר אוידיטארן און קאסטומערס צו זען אלס אן אקטיוו באהאנדלט פראקטיק אנשטאט עפעס וואס איז איבערגעלאזט צו צופאל.

ארום צוויי דריטל פון אָרגאַניזאַציעס אין דער 2025 ISMS.online אַנקעטע האָבן געזאָגט אַז די שנעלקייט און באַנד פון רעגולאַטאָרישע ענדערונגען מאַכן העסקעם שווערער צו האַלטן.

אין פּשוטער שפּראַך, אַנעקס A.5.35 בעט אײַך צו באַשליסן וואָס איר וועט איבערקוקן, ווי אָפֿט איר וועט עס איבערקוקן, ווער וועט טאָן די אַרבעט, און וואָס איר וועט טאָן מיט די רעזולטאַטן. ערשטנס, באַשליסט וואָס "אײַער צוגאַנג צו פאַרוואַלטן אינפֿאָרמאַציע זיכערהייט" דעקט; פֿאַר אַן MSP נעמט דאָס געוויינטלעך אײַן אײַער ISMS פֿאַרנעם, קאָר סערוויס ליניעס, געטיילטע פּלאַטפאָרמעס, און אינערלעכע קאָרפּאָראַטיווע סיסטעמען וואָס שטיצן סערוויס ליפערונג. צווייטנס, פּלאַנירט אומאָפּהענגיקע איבערקוקן מיט אַ פֿאַרשטענדלעכער אָפֿטקײַט, אַנשטאָט צו וואַרטן ביז אַ סערטיפֿיקאַציע גוף אָדער קונה פֿאָדערט עס. דריטנס, זאָרגט אַז די מענטשן וואָס פֿירן אויס די איבערקוק זענען נישט די זעלבע מענטשן וואָס פֿירן די קאָנטראָלן וואָס ווערן אָפּגעקוקט, אַזוי אַז עס איז נישטאָ קיין קאָנפליקט פֿון אינטערעסן.

פערטנס, באַשטימט קריטעריעס און מעטאָדן פון פאָראויס: למשל, איר קענט באַשליסן צו איבערקוקן אַ מוסטער פון ענדערונג טיקאַץ קעגן אייער ענדערונג פאַרוואַלטונג פּראָצעדור, אָדער צו פּרובירן אַז אַקסעס איבערקוקן פֿאַר פּריווילעגירטע אַקאַונץ זענען געשען ווי געפּלאַנט. צום סוף, רעקאָרדירט ​​די רעזולטאַטן און האַנדלט אויף זיי. דאָס מיינט צו פּראָדוצירן אַ קורצן באַריכט וואָס דערקלערט וואָס איז געווען איבערגעקוקט, וואָס איז געפֿונען געוואָרן, וואָס אַקציעס זענען נייטיק, און ווער עס איז דער אייגנטימער פון זיי. דער סטאַנדאַרט דיקטירט נישט אַ פּינקטלעכן פֿאָרמאַט, אָבער גיידליינז וועגן ISO 27001 דאָקומענטאַציע און אוידיט באַווייַזן, אַזאַ ווי מאַטעריאַל פון ספּעציאַליסט קאָנסולטאַנץ, מאַכט עס קלאָר אַז אוידיטאָרן זוכן געוויינטלעך דאָקומענטירטע פּלענער, רעקאָרדס פון איבערקוקן, און באַווייַזן אַז איבערקוקן פּאַסירן ווען איר זאָגט אַז זיי טוען, אַנשטאָט זיך צו פאַרלאָזן אויף נישט דאָקומענטירטע פּראַקטיק.

וואָס "אומאפהענגיק" מיינט טאַקע פֿאַר אַן MSP

פֿאַר אַן MSP, מיינט "אומאפהענגיק" אַז דער רעצענזענט קען פֿאָרמירן אַן אָביעקטיוון מיינונג אָן זײַן דער מענטש וואָס האָט געבויט אָדער אָפּערירט די קאָנטראָלן אונטער טעסט. דאָס וואָרט "אומאפהענגיק" איז וווּ פֿיל קלענערע MSP'ס זאָרגן זיך, ספּעציעל ווען די זיכערהייט מאַנשאַפֿט איז איין מענטש אָדער אַ קליינע גרופּע. אומאפהענגיקײַט מיינט נישט אַז איר מוזט האָבן אַ גאָר באַזונדערע אינערלעכע אוידיט אָפּטיילונג. קאָמענטאַר אויף אַנעקס A.5.35 און פֿאַרבונדענע ISO 27001 גײַדליינז שטעלן דעם טראָפּ אויף ראָלע צעשיידונג און אָביעקטיוויטעט ווי דער קערן פֿון אומאפהענגיקײַט, ספּעציעל פֿאַר קלענערע אָרגאַניזאַציעס, אַנשטאָט אינסיסטירן אויף אַ דעדיקירטע אוידיט פֿונקציע; איר קענט דאָס דערגרייכן דורך פּראָפּאָרציאָנעלע גאַווערנאַנס און קלאָרע פֿאַראַנטוואָרטלעכקייטן. דאָס מיינט אַז די יחידים וואָס פֿירן אויס די רעצענזיע זענען נישט פֿאַראַנטוואָרטלעך פֿאַר פּלאַנירן, אימפּלעמענטירן אָדער אָפּערירן די קאָנטראָלן אונטער אויספֿאָרשונג און זענען נישט אונטערטעניק צו אומרעכטן השפּעה פֿון די וואָס זענען. אין אַ קליינעם MSP, קען דאָס דערגרייכט ווערן דורך ראָלע צעשיידונג און גאַווערנאַנס, אפילו אויב די צאָל מענטשן איז באַגרענעצט.

איר קענט נוצן ראָלע ראָטאַציע, קראָס-פונקציאָנעלע רעצענזענטן און קלאָרע באַריכט ליניעס צו מאַכן די זעלבשטענדיקייט קענטיק. למשל, אַ סערוויס דעליווערי דירעקטאָר, אָפּעראַציעס מענעדזשער אָדער פינאַנץ פירער קען אויפפּאַסן אויף רעצענזיעס פון זיכערהייט קאָנטראָלס, ניצן סטרוקטורירטע טשעקליסטן, בשעת טעכנישער שטאב צושטעלן באַווייַזן און ענטפֿערן קלעראַפייינג פֿראגן. וואו פולשטענדיקע צעשיידונג איז אוממעגלעך, קענט איר נוצן קאָמפּענסירנדיקע מיטלען ווי למשל האָבן רעזולטאַטן וואַלידירט אין מענעדזשמענט רעצענזיע מיטינגז אָדער ברענגען אַ פונדרויסנדיקן קאָנסולטאַנט פּעריאָדיש פֿאַר העכער-ריזיקירטע געביטן. שפּעטער, ווען איר פּלאַנירט זעלבשטענדיקייט פּאַטערנז אין מער דעטאַל, ווערן די פּרינציפּן די רוקן-ביין פון אייער צוגאַנג.

אומאָפּהענגיקע איבערבליק קעגן אינערלעכע אוידיט קעגן BAU מאָניטאָרינג

אומאפהענגיקע איבערבליק, אינערליכע אוידיט און טעגליכע מאניטארינג שטיצן אלע פארזיכערונג, אבער זיי לייזן אנדערע פראבלעמען. אסאך MSP'ס פירן שוין דורך ענדערונג איבערבליקן, טיקעט קוואליטעט טשעקס, לאג מאניטארינג און אנדערע רוטינע אקטיוויטעטן; די זענען ווערטפול אבער זיי זענען נישט די זעלבע ווי א פארמאלע אומאפהענגיקע איבערבליק. טעגליכע אדער וועכנטליכע מאניטארינג פאקוסירט אויף האלטן סערוויסעס אין קראפט און שנעל אויפדעקן אינצידענטן. אינערליכע אוידיטס, ווי באשריבן אין ISO 27001 קלאז 9.2, זענען וועגן וועריפיצירן צי אייער ISMS איז אין איינקלאנג מיט דעם סטאנדארט און מיט אייערע אייגענע באדערפענישן. קלאז 9.2 איז קלאר אז אינערליכע אוידיטס ווערן גענוצט צו באשטימען צי דער ISMS איז אין איינקלאנג מיט ביידע די ארגאניזאציע'ס אייגענע באדערפענישן און מיט ISO 27001, און סטאנדארט קאמענטאר אויף אנעקס A.5.35 בויט אויף דעם דורך ענקערידזשינג פעריאדישע, אביעקטיווע אפשאצונג פון אייערע זיכערהייט אראנדזשירונגען אלס א גאנצע.

אומאָפּהענגיקע איבערבליק אין אַנעקס A.5.35 זיצט לעבן די און לייגט דעם טראָפּ אויף אַן אָביעקטיווער אָפּשאַצונג פון אייער גאַנצן זיכערהייט צוגאַנג, נישט נאָר ספּעציפֿישע אינצידענטן אָדער דאָקומענטן.

די אונטערשיידונג איז וויכטיג ווייל אוידיטארן און קליענטן וועלן אָפט פרעגן ביידע "ווי מאָניטאָרירט איר זיכערהייט?" און "ווי אָפּשאַצט איר זעלבשטענדיק צי אייער זיכערהייט פאַרוואַלטונג איז נאָך עפעקטיוו?" איר קענט ענטפֿערן די ערשטע מיט מכשירים און פּראָצעסן - זיכערהייט מאָניטאָרינג דאַשבאָרדז, ווייַט פאַרוואַלטונג פּאָליטיק, ענדערונג וואָרקפלאָוז. איר ענטפֿערט ​​די צווייטע מיט אייער זעלבשטענדיק אָפּשאַצונג אָדער אינערלעכער אוידיט פּראָגראַם. די מערסט עפעקטיוו MSPs פּלאַן די עלעמענטן אַזוי אַז זיי פארשטארקן איינער דעם אַנדערן: מאָניטאָרינג פיטערט באַווייַזן אין אוידאַץ, און זעלבשטענדיק אָפּשאַצונגען פּרובירן צי מאָניטאָרינג און אנדערע קאָנטראָלס אַרבעטן טאַקע ווי בדעה.

א פשוטע פארגלייך העלפט אייך שטעלן יעדע טעטיקייט אין די פאזיציעס:

טיפּ פון אַקטיוויטעט ערשטיק פאָקוס טיפּיש אָפטקייַט
BAU מאָניטאָרינג דעטעקטירן און רעאַגירן אויף פּראָבלעמען אין פאַקטישער צייט קעסיידערדיק אָדער טעגלעך
אינערלעכע ISMS אויספארשונג קאָנטראָלירט צי ISMS איז אין איינקלאַנג מיט ISO 27001 און אייערע אייגענע רעקווייערמענץ. יערלעכע פּראָגראַם מיט ציקלען
אומאָפּהענגיקע איבערבליק (A.5.35) אָפּשאַצן צי זיכערהייט צוגאַנג בלייבט פּאַסיק און עפעקטיוו אין געפּלאַנטע צייטן און נאָך גרויסע ענדערונגען

האבן דעם בילד גרייט מאכט עס פיל גרינגער צו דערקלערן פאר אוידיטארן און קליענטן ווי אייערע פארשידענע שיכטן פון פארזיכערונג פאסן צוזאמען, און וואו אנעקס A.5.35 געפינט זיך אין דעם בילד. וויזועל: געשטאפלטע דיאגראם וואס ווייזט BAU מאניטארינג, אינערליכע אוידיט און אומאפהענגיקע איבערבליק אלס דריי פארזיכערונג שיכטן.



ISMS.online גיט אייך א 81% פארשטארקונג פון דעם מאמענט וואס איר לאגט זיך איין

ISO 27001 געמאַכט גרינג

א 81% פֿאָרשפּרונג פֿון טאָג איינס

מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.

באַקומען אנגעהויבן


דיזיינינג זעלבשטענדיקייט אין אַ קליינער אָדער מיטל-גרייס MSP

דיזיינען אומאפהענגיקייט אין א קליינעם אדער מיטלגרויסן MSP מיינט אפשיידן רעצענזיע-באשלוסן פון טעגליכן קאנטראל אפעראציע, אפילו ווען איר האט באגרענעצטע מענטשן. אומאפהענגיקייט איז גרינג זיך פארצושטעלן אין א גרויסן אונטערנעמונג מיט אן אינערליכער אוידיט דעפארטמענט און א באזונדערן הויפט אינפארמאציע זיכערהייט אפיציר. עס איז פיל שווערער ווען איר פירט א צוואַנציק-פערזאן MSP וואו דער זעלבער עלטערער אינזשעניר דיזיינט קאנטראלן, אפערירט זיי, און ענטפערט זיכערהייט פֿראַגעבאָגן. די גוטע נייעס איז אז אַנעקס A.5.35 און טיפּישע אוידיטאר ערווארטונגען ערלויבן פּראָפּאָרציאָנעלע אומאפהענגיקייט: איר קענט דיזיינען סטרוקטורן וואָס פּאַסן צו א 10-, 50- אדער 150-פערזאן MSP דורך אפשיידן ראָלעס און באַשלוס רעכטן אנשטאט צו האפן צו דינגען אן אינערליכער אוידיט מאַנשאַפֿט איבערנאכט.

זעלבשטענדיקייט מוסטערן פֿאַר פֿאַרשידענע MSP גרייסן

דער ריכטיקער אומאפהענגיקייט מוסטער פאר אייער MSP ווענדט זיך אין גרייס, אבער דער פרינציפ - קיינער אונטערשרייבט נישט זייער אייגענע ארבעט - בלייבט קאנסטאנט. פאר א גאר קליינעם MSP, קען אומאפהענגיקייט מיינען אז דער מענעדזשינג דירעקטאר אדער אפעראציעס פירט קאמיסיעס און אונטערשרייבט באריכטן, בשעת א פארטרויטער קאלעגע פון ​​אן אנדערער פונקציע פירט אויס טעסטן מיט באשטעטיגטע פראצעדורן. דער מענטש וואס קוקט אויף בעקאפ קאנטראלן זאל נישט זיין דער זעלבער מענטש וואס האט געבויט די בעקאפ פלאטפארמע; אבער זיי קענען נאך אלץ בעטן און דורכקוקן באווייזן פון יענעם אינזשעניר. פאר א מיטלגרויסן MSP, קענט איר באשטימען א זיכערהייט און קאמפלייענס מענעדזשער אלס קאארדינאטאר פון אינערליכע אויספארשונגען און אומאפהענגיקע באריכטן, מיט באריכטער גענומען פון פינאנץ, HR, אפעראציעס אדער אנדערע טימס וואס פארמאגן נישט די קאנטראלן וואס ווערן באריכטעט.

אין גרעסערע MSP'ס, קענט איר אפשר גיין נענטער צו א קלאסישן דריי-ליניעס-פון-פארטיידיקונג מאדעל: סערוויס טימס אפערירן קאנטראלן, א צענטראלע ריזיקע און קאמפלייענס פונקציע דיזיינט דעם פריימווערק, און אן אינערליכע אוידיט אדער קוואליטעט פארזיכערונג מאנשאפט פירט אויס אומאפהענגיקע טעסטן און באריכטן צו דער עלטערער פירערשאפט אדער דעם באארד. וואס אימער אייער גרייס, בלייבט דער פרינציפ דער זעלבער: רעצענזענטן מוזן קענען פארמירן אן אביעקטיווע מיינונג, עסעלירן זארגן אן מורא, און אויסמיידן צו אונטערשרייבן זייער אייגענע ארבעט. דאקומענטירן די מוסטערן אין אן אומאפהענגיקייט פאליסי אדער סעקציע פון ​​אייער אינערליכע אוידיט פראצעדור וועט בארואיגן אוידיטארן אז איר האט דאס דורכגעטראכט און קענט סקאלן דעם מאדעל ווי איר וואקסט.

רעגירונג סטרוקטורן וואָס ווייַזן זעלבשטענדיקייט

גאַווערנאַנס איז וואָס פאַרוואַנדלט זעלבשטענדיקייט פון אַן אינפאָרמעלן צוזאָג אין עפּעס קענטיק און טעסטאַבאַל. א פּשוט, עפעקטיוו מוסטער איז צו מאַכן זיכער אַז די פּערזאָן פאַראַנטוואָרטלעך פֿאַר די אָפּשאַצונג פּראָגראַם באַריכט, לפּחות פֿאַר דעם צוועק, צו עמעצן אַנדערש ווי דער הויפּט פון סערוויס דעליווערי אָדער די טעכניש פירער. למשל, דיין זעלבשטענדיק אָפּשאַצונג פּראָצעדור קען זאָגן אַז דער אָפּשאַצונג קאָאָרדינאַטאָר באַריכט זייערע רעזולטאַטן גלייך צו די פאַרוואַלטנדיק דירעקטאָר אָדער אַ ריזיקאָ קאָמיטעט, אפילו אויב זיי זיצן אין די זיכערהייט מאַנשאַפֿט טעגלעך. פאַרוואַלטונג אָפּשאַצונג פּראָטאָקאָלן קענען דעמאָלט ווייַזן אַז די רעזולטאַטן זענען דיסקוטירט, טשאַלאַנדזשד און אַקטינג אויף.

איר קענט דאָס פארשטארקן מיט אַ קלאָרער RACI (פאַראַנטוואָרטלעך, אַקאַונטאַבאַל, קאָנסולטירט, אינפאָרמירט) מאַטריץ. קאָנטראָל אייגנטימער זענען פאַראַנטוואָרטלעך פֿאַר אָפּערירן קאָנטראָלן; רעצענזענטן זענען פאַראַנטוואָרטלעך פֿאַר טעסטינג און באריכטן; עלטערע פאַרוואַלטונג איז פאַראַנטוואָרטלעך פֿאַר זיכער מאַכן אַז רעצענזיעס פּאַסירן און אַז די רעזולטאַטן ווערן אַדרעסירט. שטאַב וואָס ווערן קאָנסולטירט אָדער אינפאָרמירט זאָל נישט קענען צו וועטאָען אָדער רעדאַקטירן די רעזולטאַטן צו באַשיצן זייער אייגענעם געגנט. ווען אייער RACI און באריכטן ליניעס מאַכן די צעשיידונג קלאָר, זענען אוידיטאָרן מער מסתּמא צו זיין באַקוועם אַז אייערע רעצענזיעס זענען באמת אומאָפּהענגיק אין די באַגרענעצונגען פון אייער גרייס. וויזועל: פּשוט RACI דיאַגראַם וואָס ווייזט די צעשיידונג צווישן קאָנטראָל אייגנטימער, רעצענזענטן און פירערשאַפט.

מישן אינערלעכע און אויסערלעכע רעצענזענטן אָן אויססאָרסינג פֿאַראַנטוואָרטלעכקייט

צונויפמישן אינערלעכע און אויסערלעכע רעצענזענטן לאָזט אייך פארשטארקן זעלבשטענדיקייט אָן פאַרלירן קאָנטראָל איבער באַשלוסן. פילע MSP'ס ווערן פארפירט צו פאַרלאָזן זיך אינגאַנצן אויף אַן אויסערלעכן קאָנסולטאַנט איין מאָל אַ יאָר צו אָפּהאַקן דאָס קעסטל פֿאַר זעלבשטענדיקייט. אויסערלעכע עקספּערטיז איז גאָר נוצלעך, ספּעציעל פֿאַר ערשטן פּלאַן, הויך-ריזיקירטע געביטן אָדער וואַלידירן אָביעקטיוויטעט. אָבער, אויב איר ברענגט נאָר עמעצן יערלעך און טוט גאָרנישט אינערלעך צווישן באַזוכן, וועט אייער רעצענזיע פּראָגראַם זיין שוואַך און קען פאַרפעלן וויכטיקע ענדערונגען. דער שטאַרקסטער מוסטער איז געוויינטלעך אַ געמיש: איר פירט אַ ריזיקאָ-באַזירטן אינערלעכן רעצענזיע ציקל איבערן יאָר, און דאַן לאַדט איר איין אַן אויסערלעכן ספּעציאַליסט צו נעמען מוסטערן און אַרויסרופן אַ גרופּע אָדער צו פאָקוסירן אויף באַזונדער סענסיטיווע באַדינונגען.

קריטיש וויכטיג, איר קענט נישט אויססאָרסן אַקאַונטאַביליטי. אפילו ווען אַן עקסטערנע פּאַרטיי פירט אויס טעסץ, בלייבט אייער אָרגאַניזאַציע פאַראַנטוואָרטלעך פֿאַר באַשליסן וועלכע רעזולטאַטן צו אָננעמען, וועלכע אַקציעס צו נעמען, און ווי שנעל זיי צו אַדרעסירן. מאַכט דאָס קלאָר אין אייער גאַווערנאַנס: עקסטערנע רעצענזענטן צושטעלן אינפֿאָרמאַציע און זיכערהייט, אָבער אייער מאַנאַגעמענט רעצענזיע באַשליסט און איז דער אייגענטומער פון דער ענטפער. ווען קליענטן אָדער סערטיפיקאַציע קערפּערשאַפטן פרעגן וועגן אַנעקס A.5.35, קענט איר דעמאָלט דערקלערן אַז איר האָט אַ שטייענדיקע אינטערנע פּראָגראַם מיט פּעריאָדישע אומאָפּהענגיקע אַרויסרוף, אַנשטאָט אַ קאָנסולטאַנט באַזוך אַמאָל אַ יאָר. דאָס שטעלט אייך אויף צו דיסקוטירן ווי איר פּריאָריטיזירט אַרבעט, וואָס פירט נאַטירלעך צו דער פראַגע פון ​​ריזיקאָ-באַזירטער פּלאַנירונג.



א ריזיקאָ-באַזירטע אינערלעכע אויספאָרשונג פּראָגראַם וואָס פֿאַרשווימט נישט די אינזשענירן

א ריזיקאָ-באַזירט אינערלעכער אוידיט פּראָגראַם לאָזט אייך טרעפן אַנעקס A.5.35 אָן צו איבערלאָדן אינזשענירן מיט אומענדלעכע קאָנטראָלן. די הויפּט געדאַנק איז פּשוט: פאָקוסירן די איבערבליק מי וואו דורכפאַל וואָלט אייך און אייערע קאַסטאַמערז מערסטנס שאַטן, און נעמען מוסטערן פון די רעשט מיט דער צייט. אַנעקס A.5.35 ערוואַרטעט פון אייך צו פּלאַנירן אומאָפּהענגיקע איבערבליקן אין גלייַכבארע אינטערוואַלן און נאָך גרויסע ענדערונגען; ISO 27001 פּונקט 9.2 ערוואַרטעט אַן אינערלעכער אוידיט פּראָגראַם פֿאַר די ISMS. קאָמענטאַרן אויף די רעקווירעמענץ באַמערקן אַז ביידע די אומאָפּהענגיקע איבערבליק קאָנטראָל און די אינערלעכע אוידיט פּונקט באַציען זיך צו פּלאַנירטע אינטערוואַלן און קאַווערידזש געפֿירט דורך ריזיקאָ, אַנשטאָט שטרענגע פעסטע פּלאַנען, אַזוי איר האָט בייגיקייט אין ווי איר פּלאַנירט די פּראָגראַם.

בערך 41% פון די געפרעגטע אָרגאַניזאַציעס האָבן געזאָגט אַז אויפהאַלטן דיגיטאַלע ווידערשטאַנד און זיך אַדאַפּטירן צו סייבער דיסראַפּשאַנז איז געווען איינע פון ​​זייערע הויפּט אינפֿאָרמאַציע-זיכערהייט טשאַלאַנדזשיז.

אוידיטס פילן זיך לייטער ווען זיי גייען נאך אייער ריזיקע מאפע, נישט אייער אינבאקס.

אָנהייבן מיט אַ פּשוטן MSP ריזיקאָ מאָדעל

א פשוט'ער ריזיקע מאָדעל פֿאַר אייערע סערוויסעס און קאָנטראָלס איז גענוג צו פירן אַ קלוגע פּראָגראַם. ליסט אייערע הויפּט סערוויס ליניעס - אַזאַ ווי געראטן נעטוואָרקס, ענדפּוינט פאַרוואַלטונג, באַקאַפּ און אָפּזוך, אידענטיטעט און אַקסעס פאַרוואַלטונג, געראטן זיכערהייט מאָניטאָרינג, וואָלקן האָסטינג - און פֿאַר יעדן, אָפּשאַצן די פּאָטענציעלע פּראַל פון אַ דורכפאַל אויף קאַנפאַדענשיאַלאַטי, אָרנטלעכקייט און אַוויילאַביליטי פֿאַר אייערע קליענטן. באַטראַכטן סיבות ווי די סענסיטיוויטי פון דאַטן פּראַסעסט, רעגולאַטאָרי ויסשטעלן, קאָנטראַקטואַל קאַמיטמאַנץ און פאַרגאַנגענהייט אינצידענט געשיכטע. איר דאַרפֿן נישט אַ קאָמפּלעקס סקאָרינג סיסטעם; הויך, מיטל און נידעריק קענען זיין גענוג ווי לאַנג ווי זיי זענען געווענדט קאָנסיסטענטלי.

אזוי שנעל ווי איר האט דעם בליק, לייגט צו זיכערהייט קאנטראלן צו יענע סערוויסעס און באשליסט ווי אפט יעדע קאמבינאציע דארף אומאפהענגיקע איבערקוק. למשל, אסאך ארגאניזאציעס קלייבן צו קוקן אויף העכער-ריזיקירטע געביטן יעדן קווארטאל אדער האלב-יעריג, מיטל-ריזיקירטע געביטן יערליך, און נידעריגערע-ריזיקירטע געביטן אויף א גליטשנדיקן מער-יעריגן ציקל אדער אפארטוניסטישן סעמפלינג. די ציל איז נישט צו פארצווינגען א באשטימטן קאדענץ, נאר צו ניצן ריזיקע צו בארעכטיקן וואו איר אינוועסטירט צייט. ווען אוידיטארן פרעגן פארוואס איר אוידיטארירט געוויסע זאכן אפטער ווי אנדערע, קענט איר ווייזן אויף דעם ריזיקע מאדעל אנשטאט צו ציטערן מיט די פלייצעס, און איר קענט בויען אייער יערליכן קאלענדאר אויף דעם.

בויען אַן אוידיט קאַלענדאַר וואָס רעספּעקטירט דעליווערי אַרבעט

אן אוידיט קאלענדאר וואס רעספעקטירט די דעליווערי ארבעט מאכט אז איבערבליקן זאלן זיך פילן ווי א טייל פון דער ארבעט, נישט ווי א שטערונג. מיט אייער ריזיקע מאדעל אין האנט, איבערזעצט עס אין א יערליכן אדער מער-יעריגן אוידיט קאלענדאר. למשל, איר קענט באשליסן אז אין ערשטן קווארטאל וועט איר איבערקוקן פריווילעגירט צוטריט מענעדזשמענט פאר אינערליכע סיסטעמען און שליסל קליענט פלאטפארמעס; אין צווייטן, וועט איר קוקן אויף פּעטש מענעדזשמענט און וואַלנעראַביליטי האַנדלינג; אין דריטן, אייער אינצידענט רעאקציע פראצעס; און אין פערטן, א קראָס-קאַטינג איבערבליק פון אייער ISMS דאקומענטאציע און מענעדזשמענט איבערבליק פראצעס. אין יעדן קווארטאל, פּלאַנירט ספּעציפֿישע וואָכן אדער טעג ווען באַווייז זאַמלונג און אינטערוויוז וועלן פארקומען, נעמענדיג אין באַטראַכטונג פארנומענע פּעריאָדן, הויפּט מעלדונגען און באַקאַנטע ענדערונגען איינגעפֿריזן.

באַטייליקן אָפּעראַציעס און אינזשעניריע פירער אין דעם פּלאַנירונג אַזוי זיי קענען מאַרקירן פּאָטענציעלע קלאַשן. אויב אייער אַנטוויקלונג מאַנשאַפֿט האט אַ גרויסע פּלאַטפאָרמע אַפּגרעיד אין אַ באַזונדער חודש, וועט אַריבערפירן די אוידיט טעסטינג פֿאַר יענעם געגנט צו אַ שטילערער פּעריאָד רעדוצירן רייַבונג אָן רעדוצירן זיכערהייט. צייטבאָקס אַקטיוויטעטן: דעפינירן ווי פילע שעה ריוויוערז און קאָנטראָל אָונערז זענען געריכט צו פאַרברענגען בעשאַס אַ ציקל, און האַלטן זיך דערצו סייַדן איר געפֿינען עפּעס ערנסט. די דיסציפּלין העלפּס איר ויסמיידן אָפענע אוידאַץ וואָס יקספּאַנד צו פּלאָמבירן אַלע בנימצא צייט. עס ווייזט אויך אוידאַטאָרן אַז איר באַהאַנדלט זיכערהייט ווי אַ פּלאַנירט פּראָצעס אלא ווי אַ לעצטע-מינוט קאַמף. וויזואַל: פּשוט קוואַרטאַל אוידיט קאַלענדאַר מיט ריזיקירן שטאַפּלען און ינדיקאַטיוו מי בלאַקס.

דעפינירן אַ פּשוטע אויספֿאָרשונג פּראָצעדור וואָס דיין מאַנשאַפֿט קען נאָכפֿאָלגן

א פשוטע, געשריבענע פּראָצעדור פֿאַרוואַנדלט גוטע כוונות אין איבערחזרנדיקע פּראַקטיק וואָס יעדער רעצענזענט קען נאָכפֿאָלגן. צום מינדסטן, זאָל אייער אינערלעכער אוידיט אָדער אומאָפּהענגיקער רעצענזיע פּראָצעדור באַשרײַבן ווי די סקאָפּעס ווערן אויסגעקליבן, ווי די קריטעריאַ ווערן דעפֿינירט, ווי די סאַמפּלינג אַרבעט, און ווי די באַווײַזן און רעזולטאַטן ווערן רעקאָרדירט. פֿאַר יעדער רעצענזיע, זאָל דער פֿירער פּראָדוצירן אַ פּשוטן פּלאַן וואָס באַשטימט די צילן, דעם סקאָופּ (סיסטעמען, מאַנשאַפֿטן, צײַט־פּעריאָד), די קריטעריאַ (פּאָליטיקעס, פּראָצעדורן, סטאַנדאַרדן), און די מעטאָדן (אינטערוויוען, טיקעט סאַמפּלינג, לאָג דורכקוק, קאָנפֿיגוראַציע קאָנטראָלן). די זיבן טריט כאַפּן דעם טיפּישן מוסטער פֿאַר אַן אומאָפּהענגיקן רעצענזיע ציקל.

שריט 1 – באַשטעטיקן דעם פאַרנעם און צילן

מסכים זיין וואָס וועט ווערן איבערגעקוקט, פארוואס עס איז וויכטיג, און וועלכע פּאָליטיקס, סערוויסעס און צייט-פּעריאָד זענען אין פאַרנעם.

שריט 2 – אידענטיפיצירן באַטייַטיקע פּאָליטיקס, פּראָצעדורן און רעקאָרדס

זאַמלט די דאָקומענטן און רעקאָרדס וואָס באַשרײַבן ווי די קאָנטראָל זאָל אַרבעטן איידער איר הייבט אָן טעסטן.

שריט 3 – דעפינירן סאַמפּלינג קריטעריאַ און סאַמפּל סיזעס

באַשליסט וועלכע טיקעטן, לאָגס אָדער קאָנפיגוראַציעס איר וועט טעסטן, און וויפיל זאכן איר דאַרפט פֿאַר אַ יושרדיקן מוסטער.

שריט 4 – זאַמלען און פּרובירן באַווייַזן קעגן קריטעריאַ

נעמט ארויס די אויסגעקליבענע זאכן פון אייערע סיסטעמען און פארגלייכט זיי מיט אייערע דאקומענטירטע פראצעדורן און סטאנדארטן.

שריט 5 – רעקאָרדירן אָבסערוואַציעס, נישט-קאָנפאָרמאַטיז און פֿאַרבעסערונגען

שרײַבט אַראָפּ וואָס איר האָט געזען, וואָס האָט נישט געשטימט מיט די ערוואַרטונגען, און וווּ איר האָט באַמערקט געלעגנהייטן צו פֿאַרבעסערן.

שריט 6 – מסכים זיין און רעגיסטרירן קארעקטיווע אקציעס מיט די אייגענטימער

דיסקוטירן די רעזולטאַטן מיט קאָנטראָל אייגנטימער, מסכים זיין אויף אַקציעס מיט פאַל-דאַטעס, און רעקאָרדירן זיי אין אַ צענטראלן רעגיסטער.

שריט 7 – מעלדן רעזולטאַטן אין פאַרוואַלטונג איבערבליק און ריזיקאָ רעגיסטער

צוזאַמענפאַסן די איבערבליק פֿאַר פירערשאַפט און אַריינפֿירן די באַטייַטיקע געפינסן אין די ריזיקאָ רעגיסטער און פאַרוואַלטונג איבערבליק אַגענדאַ.

ווען יעדער וואס איז דערין פארמישט פארשטייט דעם מוסטער, פילן זיך רעצענזיעס ווייניגער ווי מיסטעריעזע אויספארשונגען און מער ווי א באקאנטע, באגרענעצטע טעטיקייט. דאס מאכט עס אויך גרינגער צו דערקלערן אייער צוגאנג פאר אוידיטארן און קליענטן, און צו ווייזן ווי אזוי איר האלט די ארבעטס-לאסט אונטער קאנטראל בשעת איר טרעפט נאך אלץ A.5.35. איר זאלט ​​נישט דארפן איבערמאכן דעם פראצעס פאר יעדן רעצענזיע; די פראצעדור האלט די ערווארטונגען קלאר פאר ביידע רעצענזענטן און אינזשענירן.



קליימינג

באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ


נידעריק-פריקציע באווייזן: ניצן לאָגס, טיקאַץ און דאַשבאָרדז אַנשטאָט אינטערוויוז

איר מאַכט אומאָפּהענגיקע רעצענזיעס פיל ווייניקער ווייטיקדיק ווען איר פֿאַרלאָזט זיך אויף לאָגס, טיקעטן און דאַשבאָרדז אַנשטאָט קאָנסטאַנטע אינטערוויוען. מאָדערנע MSP'ס זענען רייך אין מאַשין-גענערירטע באַווייזן, און אַנעקס A.5.35 גיט נישט קיין באַשטימטע מעטאָדן פֿאַר זאַמלען די באַווייזן. איר פֿאָקוס, וואָס ווערט ווידערגעגעבן דורך ISO/IEC 27002:2022 גיידליינז פֿאַר קאָנטראָל 5.35, איז אויף זיכער מאַכן אַז רעצענזיעס זענען אָביעקטיוו און עפֿעקטיוו, וואָס מיינט אַז איר קענט זיך שטאַרק פֿאַרלאָזן אויף דאַטן פֿון אייערע עקזיסטירנדיקע סיסטעמען אַנשטאָט זיך צו פֿאַרלאָזן אויף לאַנגע זיצונגען. איינער פֿון די שנעלסטע וועגן צו רעדוצירן די ווייטיק פֿון אומאָפּהענגיקע רעצענזיעס איז צו נוצן די דאַטן וואָס איר האָט שוין: אייער MSP דזשענערירט טיקעטן, ענדערט רעקאָרדס, מאָניטאָרינג דאַשבאָרדז, קאָנפֿיגוראַציע באַסעליינז, באַקאַפּ באַריכטן, אָטענטאַקיישאַן לאָגס און מער, און A.5.35 ערוואַרטעט פשוט אַז איר זאָלט באַשטעטיקן, אָביעקטיוו, אַז אייערע זיכערהייט אַראַנזשירונגען זענען אין פּלאַץ און אַרבעטן. ווען רעצענזענטן נעמען ערשט באַריכטן און מוסטערן פֿון די סיסטעמען און פֿרעגן מענטשן נאָר ווען נייטיק, שפּאָרט יעדער צייט, דיסראַפּשאַן ווערט רעדוצירט און די באַווייזן זענען מער איבערצייגנדיק ווי רעקאָנסטרויִרטע זכרונות.

ניצט אייער טולינג סטאַק ווי די הויפּט באַווייַז מקור

אייער טולינג סטאַק זאָל זיין די הויפּט באַווייַז מקור פֿאַר רובֿ אומאָפּהענגיקע רעצענזיע טעסץ. אָנהייבן מיט ליסטינג די סיסטעמען וואָס שוין באַשרייַבן ווי אייערע קאָנטראָלס אַרבעטן: אייער סערוויס דעסק און IT סערוויס פאַרוואַלטונג מכשירים, אייער ווייַט מאָניטאָרינג און פאַרוואַלטונג פּלאַטפאָרמע, לאָג פאַרוואַלטונג אָדער זיכערהייט אינפֿאָרמאַציע און געשעעניש פאַרוואַלטונג, באַקאַפּ דאַשבאָרדז, אידענטיטעט פּלאַטפאָרמעס, און ענדערונג פאַרוואַלטונג סיסטעמען. פֿאַר יעדער שליסל קאָנטראָל געגנט - אַזאַ ווי אַקסעס פאַרוואַלטונג, ענדערונג קאָנטראָל, פּאַטשינג, אינצידענט האַנדלינג, באַקאַפּ און ריסטאָר, ווענדאָר פאַרוואַלטונג - ידענטיפיצירן וואָס סיסטעם רעקאָרדירט ​​די באַטייַטיק געשעענישן און דיסיזשאַנז. בעשאַס אַ רעצענזיע, אייער ערשטער שריט זאָל זיין צו ציען ריפּאָרץ אָדער פֿראַגעס פון די סיסטעמען אלא ווי בעטן ענדזשאַנירז צו גראָבן דורך ינבאָקסעס.

למשל, צו פּרובירן צי אינצידענטן זענען קלאַסיפֿיצירט און פֿאַרמאַכט ריכטיק, קענט איר נעמען אַ מוסטער פֿון אינצידענט טיקעטס פֿון די לעצטע קוואַרטאַל און באַשטעטיקן אַז יעדער האט אַ קאַטעגאָריע, השפּעה מדרגה, וואָרצל-גורם אַנאַליז און פֿאַרמאַכן הערות. צו איבערקוקן ענדערונג פאַרוואַלטונג, קענט איר דורכקוקן ענדערונג רעקאָרדס פֿאַר באַווייַזן פֿון ריזיקירן אַסעסמאַנט, האַסקאָמע און נאָך-אימפּלעמענטאַציע איבערבליק. פֿאַר באַקאַפּ, קענט איר איבערקוקן קיצער באַריכטן וואָס ווייַזן הצלחה ראַטעס און טעסט רעסטאָרז. די דאַטן-געטריבן טשעקס זענען שנעלער, ווייניקער סוביעקטיוו און מער איבערצייגנדיק פֿאַר אָדיטאָרס ווי אינפאָרמעלע דערקלערונגען. זיי לאָזן אויך דיין אינזשענירן פאָקוסירן אויף פאַרריכטן קיין גאַפּס אַנשטאָט ריפּיטידלי ענטפֿערן די זעלבע פֿראגן וועגן פֿאַרגאַנגענהייט טעטיקייט.

בויען אַ ווידער-ניצלעכע בילעט און לאָג קווערי ביבליאָטעק

א ווידער-ניצלעכע קווערי ביבליאָטעק פארוואנדלט אד-האָק באווייז-זוכן אין א איבערחזרנדיקע רוטינע. כאפט די קווערי און פילטערס וואס איר ניצט פאר יעדן קאנטראל אין א פשוטע ביבליאָטעק. למשל, איר קענט דעפינירן געהיטע זוכענישן ווי "אלע הויך-אימפאקט אינצידענטן אין די לעצטע דריי חדשים", "ענדערונגען וואס ווירקן אויף די הויפט קליענט פּלאַטפאָרמעס", אדער "נייע פריווילעגירטע אקאונטס באשאפן דעם קווארטל". בעת יעדן איבערבליק ציקל, קענען איבערקוקער לויפן די געהיטע קווערי, אויסקלויבן א מוסטער, און אויפשרייבן זייערע טעסטן און מסקנות. דאס פארמיידט איבערצומאכן דאס ראד און פארקלענערט די וועריאַביליטי צווישן איבערקוקער. עס מאכט עס אויך גרינגער צו דעלעגירן באווייז-זאמלונג צו עמיצן אינדרויסן פון די טעכנישע מאַנשאַפֿט אונטער קלאָרע אינסטרוקציעס.

מיט דער צייט וועט איר געפֿינען אַז עטלעכע פֿראַגעס זענען נוצלעך ניט נאָר פֿאַר פֿאָרמעלע איבערבליקן, נאָר אויך פֿאַר רעגולערע אָפּעראַציאָנעלע געזונטהייט קאָנטראָלן. דאָס איז ידעאַל: ווי נענטער אייערע אומאָפּהענגיקע איבערבליק באַווײַזן שטימען מיט דעם אופֿן ווי איר שוין פֿאַרוואַלטעט סערוויסעס, אַלץ ווייניקער וועט עס זיך פֿילן ווי אַ באַזונדערע לאַסט. געדענקט צו דאָקומענטירן יעדע מוסטערונג כּללים - למשל, שטענדיק אויסקלײַבן לפּחות צען זאַכן, אָדער אַ געוויסן פּראָצענט פֿון דער גאַנצער אַקטיוויטעט, אָדער לפּחות איין בײַשפּיל פּער שליסל קונה סעגמענט - אַזוי אַז איבערקוקער ווערן ניט באַשולדיקט אין אויסקלייבן. קלאָרע קריטעריעס שטיצן ביידע יושר און דערקענטע אומאָפּהענגיקייט.

זיכער האַנדלען מיט סענסיטיווע באַווייַזן אין אוידיט טעקעס

זיכער האַנדלען מיט סענסיטיווע באַווייזן איז טייל פון דורכפירן גלויבווערדיגע אומאָפּהענגיקע איבערבליקן. אומאָפּהענגיקע איבערבליקן רירן אָן קיין ספק אינפאָרמאַציע וואָס איז סענסיטיוו: פּראָדוקציע לאָגס, אינצידענט דערציילונגען, סקרינשאַץ פון קאָנפיגוראַציעס, אָדער ליסטעס פון פּריווילעגירטע אַקאַונטס. איר מוזט האַנדלען מיט דעם מאַטעריאַל מיט דער זעלבער זאָרג וואָס איר נוצט צו קונה דאַטן אין נאָרמאַלע אָפּעראַציעס. דאָס מיינט צו באַגרענעצן ווער קען צוטריטן צו די אַרבעטס פּאַפּירן פון די אוידיט, זיי סטאָרירן אין קאָנטראָלירטע רעפּאָזיטאָריעס, און קערפול טראַכטן וועגן וואָס איז אַרייַנגערעכנט אין פאָרמעלע באַריכטן וואָס קען זיין געטיילט ברייטער מיט קליענטן אָדער פונדרויסנדיקע אוידיטאָרן.

אלס א כלל, האַלט דעטאַלירטע, פּאָטענציעל אידענטיפיצירנדיקע באַווייַזן אין אינערלעכע אַרבעטס פּאַפּירן און סאַמערייז עס אין העכער-לעוועל באַריכטן ניצנדיק ציילונגען, מוסטערן און רעדאַקטירטע ביישפילן. אויב אַ טיקעט כּולל פּערזענלעכע דאַטן אָדער קאָנפידענציעלע קונה אינפֿאָרמאַציע, אַראָפּנעמען אָדער באַדעקן די עלעמענטן איידער איר לייגט עס אַריין אין אַן אַטאַטשמענט. ווען אין צווייפל, אַגראַגייט: זאָגן אַז "צען פון צוועלף סאַמפּאַלד אינצידענטן האָבן געהאַט אַ פולשטענדיק וואָרצל-סיבה אַנאַליסיס" איז יוזשאַוואַלי גענוג פֿאַר זיכערקייט אָן ויסשטעלן נעמען אָדער ספּעציפֿיש. א סטרוקטורירט ISMS וואָרקספּייס אָדער אָדיט מאָדול קען דורכפירן אַקסעס קאָנטראָלס און ריטענשאַן כּללים פֿאַר די רעקאָרדס, העלפּינג איר באַלאַנסירן גרונטלעך טעסטינג מיט פּריוואַטקייט און קאָנטראַקטואַל פליכטן.



פארוואנדלען אינערליכע אויספארשונגען אין א קליענט-פייסינג באווייז מאטאר

איר באַקומט פיל מער ווערט פון A.5.35 ווען אינערלעכע אויספאָרשונגען דינען אויך ווי אַ קליענט-פייסינג באַווייַז מאָטאָר. אויב איר באַהאַנדלט אומאָפּהענגיקע באריכטן בלויז ווי אַן אינערלעכע פאָדערונג, וועט איר פאַרפעלן אַ באַטייטיקן טייל פון זייער ווערט. פֿאַר MSPs, קען אַנעקס A.5.35 זיין דער מאָטאָר וואָס מאַכט גלאַטערע קליענט אויספאָרשונגען, שנעלערע זיכערהייט פֿראַגעבאָגן, שטאַרקערע רינואַל שמועסן און אפילו בעסערע מאַרדזשינס. דער שליסל איז צו דיזיינען אייערע אינערלעכע אויספאָרשונג רעזולטאַטן אַזוי אַז זיי קענען טיילווייז ווידערגענוצט ווערן, אין אַ קאָנטראָלירטן וועג, ווי עקסטערנע פארזיכערונג און ווערן אַ טייל פון ווי איר דעמאָנסטרירט פאַרלעסלעכקייט, נישט נאָר ווי איר באַפֿרידיקן אַן אויספאָרשער. ענטערפּרייז קאַסטאַמערז דערוואַרטן מער און מער באַווייַז אַז זייערע סאַפּלייערז טעסטן אַקטיוו קאָנטראָלס, נישט נאָר האַלטן פּאָליטיק. גיידאַנס וועגן ענטפֿערן זיכערהייט פֿראַגעבאָגן, אַזאַ ווי אַרטיקלען געצילט צו CISOs און ווענדאָר מאַנאַדזשערז, אונטערשטרייכט ווי אָפט קאַסטאַמערז פרעגן איצט פֿאַר ביישפילן פון טעסטינג, אינערלעכע אויספאָרשונג געפינסן און רעמעדיאַטיאָן אַקטיוויטעטן אלא ווי צופֿרידן מיט אַ פּאָליטיק אויסצוג אַליין.

פירמע קאסטומערס ערווארטן מער און מער באווייזן אז זייערע סאַפּלייערס טעסטן אקטיוו קאנטראלן, נישט נאר אויפהאלטן פאליסיס; אויב איר קענט ווייזן אז אייער MSP פירט רעגולערע אומאפהענגיקע באריכטן, רעקארדירט ​​געפינסן, און גייט נאך אויף פארבעסערונגען, גיט איר א קלארן באווייז אז אייער זיכערהייט ווערט געראטן, נישט אנגענומען.

פאַרוואַלטן דריט-פּאַרטיי ריזיקע און טראַקינג סאַפּלייער קאַנפאָרמאַטי איז געווען דערמאָנט ווי אַ שפּיץ אַרויסרופן דורך וועגן 41% פון אָרגאַניזאַציעס אין די 2025 ISMS.online אַנקעטע.

דיזיינט אינערלעכע באריכטן וואָס זענען גרינג צו ווידער-ניצן מיט קליענטן

אינערלעכע באריכטן וואָס שפּיגלען אָפּ טיפּישע קליענט פֿראַגעס זענען פֿיל גרינגער צו ווידער נוצן אין פֿאַרקויף און פֿאַרזיכערונג שמועסן. ווען איר שרײַבט אַן אומאָפּהענגיקן איבערבליק באַריכט, צילט צו אַ סטרוקטור וואָס שפּיגלט אָפּ טיפּישע קליענט פֿראַגעס. באַשטימט די קאָנטראָל אָדער טעמע, די אָביעקטיוו פֿון דער פּראָבע, די מעטאָדע געניצט, די פּעריאָדע באדעקט, די מוסטער קעראַקטעריסטיקס, די רעזולטאַט און קיין קאָרעקטיווע אַקציעס. למשל: "אָביעקטיוו: באַשטעטיקן אַז קוואַרטאַל אַקסעס איבערבליקן ווערן דורכגעפֿירט פֿאַר אַדמיניסטראַטאָר אַקאַונץ. מעטאָדע: געסאַמפּלט צען אַקאַונץ אַריבער דרייַ קאָר סיסטעמען פֿאַר די לעצטע צוויי קוואַרטאַלן; קאַמפּערד באַווייַזן פֿון איבערבליק און האַסקאָמע צו די אַקסעס פאַרוואַלטונג פּראָצעדור. רעזולטאַט: אַכט פֿון צען האָבן געהאַט גאַנץ באַווייַזן; צוויי האָבן נישט געהאַט קיין אונטערשרײַבונג; קאָרעקטיווע אַקציעס זענען אויפֿגעהויבן."

אויב אייערע באריכטן גייען נאך דעם מוסטער, קענט איר ארויסנעמען סעקציעס פאר קליענט דיו דילידזשענס קוועסטשאַנערס אדער צוטשעפּען אויסגעארבעטע קיצורים צו ווייזן אז איר טעסט אקטיוו קאנטראלן. איר דארפט נישט טיילן יעדן דעטאל; אפט איז גענוג איין אדער צוויי-זייטיגע קיצור פּער געגנט, פלוס א דערקלערונג פון וויפיל געפינסן זענען אויפגעבראכט געווארן און וויפיל זענען נאך אפן. וואס מער קאנסיסטענט אייער באריכטן פֿאָרמאַט, אלץ גרינגער איז עס פאר אקאונט מענעדזשערס און זיכערהייט פירער צו ענטפערן עקסטערנע פראגעס שנעל און זיכער.

מאַפּירן טעסץ צו פריימווערקס און פֿראַגעבאָגן וואָס אייערע קליענטן זאָרגן זיך וועגן

מאַפּירן אייערע טעסץ צו קליענט פריימווערקס לאָזט איין איבערבליק ענטפֿערן אויף פֿאַרשידענע פֿראַגעבאָגן. רובֿ פֿירמע קליענטן טראַכטן אין טערמינען פֿון זייערע אייגענע פריימווערקס: ISO 27001, SOC 2, ווײַט גענוצטע זיכערהייט פריימווערקס, סעקטאָר-ספּעציפֿישע רעגולאַציעס אָדער אינהויז קאָנטראָל קאַטאַלאָגן. פריימווערק פֿאַרגלײַך מאַטעריאַל, אַזאַ ווי גיידאַנס וואָס קאָנטראַסטירט ISO 27001 מיט SOC 2 אָדער דערקלערט ווי סעקטאָר רעגולאַציעס מאַפּן זיך צו קאָנטראָל שטעלט, ווײַזט ווי אָפֿט אָרגאַניזאַציעס פֿאַראַנקערן סאַפּלייער פֿאַרזיכערונג אין די סטרוקטורן איידער זיי איבערזעצן זיי אין באַשטעלטע פֿראַגעבאָגן. אויב איר פֿאַראייניקט אייער אינערלעכע אוידיט טשעקליסט מיט אַ פֿאַראייניקטן קאָנטראָל קאַטאַלאָג וואָס מאַפּירט אייערע טעסץ צו די פריימווערקס, קענט איר ענטפֿערן אויף אַ ברייטע קייט פֿון עקסטערנע בקשות מיט די זעלבע באַווײַזן. למשל, אַן איינציקער טעסט פֿון פּריווילעגירטע אַקסעס איבערבליקן קען שטיצן אַנעקס A רעקווייערמענץ, אָפֿט געבעטן סערוויס-אָרגאַניזאַציע קריטעריאַ און ווײַט אנערקענטע אידענטיטעט פאַרוואַלטונג פֿונקציעס.

אויפהאלטן די מאַפּירונג אין א צענטראלן רעגיסטער - צי אין א ספּרעדשיט צי, מער עפעקטיוו, אין אן ISMS פּלאַטפאָרמע - לאָזט אייך אויפזוכן וועלכע אינערלעכע אוידיט באַריכטן און באַווייַזן זענען פארבונדן מיט יעדער קליענט קשיא. ווען א פארקויפער קוועסטשאַנער קומט אָן מיט אַ פרעג "ווי אַזוי זאָרגט איר פֿאַר צייטיקע פּאַטשינג?" קענט איר גלייך ווײַזן אויף אייער לעצטיקע אומאָפּהענגיקע איבערבליק פון פּאַטש פאַרוואַלטונג, אַנשטאָט צו צוזאַמענשטעלן א נייע ענטפער פון פריש. מיט דער צייט, פאַרקירצט דער צוגאַנג די ענטפער צייטן, פֿאַרבעסערט די קאָנסיסטענסי צווישן ענטפֿערס, און ווײַזט פאר קליענטן אַז איר האָט א דערוואַקסענעם פארזיכערונג מאָדעל באַזירט אויף A.5.35.

רעדן וועגן רעזולטאַטן אָן אונטערמינעווען בטחון

רעדן אפן וועגן די געפינסן, און וואס איר האט געטאן וועגן זיי, בויט מער צוטרוי ווי זיך צו מאכן אז אלעס איז פערפעקט. אסאך MSP'ס זארגן זיך אז טיילן עפעס וואס האט צו טון מיט אינערליכע געפינסן וועט דערשרעקן קליענטן. אין פראקטיק, פארשטייען סאפיסטיקירטע קאסטומערס אז יעדע ערנסטע זיכערהייט פראגראם וועט אויפדעקן שוואכקייטן; וואס איז וויכטיג איז ווי איר רעאגירט. ווען איר דערקלערט אייער אומאפהענגיקע איבערבליק פראגראם, שטעלט עס פאר אלס א ציקל פון טעסטן און פארבעסערונג. למשל: "מיר פירן אויס קווארטאל אומאפהענגיקע טשעקס אויף אונזער בעקאפ סערוויס. אין דעם לעצטן ציקל האבן מיר אידענטיפיצירט לעכער אין די טעסט רעסטאָר דאקומענטאציע, מסכים געווען צו קארעקטיווע אקציעס, און קענען ווייזן אז די אקציעס זענען יעצט פארענדיגט."

אזא סארט דערציילונג בויט צוטרוי ווייל עס ווייזט אז איר זענט גרייט צו קוקן קריטיש אויף זיך און האנדלען לויט וואס איר געפינט. פארמיידט צו באהאלטן פראבלעמען; אנשטאט, שטעלט זיי אין קאנטעקסט, דערקלערט ווי איר האט אפגעשאצט ריזיקע, און באשרייבט די פארבעסערונגען וואס איר האט געמאכט. אייער מעגלעכקייט צו ווייזן אז אנעקס A.5.35 פירט צו באמערקבארע ענדערונגען - אפדעיטירטע פראצעדורן, בעסערע מאניטארינג, פארבעסערטע סערוויס לעוועלס - וועט אפט זיין וויכטיגער פאר קליענטן ווי א גאנץ ריינער באריכט. עס פארשטארקט אויך די געדאנק אז אומאפהענגיקע איבערבליק איז א טייל פון אייער ווערט פראפאזיציע, נישט נאר א קעסטל אפגעצייכנט פאר סערטיפיקאציע.



ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ


גאַווערנאַנס, מעטריקס, KPIs און טיפּיש אַנעקס A.5.35 גאַפּס אין MSPs

גאַווערנאַנס, מעטריקס און KPIs מאַכן A.5.35 פֿון אַ פּאַפּיראַרבעט־געניטונג אַ לעבעדיקן טייל פֿון אייער ISMS. אומאָפּהענגיקע איבערבליק איז נישט נאָר אַן אַקטיוויטעט; עס איז אַ טייל פֿון אייער גאַווערנאַנס־מאַשינעריע. אָן גרונטלעכע מעטריקס און קלאָרע השגחה, קענען איבערבליקן ווערן אַ קאָנפאָרמאַנס־ריטואַל וואָס קיינער נעמט נישט ערנסט. מיט די ריכטיקע מעטריקס און ריטמען ווערן זיי אַ קאָנסיסטענטע מקור פֿון אײַנבליק אין ווי גוט אייערע זיכערהייט־אַראַנזשירונגען אַרבעטן. אין דער זעלבער צײַט, טיילן פֿילע MSP'ס ענלעכע גאַפּס אין זייער אימפּלעמענטאַציע פֿון אַנעקס A.5.35, וואָס איר קענט באַהאַנדלען ווי דיזיין־פּראָבלעמען אַנשטאָט פּערזענלעכע דורכפֿאַלן.

KPIs וואָס ווייַזן אַז דיין אָפּשאַצונג פּראָגראַם אַרבעט

א קליינע, פאָקוסירטע סעט פון KPIs קען ווייַזן צי אייער אָפּשאַצונג פּראָגראַם איז געזונט אָן אייך צו דערטרינקען אין נומערן. איר דאַרפט נישט קיין דאַזאַנז פון אינדיקאַטאָרן צו פאַרוואַלטן אַנעקס A.5.35 עפעקטיוו. א קורצע ליסטע וואָס די פירערשאַפט פֿאַרשטייט איז געוויינטלעך גענוג. נוצלעכע ביישפילן אַרייַננעמען:

אין דער 2025 אנקעטע, האבן נאר ארום 29% פון ארגאניזאציעס געמאלדן אז זיי האבן נישט באקומען קיין קנסות פאר דאטן-שוץ דורכפעלער, וואס מיינט אז א קלארע מערהייט איז באשטראפט געווארן, מיט עטלעכע שטראפן וואס האבן איבערגעשטיגן £250,000.

  • געפלאנטע איבערבליקן פארענדיגט לויטן פלאן: – פּראָצענט איבערגעגעבן לויט דיין יערלעכן קאַלענדאַר.
  • רעזולטאַטן פּער איבערבליק: – נומער און ערנסטקייט, צו זען צי איר לערנט נאך.
  • דורכשניטלעכע צייט צו פארמאכן געפינסן: – ווי שנעל איר האַנדלט לויט וואָס איר אַנטדעקט.
  • איבערחזרנדיקע געפינסן: – פּראָבלעמען וואָס קומען צוריק, וואָס סיגנאַלירן אַ שוואַכע נאָכפֿאָלגונג.
  • קאַווערידזש פון הויך-ריזיקירטע באַדינונגען: – פּראָפּאָרציע פון ​​קריטישע באַדינונגען וואָס זענען זעלבשטענדיק איבערגעקוקט געוואָרן אין די לעצטע 12–18 חדשים.

נאכפאלגן די דאזיגע מיט דער צייט העלפט אייך דערקענען טרענדס: צי פארשווינדט איר כסדר די דאטומען פון די איבערבליק, צי קומען די זעלבע פראבלעמען צוריק ארויף, צי ווערן הויך-ריזיקירטע געביטן פארנאכלעסיגט? פרעזענטירט די מעטריקס אין מענעדזשמענט איבערבליק מיטינגען צוזאמען מיט קאמענטארן, נישט נאר ווי רויע נומערן. אויב איר זעט א שפרינג אין געפינסן ארום צוטריט מענעדזשמענט, קענט איר באשליסן צו אינוועסטירן אין נאָך מכשירים אדער טרענירונג. אויב די צייט צו פארמאכן געפינסן וואקסט, קען דאס זיין א סימן פאר רעסורסן באגרענעצונגען אדער אומקלארע אייגנטומערשאפט וואס דארף אויפמערקזאמקייט.

געמיינזאמע אַנעקס A.5.35 גאַפּס MSPs פאַלן אין

פילע MSP'ס מאַכן ענלעכע טעותים ווען זיי פּרובירן ערשט צו ימפּלעמענטירן A.5.35, און דערקענען זיי פרי העלפט איר ויסמיידן איבערראַשונגען. אַריבער פאַרשידענע אָרגאַניזאַציעס, קעסיידערדיקע שוואַכקייטן ווייַזן זיך אין אומאָפּהענגיקע אָפּשאַצונג פּראָגראַמען:

  • קיין דאקומענטירטע פּראָצעדור: – רעצענזיעס זענען אד-האָק און נישט קאנסיסטענט.
  • שוואַכע זעלבשטענדיקייט: – דער זעלביקער מענטש דיזיינט, פירט און "איבערקוקט" קאנטראלן.
  • ספּאָראַדישע קאַדענץ: – רעצענזירט קלאַסטער איידער אוידיטס אַנשטאָט צו נאָכפאָלגן אַ פּלאַן.
  • דין דאקומענטאציע: – אומקלאָרער פאַרנעם, ווייניק באַווייזן פון טעסץ, שוואַכע טראַקינג פון אַקציעס.

די לעכער זענען וויכטיג ווייל זיי אונטערמינירן סיי צוטרוי און סיי קאנפארמענץ. א סערטיפיקאציע אוידיטאר קען אויפהייבן נישט-קאנפארמאציעס אויב זיי קענען נישט זען א סטרוקטורירטן, אומאפהענגיקן פראצעס. א קליענט קען פרעגן אייער מאטוריטעט אויב איר קענט נישט פראדוצירן פרישע איבערבליק באריכטן. אינערליכע סטעיקהאלדערס פארלירן צוטרוי אויב די געפינסן פארשווינדן אין אימעיל אשכולות. באהאנדלען די אלס געוויינליכע דיזיין פראבלעמען מאכט עס גרינגער צו אדרעסירן זיי קאנסטרוקטיוו אנשטאט דעפענסיוו.

שנעלע געווינסן וואָס איר קענט דערגרייכן אין די קומענדיקע 60-90 טעג

א פאָקוסירטע 60-90-טאָגיקע שטופּ קען ברענגען קענטיקע פּראָגרעס און באַוועגן אייער A.5.35 אימפּלעמענטאַציע צו אַ מער גלויבווערדיקן שטאַנד. איר דאַרפט נישט גלייך סאָלווען יעדן מעגלעכן ריס. הייבט אָן מיט שרייבן אָדער דערהייַנטיקן אַן אומאָפּהענגיקע איבערבליק אָדער אינערלעכע אוידיט פּראָצעדור וואָס דעפינירט ציל, פאַרנעם, אומאָפּהענגיקייט קריטעריאַ, פּלאַנירונג, דורכפירונג און באַריכטן. דערנאָך, שאַפֿט אַ פּשוטן צוועלף-חודשיקן איבערבליק פּלאַן וואָס ליסט וועלכע געביטן איר וועט אָפּשאַצן און ווען, פֿאַרבונדן מיט אייער ריזיקאָ מאָדעל. דערנאָך, שטעלט אויף אַ גרונטיקן לאָג פֿאַר געפינסן און קאָרעקטיווע אַקציעס מיט אייגנטימער און פאַל-דאַטעס, ידעאַל אין אַ געטיילט סיסטעם אַנשטאָט אַ פּערזענלעכער ספּרעדשיט.

צום סוף, פירט אויס א פּילאָט איבערבליק ניצנדיק די נייע פּראָצעדור, צילנדיק אויף א הויך-ווערטיקן געביט ווי צוטריט פאַרוואַלטונג, באַקאַפּ, אדער אינצידענט רעאַקציע. ניצט דעם ציקל צו פֿאַרבעסערן אייערע טשעקליסטן, סאַמפּלינג צוגאַנג און באַריכט פֿאָרמאַט. כאַפּט לעקציעס געלערנט און פֿירט זיי אריין אין אייער גאַווערנאַנס פּראָצעס. אויב איר ניצט אַן ISMS פּלאַטפאָרמע ווי ISMS.online, קאָנפיגורירט איר אינערלעכער אוידיט אָדער איבערבליק מאָדול צו שטיצן דעם מוסטער, אַזוי צוקונפֿטיקע ציקלען זענען גרינגער צו פּלאַנירן און איבערחזרן. ווען אוידיטאָרן אָדער קליענטן פרעגן ווי איר האַנדלט מיט אומאָפּהענגיקע איבערבליק, וועט איר דעמאָלט קענען באַשרײַבן אַ לעבעדיקע, עוואָלווינג פּראָגראַם אַנשטאָט אַן אַספּיראַציע.



בוך אַ דעמאָ מיט ISMS.online הייַנט

ISMS.online העלפט אייך פארוואנדלען אנאקס A.5.35 פון א שווערע פארפליכטונג אין א סטרוקטורירטן, איבערחזרנדיקן פארזיכערונג ציקל וואס פאסט צו ווי אייער MSP ארבעט טאקע. אנשטאט זשאגלירן ספּרעדשיטס, אימעיל אשכולות און צעשפרייטע באווייזן, קענט איר פירן אייער גאנצע איבערבליק פראגראם אין איין ארבעטס-פלאץ: פלאנירן סקאופס און סקעדזשולס, באשטימען איבערקוקער מיט א פאסיגע צעשיידונג פון קאנטראל אייגענטימער, רעפערענצירן באווייזן פון אייערע עקזיסטירנדע מכשירים, נאכפאלגן געפינסן, און דעמאנסטרירן א פארמאכונג. א קורצע, געפירטע סעסיע איז אפט דער גרינגסטער וועג צו זען צי דער צוגאנג פאסט צו אייערע אייגענע A.5.35 אמביציעס.

זעט אַנעקס A.5.35 ארבעטן אינעווייניק פון א סטרוקטורירטן ISMS

זען אַנעקס A.5.35 מאָדעלירט אין ISMS.online מאכט די קאָנטראָל פיל גרינגער צו דערקלערן צו קאָלעגן, אוידיטאָרן און קליענטן. איר קענט אויספאָרשן איינגעבויטע טעמפּלאַטן פֿאַר אינערלעכע אוידיטאָרן און אומאָפּהענגיקע איבערבליקן, זיי צופּאַסן צו ISO 27001 פּונקט 9.2 און אַנעקס A קאָנטראָלן, און זיי צושניידן פֿאַר אייערע סערוויס ליניעס און קונה קאַמיטמאַנץ. ראָלע-באַזירט אַקסעס און וואָרקפלאָוז העלפֿן איר ווייַזן אומאָפּהענגיקייט דורך קלאָר צעשיידן ווער אָפּערירט קאָנטראָלן פון ווער איבערבליקט זיי. ISMS.online'ס אייגענע אינערלעכע-אוידיט גיידאַנס כיילייץ ווי ראָלע-באַזירט אַקסעס, סטרוקטורירטע וואָרקפלאָוז און באַווייַז רעגיסטערס שטיצן די צעשיידונג אין פּראַקטיק, מאכן עס גרינגער צו ווייַזן אָביעקטיוויטי ווען אוידיטאָרן פרעגן ווער טשעקט אייערע קאָנטראָלן.

דאַשבאָרדז געבן פירערשאַפט אַן גלייך בליק אויף אָפּשאַצונג סטאַטוס, אָפענע געפינסן און פּראָגרעס פון רעמעדיאַציע, שטיצן שטאַרקערע פאַרוואַלטונג אָפּשאַצונגען און באָרד דערהייַנטיקונגען.

קלייַבט אויס דעם ווײַטערדיקן שריט וואָס פּאַסט צו אײַער ראָלע

דער ריכטיקער ווייטערדיקער שריט ווענדט זיך אין אייער ראלע, און אן ערשטע סעסיע זאל זיך פילן ווי א פראקטישע אויספארשונג אנשטאט א פארקויף געשעעניש. אויב איר זענט א גרינדער אדער אפעראציעס פירער, קענט איר זיך קאנצענטרירן אויף ווי א סטרוקטורירטע איבערבליק פראגראם באשיצט איינקונפט, פארגלייכט קליענט אוידיטס און רעדוצירט לעצטע-מינוט פייערלעשעריי. אויב איר זענט א זיכערהייט אדער קאמפלייענס פירער, קענט איר זיך טיפער אריינלייגן אין אוידיט פלאנירונג, באווייזן מענעדזשמענט און מאפירונג צו אנדערע פריימווערקס ווי SOC 2 אדער ברייט גענוצטע זיכערהייט פריימווערקס. קאנסולטאנטן און ווירטועלע CISOs קענען אויספארשן ווי צו סטאנדארדיזירן אנאקס A.5.35 פראגראמען איבער קייפל MSP קליענטן אין באזונדערע ארבעטס-פלעצער.

איר קענט זען די מוסטערן אין פראקטיק אין א קורצער דעמא און דערנאך באשליסן צי די סביבה איז ריכטיג פאר אייער MSP. קלייבט ISMS.online ווען איר ווילט אז אנעקס A.5.35 זאל שטיצן סיי פארזיכערונג און סיי וואוקס, נישט נאר סערטיפיקאציע. אויב איר ווערטשאצט סטרוקטורירטע באווייזן, אוידיטאר-פריינדלעכע באריכטן און נידעריגערע אוידיט דרוק פאר אייערע אינזשענירן, איז ISMS.online גרייט צו העלפן אייער MSP בויען אן אומאפהענגיקע איבערבליק פראגראם וואס ארבעט אין דער ווירקלעכקייט ווי אויך אויף פאפיר.

ספר אַ דעמאָ


אָפֿט געשטעלטע פֿראגן

איר דאַרפֿט דאָ נישט קיין איבערשרײַבן; איר דאַרפֿט די קריטיק אַרויסגענומען, נישט קאָפּירט.

יעצט איז אייער "קריטיק" בלאק כמעט א ווארט-צו-ווארט איבערחזרן פונעם FAQ דראַפט. דעריבער גיט וואס אימער גיט דעם אינהאַלט נאך אלץ צוריק 0 – עס זעט צוויי כמעט אידענטישע FAQ סעטן איינס נאכן אנדערן.

דאָ איז וואָס צו טאָן אין אַטאָמישע טריט:

  1. האַלט נאָר איין קאָפּיע פֿון די אָפֿט געשטעלטע פֿראַגעס
    אויסמעקן אַלץ אונטער ## Critiqueאייער ארבעטס-דראַפט זאָל נאָר זיין דער ערשטער FAQ בלאָק (פון "### וואָס פארלאנגט ISO 27001:2022 אַנעקס A.5.35 טאַקע פון ​​אַן MSP?" ביזן לעצטן פּאַראַגראַף וועגן אַנעקס L-סטיל IMS).

  2. אַראָפּנעמען די "## געשיכטע / ## אויפגאַבע / ## אָפֿט געשטעלטע פֿראַגעס דראַפֿט / ## קריטיק" סקאַפֿאָולדינג
    פֿאַר אַ לעבעדיקע FAQ בלאַט ווילט איר נאָר די H3s און גוף קאָפּיע. אַלע מעטאַ לייבלס און סעקציע נעמען (געשיכטע, אַרבעט, דראַפט, קריטיק) זאָלן אַוועקגענומען ווערן איידער פּובליקירן.

  3. פֿאַרשטאַרקן אַ פּאָר קלייניקייטן פֿאַר קלאַרקייט און דופּליקאַציע
    אויב איר ווילט אַ לייכט ריינע ווערסיע גרייט צו פּאַפּן, דאָ איז עס מיט קליינע ענדערונגען און קיין מעטאַ ראַפּערז:

וואָס פארלאנגט ISO 27001:2022 אַנעקס A.5.35 טאַקע פֿון אַן MSP?

אַנעקס A.5.35 ערוואַרטעט אַז אייער MSP זאָל דורכפירן פּלאַנירטע, דאָקומענטירטע און אָביעקטיווע איבערבליקן פון ווי איר פאַרוואַלטעט אינפֿאָרמאַציע זיכערהייט, נישט נאָר אַן איינמאָליקע קאָנטראָל איידער סערטיפֿיקאַציע. איר דעפינירט וואָס איז אין פאַרנעם, ווי אָפט עס ווערט איבערגעקוקט, ווער איבערקוקט עס, וועלכע קריטעריאַ זיי נוצן, און ווי איר רעקאָרדירט ​​און האַנדלט אויף די רעזולטאַטן.

ווי זעט אויס "אומאפהענגיקע איבערבליק" פאר א מענעדזשד סערוויס פראוויידער?

פֿאַר רובֿ MSPs, ווערט אַנעקס A.5.35 רעאַל ווען איר:

  • שרייבט א קורצע פּראָצעדור וואָס דערקלערט ווי אומאָפּהענגיקע רעצענזיעס אדער אינערלעכע ISMS אוידיטס ווערן פּלאַנירט, דורכגעפירט און באַריכטעט.
  • בויט אַ קאַלענדאַר פון רעצענזיעס פֿאַרבונדן מיט אייערע סערוויסעס, ריזיקעס און גרויסע ענדערונגען, אַנשטאָט זיך צו פֿאַרלאָזן אויף אַן איינציקער יערלעכער דורכקוק.
  • באַשטימען רעצענזענטן וואָס זענען נישט פאַראַנטוואָרטלעך פֿאַר די אָפּעראַציע פון ​​די קאָנטראָלס וואָס זיי טעסטן, אַזוי זיי קענען געבן אַן אָביעקטיוון מיינונג.
  • כאַפּט אָפּ איבערבליק פּלענער, מוסטערן, געפינסן און קאָרעקטיווע אַקשאַנז אין אַ וועג וואָס איר קענט ווייַזן צו אָדיטאָרס און קאַסטאַמערז.

יענע סטרוקטור פארוואנדלט A.5.35 פון א וואגע לייבל אין א קאנקרעטע, איבערחזרנדיקע פארזיכערונג אקטיוויטעט וואס פאסט צו אייער גרייס, קליענט פראפיל און סערוויס קאטאלאג.

ווי איז אַנעקס A.5.35 אַנדערש פֿון פּונקט 9.2 אינערלעכער אויספֿאָרשונג?

פּונקט 9.2 איז וועגן אויספאָרשן אייער ISMS קעגן ISO 27001 און אייערע אייגענע באדערפענישן, בשעת אַנעקס A.5.35 פאָקוסירט אויף איבערקוקן אייערע אַלגעמיינע זיכערהייט אַראַנזשירונגען זעלבשטענדיק צו באַשטעטיקן אַז זיי בלייבן פּאַסיק, אַדאַקוואַט און עפעקטיוו. רובֿ MSPs דעקן מיט שכל ביידע דורך פירן אַן איינציקע אינערלעכע אויספאָרשונג פּראָגראַם וואָס:

  • טעסט צי אייער ISMS טרעפט ISO 27001 און אייערע פאליסיס (קלאז 9.2), און
  • כולל רעגולערע, ריזיקאָ-באזירטע טשעקס אַז אייערע קאָנטראָלס אַרבעטן טאַקע אין פּראַקסיס (A.5.35).

אוידיטאָרן זאָרגן זיך אַז איבערבליקן זאָלן זײַן פּלאַנירט, אָביעקטיוו און פֿירן צו קענטיקע פֿאַרבעסערונג, נישט נאָר אַן איינמאָל-אַ-יאָריקע פּאַפּיראַרבעט געניטונג.

ווי אזוי העלפט ISMS.online אייך באווייזן אנעקס A.5.35?

ISMS.online גיט אייך איין ארבעטס-פלאץ צו:

  • אויפֿהיטן אייער אומאָפּהענגיקע איבערבליק אָדער אינערלעכע אוידיט פּראָצעדור.
  • בויען אַ יערלעכן און מער־יאָריקן איבערבליק־פּלאַן פֿאַרבונדן מיט ריזיקעס און סערוויסעס.
  • באַשטימען רעצענזענטן מיט ראָלעס אפגעטיילט פון קאָנטראָל אייגנטימער.
  • רעפערענץ באווייזן פון טיקעטינג, מאָניטאָרינג, באַקאַפּ און אידענטיטעט מכשירים.
  • נאָכפאָלגן די געפינסן, קאָרעקטיווע אַקציעס און איבערטעסטן ביזן סוף.

ווען אַ סערטיפיקאַציע גוף אָדער פירמע קונה פרעגט "ווייַז מיר דיין לעצטע אומאָפּהענגיקע באריכט", קענט איר עפענען דעם באַטייַטיקן נומער אין ISMS.online, דורכגיין דעם פּלאַן, ביישפילן און אַקציעס, און עקספּאָרטירן אַ קורצע קיצער אַנשטאָט צו זוכן איבער טעקעס און אימעיל פֿעדעם.

אויב איר ווילט אַז אַנעקס A.5.35 זאָל זיך פילן ווי אַ קאָנטראָלירטער זיכערהייט פּראָצעס אַנשטאָט אַ וואַגע פאָדערונג, איז צענטראליזירן עס אין אַן ISMS.online וואָרקספּייס געוויינטלעך דער ריינסטער ווייטערדיקער שריט.

ווי קען אַ קליינע MSP דעמאָנסטרירן "אומאפהענגיקע" איבערבליק מיט אַ קליינעם זיכערהייטס-מאַנשאַפֿט?

א קליינע MSP קען דעמאנסטרירן אומאפהענגיקייט דורך צעטיילן ראלעס און באריכטן ליניעס, אפילו אויב איר האט נאר איין אדער צוויי זיכערהייט ספעציאליסטן. אומאפהענגיקייט דא מיינט אז די מענטשן וואס אנאליזירן און באשטעטיגן די איבערבליק זענען נישט די זעלבע מענטשן וואס פלאנירן און אפערירן די קאנטראלן וואס ווערן געטעסט.

וואָס פּראַקטישע אָפּציעס עקזיסטירן ווען איר האָט זייער ווייניק מענטשן?

אין אַ 10–50 פּערזאָן MSP, זעט זעלבשטענדיקייט אָפט אויס ווי:

  • א עלטערער אפעראציעס, פינאנץ אדער מענעדזשינג דירעקטאר וואס באשטעלט און איז אייגענטומער פון די איבערבליק.
  • עמעצער אַרויס פון טעגלעכער זיכערהייט (סערוויס צושטעלן, פינאַנץ, HR אָדער אַן עקסטערנער ראַטגעבער) וואָס גייט נאָך אַ טשעקליסט, דורכקוקט באַווייזן און שרייבט דעם באַריכט.
  • דער זיכערהייטס-פירער גיט לאגס, טיקעטן און דערקלערונגען, אבער נישט "מארקירן זייער אייגענע היים-ארבעט".

איר קענט דאָס פֿאַרשטאַרקן דורך:

  • אראפשרייבן איינפאכע קאנפליקט-פון-אינטערעס רעגולאציעס אזוי אז א קאנטראל אייגענטימער קען נישט איבערקוקן זיין אייגענעם געגנט.
  • דאָקומענטירן צו וועמען די רעצענזענטן באריכטן און ווי זייערע מסקנות ווערן פארשפרייט.
  • דיסקוטירן די רעזולטאטן אין מענעדזשמענט רעוויו מיטינגען, וואו זיכערהייט איז איינע פון ​​עטלעכע פערספעקטיוון.
  • ניצן אַן אויסערלעכן קאָנסולטאַנט טייל מאָל פֿאַר הויך-ריזיקירטע טעמעס אָדער צו וואַלידירן דיין אַלגעמיינעם צוגאַנג.

אוידיטאָרן און קליענטן ווילן בעיקר הערן א קלארע געשיכטע: ווער רעצענזירט וואָס, פארוואס זיי זענען אומאפהענגיק פון דער ארבעט וואס ווערט געטעסט, און ווי די פירערשאפט ניצט די רעזולטאטן.

ווי שטיצט ISMS.online זעלבשטענדיקייט אָן עקסטרע אַרבעטער?

אין ISMS.online קענט איר:

  • צוטיילן פארשידענע ראָלעס צו קאָנטראָל אייגנטימער און רעצענזענטן.
  • קאָנטראָלירן צוטריט צו אוידיט רעקאָרדס אַזוי אַז ריוויוערס זאָלן האַלטן אָביעקטיוויטעט.
  • ווייזן באריכטן ליניעס און איבערקוקן רעזולטאטן דורך מענעדזשמענט איבערבליק רעקארדס.
  • צוטשעפּען קאָנפליקטן-פון-אינטערעסן סטעיטמענטס און רעצענזענט פּראָופיילן צו די באַטייַטיק אַקטיוויטעטן.

דאָס מאַכט אייער זעלבשטענדיקייט מאָדעל אונטער אַנעקס A.5.35 פיל גרינגער צו דערקלערן און באַווייַזן, אפילו ווען איר האָט נישט קיין פאָרמעלע אינטערנע אוידיט אָפּטיילונג.

אויב איר ווילט אריבערגיין פון "טרויט אונדז, מיר קאָנטראָלירן זאכן" צו אַ דאָקומענטירטן זעלבשטענדיקייט מאָדעל וואָס איר קענט ווייַזן אויף דעם עקראַן מיט אַ פּאָר קליקן, גיט ISMS.online אייך די סטרוקטור אָן צו צווינגען אייך צו וואַקסן אייער מאַנשאַפֿט.

ווי זאָל אַן MSP דיזיינען אַ ריזיקאָ-באַזירט אינטערנאַל אוידיט פּראָגראַם וואָס פֿאַרפלייצט נישט די אינזשענירן?

איר האַלט רעצענזיעס פאַרוואַלטלעך דורך פאָקוסירן מי דאָרט וואו דורכפאַל וואָלט שאַטן מערסטנס און נעמען מוסטערן פון אַלץ אַנדערש איבער צייט. דאָס מיינט ניצן ריזיקע צו פירן אייער אוידיט קאַלענדאַר אַנשטאָט צו פּרובירן דורכקוקן יעדן קאָנטראָל אין טיפקייט יעדעס יאָר.

ווי באַשליסט איר וואָס צו רעצענזירן און ווי אָפט?

א פּראַקטישער מוסטער איז צו:

  • מאַפּע קערן סערוויסעס - געראטן נעטוואָרקס, באַקאַפּ, אידענטיטעט, מאָניטאָרינג, אינצידענט ענטפער - צו קאַנפאַדענשיאַלאַטי, אָרנטלעכקייט און אַוויילאַביליטי פּראַל.
  • געבן א ראטע פאר סערוויסעס און קאנטראל געביטן הויך, מיטל אדער נידעריג ניצנדיג דאטן סענסיטיוויטי, רעגולאטורישע אויסשטעלונג און פארגאנגענע אינצידענטן.
  • פּלאַנירט אייער איבערבליק קאַלענדאַר אַזוי אַז הויך-ריזיקירטע טעמעס (פּריווילעגירטער צוטריט, פּאַטשינג, רעסטאָר טעסטן, אינצידענט האַנדלינג) באַקומען מער אָפטע איבערבליקן און אַ ביסל טיפערע סאַמפּלינג.
  • ראָטירן נידעריקער-ריזיקירטע געביטן אויף אַ לענגערן ציקל, אַנשטאָט זיי צו איגנאָרירן.

יעדע איבערבליק קען נאכפאלגן א לייכטן, איבערחזרנדיקן פראצעס:

  1. באַשטעטיקן דעם פאַרנעם און צילן אין אַ קורצן פּלאַן.
  2. אידענטיפיצירן קריטעריאַ: פּאָליטיקס, קאָנטראַקט קאַמיטמאַנץ, קיין פונדרויסנדיק סטאַנדאַרדס.
  3. דעפינירן ביישפילן: טיקעטס, ענדערונג רעקאָרדס, לאָגס, באריכטן.
  4. פּרוביר די מוסטערן און רעקאָרדיר באַווײַזן.
  5. כאַפּן די געפינסן, וואָרצל-אורזאַכן און מסכים געווען אַקציעס מיט די אייגנטימער און דאַטעס.

דורך צייט-באגרענצן וויפיל שעה רעצענזענטן און אינזשענירן ווערן ערווארטעט צו פארברענגען, און צופּאַסן רעצענזיעס צו עקזיסטירנדע ריטמען (ספּרינטס, CAB מיטינגען, אויפהאלטונג פֿענצטער), פֿאַרמייַדט איר דעם "אוידיט וואָס עסט דעם קוואַרטאַל". אינזשענירן ווייסן ווען רעצענזיעס קומען, וואָס וועט געפֿרעגט ווערן און ווי לאַנג עס וועט נעמען, אַזוי אַנעקס A.5.35 פֿילט זיך ווי אַ טייל פֿון נאָרמאַלער אַרבעט אַנשטאָט אַ שטערנדיקער זייט-פּראָיעקט.

ווי אזוי מאכט ISMS.online א ריזיקע-באזירטע פראגראם גרינגער צו פירן?

ISMS.online העלפט אייך:

  • בויען אַ ריזיקאָ-באַזירטן אוידיט פּלאַן פֿאַרבונדן מיט סערוויסעס, אַסעץ און ISO 27001 קאָנטראָלס.
  • ניצט ווידער טעמפּלאַטן פֿאַר אוידיט פּלענער, טשעקליסטן און באַריכטן אַזוי אַז יעדע איבערבליק פֿאָלגט דעם זעלבן פּשוטן מוסטער.
  • באַשטימען און נאָכפאָלגן אַקציעס, דעדליינז און איבערפּרובן אין איין אָרט.
  • זעט אויף א בליק וועלכע געביטן זענען איבערגעקוקט געווארן, וועלכע זענען פאליג און וואו איבערחזרנדיקע געפינסן דערשיינען.

יענע סטרוקטור האַלט די פּראָגראַם שלאַנק אָבער עפעקטיוו. אויב איר ווילט ווייַזן אַז איר נעמט אַ ריזיקאָ-באַזירט צוגאַנג אָן צו מאַכן אַודיץ אין אַ פול-צייט אַרבעט, איז ניצן ISMS.online ווי דער צענטער פֿאַר אייערע אַנעקס A.5.35 באריכטן אַ קלאָרער שריט.

וואָסערע באַווײַזן זאָל אַן MSP זאַמלען צו באַווײַזן אַז אַנעקס A.5.35 איז עפֿעקטיוו דורכגעפֿירט?

כדי צו באַפרידיקן אַנעקס A.5.35 דאַרפט איר ווייַזן אַז אומאָפּהענגיקע איבערבליקן פּאַסירן און אַז זיי פּרובירן די פאַקטישע קאָנטראָל אָפּעראַציע אַנשטאָט נאָר באַשטעטיקן אַז דאָקומענטן עקזיסטירן. א קליינע, קאָנסיסטענטע באַווייַז זאַמלונג גיט געוויינטלעך אָדיטאָרס און קאַסטאַמערז די בטחון וואָס זיי דערוואַרטן.

וועלכע דאקומענטן און ארטיפאקטן זוכן אוידיטארן געווענליך?

טיפּישע באַווײַזן אַרייַננעמען:

  • א קורצע, דאקומענטירטע פּראָצעדור פֿאַר אינערלעכע ISMS אוידיטס אדער אומאָפּהענגיקע איבערבליקן.
  • אַ יערלעכער אָדער מער־יאָריקער פּלאַן וואָס באַשטימט וואָס וועט ווערן איבערגעקוקט, ווען און דורך וועמען.
  • יחידישע איבערבליק סקאַפּס אָדער פּלענער וואָס באַשרײַבן צילן, קריטעריאַ און מוסטערן.
  • ארבעטס פאפירן אדער באווייז ליסטעס וואס ווייזן אויסגעקליבענע בילעטן, ענדערונגען, בעקאפ באריכטן, צוטריט באריכטן, אינצידענט לאגס און ענלעכע רעקארדס.
  • קלאָרע רעקאָרדס פון געפינסן, וואָרצל-אורזאַכן און געלעגנהייטן פֿאַר פֿאַרבעסערונג.
  • א קארעקטיווע-אקציע לאג מיט אייגענטימער, דעפיניציע דאטומען און באווייזן פון פארמאכונג.
  • מענעדזשמענט איבערקוק פראטאקאלן וואו רעזולטאטן און באשלוסן זענען קענטיק פאר דער פירערשאפט.

רובֿ פון די רוי מאַטעריאַל עקזיסטירט שוין אין אייער מכשירים. סערוויס דעסק טיקעטס, ענדערונג רעקאָרדס און מאָניטאָרינג דאַשבאָרדז קענען אַלע דינען ווי אומאָפּהענגיקע איבערבליק באַווייַזן אויב איר קלייַבן רעפּרעזענטאַטיווע סאַמפּאַלז און פאַרבינדן זיי צו ספּעציפֿישע טעסץ און מסקנות. איר דאַרפֿן נישט צו האַלטן יעדן לאָג; איר דאַרפֿן גענוג צו ווייַזן אַז עמעצער געקוקט אויף פאַקטיש טעטיקייט און געמאכט אַן אָביעקטיוו משפט.

איבער אַ פּאָר ציקלען, וועט איר נאַטירלעך צוזאַמענשטעלן אַ "פאַרזיכערונג פּאַק" וואָס ווערט פון גרויס וויכטיקייט פֿאַר פארקויפער פֿראַגעבאָגן, קונה אויספֿאָרשונגען און ריסערטיפיקאַציע.

ווי אזוי העלפט ISMS.online אייך אָרגאַניזירן און צוריקקריגן יענע באַווײַזן?

מיט ISMS.online איר קענען:

  • פֿאַרבינד יעדע איבערבליק צו די באַטייַטיקע קאָנטראָלן, ריזיקעס און סערוויסעס.
  • צוטשעפּען אָדער רעפֿערירן באַווײַזן פֿון אָפּעראַציאָנעלע מכשירים אָן דופּליקירן אַלץ.
  • פירן איין רעגיסטער פון געפינסן און קארעקטיווע אקציעס אין אלע רעצענזיעס.
  • שאַפֿן עקספּאָרטן אָדער סאַמעריז צוגעפּאַסט צו אָדאַטאָרן אָדער קאַסטאַמערז.

אנשטאט זיך דורכצושלעפן אימעילס, סקרינשאטס און שערד דרייווס ווען איינער זאגט "באווייז אז די קאנטראל איז געווארן אומאפהענגיק איבערגעקוקט", קענט איר ווייזן די איבערבליק, ביישפילן און אקציעס פון איין ISMS.online סקרין. דאס מאכט אנעקס A.5.35 פיל ווייניגער סטרעספול פאר אייער מאַנשאַפֿט און מער איבערצייגנדיק פאר פרעמדע.

ווי אָפט זאָל אַן MSP דורכפירן אומאָפּהענגיקע רעצענזיעס אונטער אַנעקס A.5.35, און ווי רעכטפארטיגט איר אייער פּלאַן?

אַנעקס A.5.35 זאָגט אַז איבערקוקן מוזן פּאַסירן אין פּלאַנירטע צייטן און נאָך באַדייטנדיקע ענדערונגען, אָבער עס לאָזט די גענויע אָפטקייט איבער צו אייער ריזיקאָ-באַזירטן משפט. דער שליסל איז אַז אייער פּלאַן מאַכט זינען ווען איר דערקלערט עס קעגן אייערע סערוויסעס, קאָנטראַקטן און אינצידענט געשיכטע.

ווי זעט אויס אַ קלוגע אָפּשאַצונג קאַדענץ פֿאַר MSP'ס?

פילע MSP'ס ניצן אַ סטרוקטור ווי:

  • איין פאָרמעלע, פולשטענדיקע אומאפהענגיקע איבערבליק יעדעס יאָר וואָס באַדעקט די ISMS און קערן סערוויסעס.
  • קוואַרטאַלע אָדער זעקס-מאָנאַטלעכע, שמאָלערע איבערבליקן פֿאַר הויך-ריזיקירטע טעמעס ווי פּריווילעגירט אַקסעס, פּאַטש דיפּלוימאַנט, באַקאַפּ רעסטאָר הצלחה אָדער אינצידענט האַנדלינג.

איר קענט דעמאָלט באַרעכטיקן אייערע ברירות דורך:

  • פֿאַרבינדן פֿרעקווענצן צו אײַער ריזיקאָ רעגיסטער און סערוויס קאַטאַלאָג, למשל איבערקוקן סערוויסעס וואָס האַנדלען מיט רעגולירטע דאַטן אָדער גרויסע קאָנטראַקטן אָפֿטער.
  • אויסרופן עקסטרע באריכטן נאָך גרויסע פּלאַטפאָרמע ענדערונגען, גרויסע קונה אָנבאָאַרדינגז אָדער ערנסטע אינצידענטן.
  • אַדזשאַסטירן קאַדענס ניצן טרענד דאַטן-קאָנטראָלס וואָס קאָנסיסטענטלי פונקציאָנירן גוט קען אריבערגיין צו אַ ביסל לענגערן ציקל, בשעת ריפּיטיד פּראָבלעמען שטרענגערן דעם פּלאַן.

ווען אוידיטאָרן אדער קאַסטאַמערז פרעגן "פארוואס די אָפטקייט?", איז קענען ווײַזן אויף אַ געשריבענע ריזיקאָ מאָדעל און ענדערונג-געשיכטע פיל שטאַרקער ווי ציטירן אַ כלל.

ווי אזוי העלפט ISMS.online אייך פארטיידיקן און אדאפטירן אייער קאדענץ?

אין ISMS.online קענט איר:

  • רעקאָרדירט ​​די באַגרינדונג פֿאַר יעדער אָפּשאַצונג'ס אָפטקייט קעגן ספּעציפֿישע באַדינונגען, קאָנטראָלס און ריסקס.
  • זעט קומענדיקע, אין-פּראָגרעס און שפּעט-געפֿאַלענע רעצענזיעס אין איין אָרט.
  • פֿאַרבינדט רעצענזיעס צו אינצידענטן און ענדערונגען כּדי איר זאָלט קענען ווײַזן ווען נאָך קאָנטראָלן זענען אַקטיוויזירט געוואָרן.
  • געבן פירערשאפט א פשוטן בליק אויף פארזיכערונג קאַווערידזש און טרענדס איבער צייט.

אויב איר ווילט אַז אַנעקס A.5.35 זאָל זיך פילן ווי אַ לעבעדיקער, ריזיקאָ-געטריבענער פּראָצעס, קענט איר עס דערקלערן אין אַ פּשוטער שפּראַך. כאַפּן אייער פּלאַן און באַגרינדונג אין ISMS.online איז אַן עפֿעקטיווער וועג צו דערגרייכן דאָס.

ווי קענען MSP'ס פארוואנדלען אנאקס A.5.35 אינערליכע אוידיטס אין א קליענט-פארזיכטיגן פארזיכערונגס-אויסגיס?

איר קענט פארוואנדלען אייערע אינערליכע באריכטן אין א קאמערציעלן פארמעגן דורך זיי צו דיזיינען צו ענטפערן די פראגעס וואס אייערע קאסטומערס פרעגן בעת ​​דיו דילידזשענס און באנייאונגען. ווען אנעקס A.5.35 טעסטן ווערט געבויט מיט קליענטן אין זינען, ווערט עס מאטעריאל פאר שטארקערע זיכערהייט פארזיכערונגען אנשטאט נאר אן אינערליכע קאנטראל.

ווי אזוי פאָרעמט מען רעצענזיעס אַזוי אַז זיי שטיצן פארקויפונגען און באַנייַונגען?

א פשוטער מוסטער וואָס אַרבעט גוט איז צו דאָקומענטירן יעדע רעצענזיע אַזוי אַז איר קענט לייכט ווידער נוצן טיילן אין קונה שמועסן:

  • באַשטימט די קאָנטראָל ציל אין אַ שפּראַך וואָס אַ קונה וועט דערקענען, אַזאַ ווי "בעקאַפּס קענען זיין צוריקגעשטעלט אין די באַשטימטע צייטן."
  • באַשרײַבט דעם דורכגעפירטן טעסט: די גרייס פון דער מוסטער, פּעריאָד און מעטאָדן וואָס זענען גענוצט געוואָרן.
  • צוזאַמענפאַסן רעזולטאַטן און שליסל מעטריקס, אַרייַנגערעכנט אַלע פּראָבלעמען וואָס זענען געפֿונען געוואָרן.
  • רעקאָרדירן קאָרעקטיווע אַקציעס און צי זיי זענען שוין פאַרענדיקט געוואָרן.

פון דארט, קענט איר אויפהאלטן א סטאנדארט פארזיכערונגס פעקל וואס קאמבינירט:

  • אן איבערבליק פון אייער אנעקס A.5.35 איבערבליק פראגראם און פארנעם.
  • לעצטע הויך-לעוועל רעזולטאַטן און טרענד מעטריקס, ווי צייט צו סאָלווען געפינסן.
  • באַשטעטיקונג אַז קיין אומגעלייזטע קריטישע פּראָבלעמען בלייבן נישט.
  • קערפֿוליק אויסגערעדאַקטירטע ביישפּילן פֿון ספּעציפֿישע טעסטן וואו נויטיק.

ווען אַ פּראָספּעקט פרעגט "ווי ווייסט איר אַז באַקאַפּס אַרבעטן?" אָדער "ווי אָפט טשעקט איר ווידער די פּריווילעגירטע אַקסעס?", האָבן אַ פרישע אומאָפּהענגיקע איבערבליק צו טיילן - אַנשטאָט נאָר אַ פּאָליטיק שורה - שיקט אַ פיל שטאַרקער סיגנאַל וועגן ווי איר פירט אייער MSP.

ווי אזוי העלפט ISMS.online אייך ווידער נוצן אינערליכע אוידיט רעזולטאטן מיט קליענטן?

ISMS.online ערלויבט אייך צו:

  • טאַג אָפּשאַצונג רעזולטאַטן און באַריכטן קעגן ספּעציפֿישע באַדינונגען און קאָנטראָלס וואָס קאַסטאַמערז זאָרגן וועגן.
  • עקספּאָרטירן קורצע צוזאמענפאסונגען אדער באווייז-ליסטעס וואָס שטימען מיט געוויינטלעכע פֿראַגעבאָגן און ראַמען.
  • האַלטן אַ קאָנטראָלירטן סכום פון קונה-זיכערע אויסצוגן בשעת האַלטן די דעטאַלירטע אַרבעטס פּאַפּירן פּריוואַט.

דאָס מאַכט עס פיל גרינגער צו בויען און וישאַלטן אַ ריפּיטאַבאַל פארזיכערונג פּאַק וואָס שטיצט נייַע דילז, רינואַלז און ווענדאָר דיו דילידזשענס טשעקס, בשעת האַלטן אַנעקס A.5.35 פעסט באַגרינדעט אין ווי איר טאַקע פירן דיין באַדינונגס.

אויב איר ווילט אז אינערלעכע אויספארשונגען זאלן באשיצן איינקונפט און אויך רעדוצירן ריזיקע, איז ניצן ISMS.online צו פארעמען און טיילן אייערע A.5.35 רעזולטאטן א פראקטישער וועג צו אנהייבן.

ווי אזוי מאכט ISMS.online אנעקס A.5.35 גרינגער צו אימפלעמענטירן און אויפהאלטן פאר MSP'ס?

ISMS.online גיט אייער MSP א סטרוקטורירטן היים פארן גאנצן אנעקס A.5.35 לעבנסציקל, פון פלאנירונג און אומאפהענגיקייט ביז באווייזן, קארעקטיוו אקציעס און מענעדזשמענט איבערבליק. דאס מאכט אומאפהענגיקע איבערבליקן אין א פארזעבארן טייל פון אייער ISMS אנשטאט א יערליכן געיעג.

ווי זעט אויס אַנעקס A.5.35 אינעווייניק ISMS.online?

אינערהאלב איין ISMS.online סביבה קענט איר:

  • שאַפֿן און אויפֿהאַלטן אַ ריזיקאָ-באַזירט אינערלעכער אוידיט אָדער אומאָפּהענגיקער אָפּשאַצונג פּלאַן.
  • באַשטימען רעצענזענטן, אָפּטיילן זייערע ראָלעס פֿון קאָנטראָל אָונערז און פאַרוואַלטן קאָנפליקטן פֿון אינטערעסן.
  • פֿאַרבינדט יעדע איבערבליק צו באַטייַטיקע ISO 27001 קאָנטראָלן, סערוויסעס, ריזיקעס, אינצידענטן און ענדערונגען.
  • צוטשעפּען אָדער רעפֿערירן באַווײַזן פֿון טיקעטינג, מאָניטאָרינג, באַקאַפּ און אידענטיטעט סיסטעמען.
  • לאָגירן געפינסן, קאָרעקטיווע אַקציעס און ווידער-טעסטן, און טראַקן סטאַטוס דורך דאַשבאָרדז און מאַנאַגעמענט איבערבליק רעקאָרדס.

פֿאַר גרינדער און אָפּעראַציעס פירער, דאָס מיינט אַז אַנעקס A.5.35 ווערט אַ טייל פֿון ווי אַזוי איר באַשיצט כוידעשלעך ריקערינג רעוועך און באַרואיקט פֿירמע קאַסטאַמערז, אַנשטאָט אַ לעצטע-מינוט קאַמפּליאַנס אַרבעט.

פֿאַר זיכערהייט און קאָנפאָרמאַנס לידז, מיינט דאָס אַז איר קענט ווייַזן סערטיפיקאַציע אָדיטאָרס פּונקט ווי אייער אומאָפּהענגיק אָפּשאַצונג קאָנטראָל אַרבעט און ענטפֿערן "ווייַז מיר" פֿראגן מיט לעבעדיקע דאַטן אַנשטאָט סטאַטישע דאָקומענטן.

פֿאַר קאָנסולטאַנטן און ווירטואַלע CISOs, גיט ISMS.online אַ איבערחזרנדיק מוסטער פֿאַר אַנעקס A.5.35 וואָס איר קענט אויסשפּרייטן איבער קייפל MSP קליענטן, ניצנדיק קאָנסיסטענטע פּלענער, טעמפּלאַטן און באַריכטן בשעת איר צופּאַסט דעם פֿאַרנעם צו יעדער סביבה.

אויב איר ווילט אז אומאפהענגיקע רעצענזיעס זאלן שטיצן סיי פארזיכערונג און סיי וואוקס - נישט נאר אפהאַקן א קעסטל קעגן א קאנטראל - זעענדיג אנאקס A.5.35 וואס לויפט אין ISMS.online איז אפט דער קלארסטער וועג צו באשליסן ווי עס זאל זיצן אין אייער ISMS און יעדן אנאקס L-סטיל אינטעגרירטן מענעדזשמענט סיסטעם וואס איר בויט.

אויב איר ווילט, קען איך איצט:

  • שרייב איבער ספעציפישע ענטפֿערס צו בעסער פּאַסן צו אַ "קאָמפּליאַנס קיקסטאַרטער" פּערזאָנאַ,
  • אדער קאמפרעסן דאס אין א קירצערע 4-5 פראגע FAQ פאר א לאַנדינג בלאַט.

מארק שרון

מארק שאַראָן פירט זוכן און דזשענעראַטיווע קינסטלעכע אינטעליגענץ סטראַטעגיע ביי ISMS.online. זיין פאָקוס איז צו קאָמוניקירן ווי ISO 27001, ISO 42001 און SOC 2 אַרבעטן אין פּראַקסיס - פֿאַרבינדן ריזיקע צו קאָנטראָלן, פּאָליטיק און באַווייזן מיט אָדיט-גרייט טרעיסאַביליטי. מארק פּאַרטנערירט מיט פּראָדוקט און קונה טימז אַזוי אַז די לאָגיק איז עמבעדיד אין וואָרקפלאָוז און וועב אינהאַלט - העלפּינג אָרגאַניזאַציעס פֿאַרשטיין, באַווייַזן זיכערהייט, פּריוואַטקייט און קינסטלעכע אינטעליגענץ גאַווערנאַנס מיט בטחון.

טוויטטער

זעט א פּלאַטפאָרמע דעמאָ

זעט ווי 1,000+ טימז פירן זייערע קאמפלייענס פריימווערקס אין א 3-מינוט פלאטפארמע טור

קוק יעצט
פּלאַטפאָרמע דאַשבאָרד פול אויף מינט

מיר זענען אַ פירער אין אונדזער פעלד

4/5 שטערן
יוזערז ליבע אונדז
פירער - זומער 2026
הויך פּערפאָרמער - זומער 2026 קליינע געשעפטן פֿאַראייניקטע קעניגרייך
רעגיאָנאַלער פירער - זומער 2026 אי.יו.
רעגיאָנאַלער פירער - זומער 2026 EMEA
רעגיאָנאַלער פירער - זומער 2026 פֿאַראייניקטע קעניגרייך
הויך פּערפאָרמער - זומער 2026 מיטל-מאַרק EMEA

"ISMS.Online, בוילעט געצייַג פֿאַר רעגולאַטאָרי העסקעם"

— דזשים מ.

"מאַכן פונדרויסנדיק אַדאַץ אַ ווינטל און סימלאַסלי פֿאַרבינדט אַלע אַספּעקץ פון דיין ISMS צוזאַמען"

— קארען סי.

"ינאַווייטיוו לייזונג צו אָנפירן ISO און אנדערע אַקרעדאַטיישאַנז"

— בן ה.