מהו סקר ספק?
סקר ספק הינו סקר סיכונים שבאמצעותו ניתן לדלות מידע אודות סיכונים וכיצד ניתן להיערך בהתאם בכדי לנהל, לצמצם ולמנוע את התממשות הסיכון.
בסקר ספק תבוצע ביקורת פיזית באתר הספק, אשר תבחן את העמידה של הספק בדרישות אבטחת המידע של החברה, אבטחת הרשת, היכן מתבצעת שמירה פיזית על מידע רגיש בארגון וכיצד מועבר המידע בין הספק לארגון ובין הספק לספקי צד ג'.
ספקים חיצוניים וספקי צד ג' מהווים נקודת חדירה ופתח לסיכונים העלולים להשפיע על הארגון, כגון: פריצת האקרים לשרתי הספק, גישה בלתי מורשית למידע של החברה, דלף מידע וכו'.
לצורך כך תקני אבטחת מידע כגון: ISO 27001, ISO 27799, ISO 27017, ISO 27018 וכו', המדגישים את חשיבות הבקרות הנוגעות להתקשרות מול הספקים של הארגון.
כל מה שצריך לדעת על אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001 (מומלץ)
להרחבה על תקן ISO 27799 – לניהול אבטחת המידע הרפואי
להרחבה על תקן ISO 27032 – לאבטחת סייבר
להרחבה על תקן 2019:ISO 27701 – לניהול פרטיות המידע
להרחבה על תקן ISO 27017 – לאבטחת מידע בענן
להרחבה על תקן ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים
לא מעט מן הפעילויות של ארגונים מתנהלים אצל ספקים חיצוניים בתחומים שונים:
- שירותי מחשוב.
- שירותי מיון וגיוס עובדים.
- שירותי ניהול חשבונות וחישובי משכורות.
- שירותי אחסון שרתים ותחזוקת שרתים.
- שירותי אבטחה פיזית.
כתוצאה מכך, ישנה דרישה לביצוע סקירה מקיפה אודות הספקים המחזיקים מידע רגיש של הארגון (לוגית ופיזית). לפי סיווג הספקים ולפי רגישות במיפוי הספקים: היכן מאוחסן המידע הרגיש, הרשאות משתמשים וגישה למידע, תיעוד במערכות ועוד.
ביצוע סקר ספק:
הסקר יבוצע ע"י יועצי נקסטפ מומחים בעלי ניסיון רב בתחום אבטחת מידע ויאושר ע"י איש הקשר בחברה.
הסקר יכיל:
- דו"ח מפורט המכיל את כלל התהליכים אשר הספק מבצע עבור הארגון.
- מיפוי הסיכונים הקיימים אצל הספק.
- שרטוט תהליך ההתקשרות והעברת המידע מהספק לארגון ומהספק אל ספקי צד ג'.
- השלמת נספחים רלוונטיים והחתמות על הצהרות לשמירת סודיות.
- עיגון תהליך דיווח על אירועי אבטחת מידע, אופן מחיקת המידע בסיום התקשרות ועוד.
למאמר המפרט אודות סקר תהליך והאם הוא רלוונטי לארגונכם
נכתב על ידי לירז ששונקר, יועצת המסמיכה ומלווה ארגונים בתקני ISO 27017 ,ISO 27001 ,ISO 27018 ,ISO 27799, לווי לעמידה ברגולציית הגנת הפרטיות GDPR ותקנות הגנת הפרטיות.