Hyppää sisältöön
ISMS.online

Pelistudioiden ja sisällöntoimittajien arviointi ISO 27001 -standardin mukaisesti

Ulkoistetut studiot ja sisällöntoimittajat voivat lisätä luovuutta, mutta myös tuoda mukanaan näkymättömiä tietoturvariskejä. Kartoittamalla, kuka käyttää peliresurssejasi ja soveltamalla ISO 27001 Annex A -standardin mukaisia ​​​​kontrolleja jaettuna, joustavana kielenä, voit priorisoida vaikuttavia suhteita. Tämä lähestymistapa helpottaa luottamuksen rakentamista, brändisi suojaamista ja varmistaa, että vaatimustenmukaisuustoimesi todella vähentävät riskejä.

kirjailija
Mark Sharron
Päivitetty joulukuu 1, 2025
4/5 tähteä

Piilotettu hyökkäyspinta ulkoistetussa pelituotannossa

Ulkoistettu pelituotanto luo valtavasti luovaa vipuvaikutusta, mutta jokainen ulkoinen studio, työkalu ja sisällöntoimittaja laajentaa hiljaisesti hyökkäyspintaasi, joten tarvitset realistisen tavan nähdä ja priorisoida tämä ylimääräinen riski. Selkeä kartta siitä, kuka koskettaa mitäkin resursseja, millä työkaluilla ja ympäristöillä, antaa sinulle mahdollisuuden keskittää rajallisen aikasi suhteisiin, jotka voisivat todellisuudessa vahingoittaa brändiäsi, tulojasi tai vaatimustenmukaisuuttasi.

Jos omistat pelistudion tai julkaisijan tietoturva-, tuotanto- tai toimittajahallinnan, tämä on kirjoitettu sinua varten. Se tarjoaa yleisiä ohjeita, ei laki- tai sääntelyneuvoja; organisaatiosi tulisi pyytää pätevää ammattilaisen neuvontaa ennen vaatimustenmukaisuuteen liittyvien päätösten tekemistä. Lähestymistapa heijastaa ISMS.onlinen havaitsemia malleja auttaessaan tiimejä rakentamaan ISO 27001 -standardin mukaisia ​​toimittajaohjelmia useille studioille ja palveluntarjoajille.

Ulkoistaminen toimii todella vain silloin, kun luottamus kulkee jokaisen omaisuuserän ja rakenteen mukana.

Kartoita jokainen toimittajan kosketuspiste

Pelistudioiden ja sisällöntoimittajien tietoturvariskejä ei voida hallita, ennen kuin nähdään kaikki ne kohdat, joissa ne koskettavat koodiasi, sisältöäsi ja dataasi. Tämä tarkoittaa sopimusten nimien rajojen yli menemistä ja todellisten työnkulkujen kartoittamista: kuka näkee mitäkin resursseja, millä työkaluilla ja ympäristöillä ja missä paikoissa.

Aloita piirtämällä brutaalin rehellinen kartta todellisesta toimitusketjustasi. Listaa kaikki yhteiskehitysstudiot, porttaustoimistot, taide- ja äänitoimittajat, laadunvarmistuspalveluntarjoajat, tausta- tai live-ops-alustat, analytiikkatyökalut ja lokalisointitoimistot, jotka koskettavat jotakin seuraavista:

  • pelin lähdekoodi tai moottorin haarat
  • rakennusjärjestelmät, kehityspaketit ja sisäiset työkalut
  • julkaisematon taide, elokuvat, kerronta tai markkinointimateriaalit
  • testiympäristöt pelaaja- tai testitilidatan avulla
  • tuotantopalvelut, kuten matchmaking, telemetria, maksut, huijauksenesto tai asiakastukitiedot

Kirjaa jokaisen suhteen osalta, mitä he voivat nähdä tai muuttaa, äläkä vain sitä, miten he kuvaavat työtään sopimuksessa. Pieni taidekuvaamo, jolla on virtuaalinen yksityisverkko (VPS) sisäiseen versionhallintaasi, saattaa olla suurempi riski kuin suuri pilvipalveluntarjoaja, joka käyttää vain kapeaa hallittua palvelua.

Visuaalinen: yksinkertainen kaavio, jossa ydinstudiosi on keskellä ja toimittajien "pinnat" on merkitty sillä, mitä he voivat nähdä tai muuttaa.

Järjestä toimittajat vaikutuksen ja epävarmuuden mukaan

Kun olet kartoittanut, ketkä koskevat peleihisi, ISO 27001 toimii parhaiten, kun asetat studiot ja toimittajat järjestykseen vaikutuksen ja epävarmuuden perusteella. Näin voit kohdistaa perusteellisemman arvioinnin niihin kohtiin, jotka todella vähentävät riskiä. Yksinkertainen, yhteinen näkemys vaikutteisista, vähävaikutteisista ja huonosti ymmärretyistä toimittajista on hyödyllisempi kuin pitkä, yksiselitteinen lista.

Tee nopea uhkakuva karttaasi vasten. Kysy, mistä vuoto, tilin kaappaus tai tietovuodon vaarantuminen todennäköisimmin alkaisi ja miten se edettäisi jaettujen työkalujen, toimipisteiden ja tunnistetietojen kautta. Et tarvitse virallista uhkamallinnustyöpajaa; tarvitset riittävästi yhteistä ymmärrystä siitä, että turvallisuus, tuotanto, lakiasiat ja hankinta ovat yhtä mieltä:

  • millä toimittajilla on todella suuri vaikutusvalta
  • jotka ovat vähävaikutteisia, mutta lukuisia
  • joita kukaan ei täysin ymmärrä

Juuri tätä kontekstia ISO 27001 -standardin ja liitteen A tulisi tukea. Ilman sitä mikä tahansa tarkistuslista on joko liioiteltu väärille toimittajille tai sokea niille osa-alueille, jotka ovat eniten alttiita riskeille. Liitteestä A tulee sitten käytännöllinen, yhteinen kieli, jolla näitä riskejä keskustellaan sisäisten tiimien ja ulkoisten studioiden kanssa.

Jos olet studiosi toimittajan tietoturvan omistaja, käsittele tätä alustavaa kartoitusta ja sijoitusta lähtökohtana ja päivitä sitä säännöllisesti projektien, alustojen ja kumppaneiden muuttuessa.

Varaa demo


ISO 27001 -standardin liitteen A käyttö yhteisenä kielenä studioiden kanssa

ISO 27001:2022 -standardi sisältää liitteen A, luettelon 93 tietoturvakontrollista, jotka on ryhmitelty neljään teemaan. Liitettä voidaan käyttää yhteisenä kielenä pelistudioiden ja sisällöntoimittajien arviointia varten. Jos näitä kontrolleja käsitellään joustavana valikkona jäykän tarkistuslistan sijaan, voidaan ensin yhdenmukaistaa sisäiset odotukset ja sitten laajentaa ne oikeudenmukaisesti toimittajaekosysteemiin.

Tiimit, jotka ovat ottaneet liitteen A käyttöön onnistuneesti peleissä, yhdistävät yleensä standardin rakenteen kovalla työllä ansaittuun operatiiviseen kokemukseen. Esimerkiksi ISMS.online auttaa studioita dokumentoimaan, mitkä kontrollit ovat olennaisia ​​heidän tietoturvallisuuden hallintajärjestelmässään (ISMS), ja soveltamaan näitä päätöksiä johdonmukaisesti sisäisiin tiimeihin ja toimittajiin.

Käsittele liitettä A joustavana valikkona, älä jäykkänä tarkistuslistana

Liite A toimii parhaiten, kun ensin päätät sisäisesti, mistä välität, dokumentoit kyseiset asiaankuuluvat kontrollit tietoturvan hallintajärjestelmään ja soveltamislausuntoon (SoA) ja sovellat sitten tätä perustasoa suhteellisesti pelistudioihin ja sisällöntoimittajiin sen sijaan, että pakotat kaikki 93 kontrollia jokaiselle toimittajalle. Tämä pitää arvioinnit keskittyneinä todellisiin riskeihin ja tekee keskusteluista kumppaneiden kanssa vähemmän laatikoiden rastittamista.

Sijoita liite A sisäisesti valikoksi, josta valitset riskin perusteella. Et sovella kaikkia kontrollitoimia jokaiseen toimittajaan. Sen sijaan tietoturvan hallintajärjestelmäsi määrittelee, mitkä kontrollit soveltuvat yritykseesi ja miten ne toteutetaan. Tämä valinta kirjataan toimituslausuntoon, josta tulee toimittajien arviointien perusta.

Jos olet esimerkiksi päättänyt, että käyttöoikeuksien hallintaa, tietojen luokittelua, turvallista kehitystä ja toimittajasuhteita koskevat toimenpiteet kuuluvat oman ympäristösi piiriin, seuraava luonnollinen askel on laajentaa nämä odotukset studioihin ja toimittajiin, jotka ovat yhteydessä kyseiseen ympäristöön. Tämä pitää keskustelut johdonmukaisina: se, mikä studiossasi katsotaan "riittävän hyväksi", pätee suhteellisesti myös kanssasi työskenteleviin tiimeihin.

Käännä liitteen A teemat pelin omalle kielelle

Tuottajat, luovat johtajat ja pienemmät studiot reagoivat paljon paremmin, kun liitteen A neljä teemaa – organisaatio, ihmiset, fyysinen ja teknologinen – ilmaistaan ​​kielellä, joka heijastaa todellista pelituotantoa ja live-op-työskentelyä. Ne käännetään termeiksi, jotka tuntuvat luonnollisilta kyseisessä kontekstissa, ja ISO 27001 -standardia käytetään yksinkertaisesti perusstandardina, joka tukee näitä odotuksia.

Liitteen A neljä teemaa merkitsevät useimmille tuottajille tai ulkoisille kumppaneille vain vähän. Niistä tehdään hyödyllisiä kääntämällä ne kielelle, joka tuntuu luonnolliselta pelituotannon tai live-opsien kontekstissa, ja käyttämällä sitten ISO 27001 -standardia yksinkertaisesti näiden odotusten taustalla olevana standardina.

Jotta liitettä A voisi käyttää myös turvallisuustiimin ulkopuolella, muotoile neljä teemaa uudelleen seuraavasti:

  • organisaatio: käytännöt, roolit, riskienhallinta ja toimittajien hallinta
  • ihmiset: rekrytointitarkastukset, koulutus, luottamuksellisuus ja kurinpitomenettelyt
  • fyysinen: toimisto- ja studioturvallisuus, laitesuojaus, vierailijoiden hallinta
  • teknologinen: pääsynhallinta, lokien tallennus, turvallinen konfigurointi, kehitys ja toiminta

Kun ohjeistat tuotantoa tai keskustelet toimittajien kanssa, käytä näitä termejä ensin ja mainitse ISO 27001:2022 -standardi niitä tukevana standardina. Tällä tavoin liitteestä A tulee neutraali viitekohta sen sijaan, että se olisi "tietoturvan suosikkikehys" tai satunnainen ylimääräinen monimutkainen vaihe.

Kun saat varmuutta tästä yhteisestä kielestä, voit alkaa käyttää sitä priorisoidaksesi, mitkä liitteen A mukaiset valvonta-alueet ovat tärkeimpiä erityyppisille pelitoimittajille, aina yhteiskehitysstudioista taustajärjestelmiin.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Liitteen A valvonta-alueet, joilla on eniten merkitystä pelien myyjille

Harvoin tarvitset kaikkia 93 liitteen A mukaista kontrollia pelistudion tai toimittajan tehokkaaseen arviointiin. Sen sijaan käytät liitteen A rakennetta keskittyäksesi kontrollialueisiin, jotka ovat lähimpänä kriittisimpiä ulkoistettuja resurssejasi ja palveluitasi. Voit esimerkiksi sanoa: "Koska näet julkaisematonta sisältöä ja pelimoottorimme haaraa X, nämä tietyt kontrollit ovat tärkeimpiä."

Liite A antaa sinulle rakenteen; sinä valitset osat, jotka vastaavat pelien rakentamista ja ajamista. Studiot, jotka tekevät tämän muutoksen, huomaavat usein, että keskustelut toimittajien kanssa selkeytyvät ja niistä tulee vähemmän ristiriitaisia. Sen sijaan, että väitelisit koko standardista, voit keskittyä pieneen määrään kontrolleja, jotka todella kuvaavat, miltä "riittävän hyvältä" näyttää kunkin kumppanin tekemän työn osalta.

Priorisoi IP:n, reaaliaikaisten palveluiden ja datan hallintateemoja

Arvokkaimpien peliresurssiesi ja -palveluidesi tulisi ohjata niitä Annex A -teemoja, joita priorisoit studioiden ja toimittajien osalta. Keskityt siis toimittajien hallintaan, käyttöoikeuksien hallintaan, arkaluonteisten tietojen käsittelyyn, kehityksen suojaamiseen, toiminnan valvontaan ja palveluiden toiminnan ylläpitämiseen häiriötilanteissa, joissa toimittajat käsittelevät koodia, sisältöä tai live-toimintoja.

Pelitoimittajille tärkeimmät Annex A -alueet ovat ne, jotka sijaitsevat lähimpänä kriittisiä resurssejasi. Näitä ovat toimittajien hallinnan, käyttöoikeuksien hallinnan, arkaluonteisten tietojen käsittelyn, kehityksen suojaamisen, toiminnan valvonnan ja palveluiden toiminnan ylläpitämisen valvonta häiriötilanteissa. Tarkka yhdistelmä riippuu siitä, mitä kukin toimittaja tekee sinulle ja miten he kytkeytyvät työkaluihisi ja palveluihisi.

Tyypillisiä pelitoimittajille tarkoitettuja liitteen A mukaisia ​​korkean prioriteetin teemoja ovat:

  • Toimittajasuhteet ja pilvipalvelut: – määritellä toimittajille turvallisuusvaatimukset, sisällyttää ne sopimuksiin ja seurata niiden suorituskykyä ajan kuluessa.
  • Pääsyoikeuksien hallinta ja identiteetinhallinta: – yksilölliset tilit, vähiten käyttöoikeuksia, vahva todennus, liittymis-/siirtäjä-/poistumisprosessit ja säännölliset tarkastukset kriittisille järjestelmille.
  • Tietojen luokittelu ja käsittely: – säännöt arkaluonteisten resurssien, kuten julkaisemattoman sisällön ja pelaajatietojen, merkitsemistä, tallentamista, siirtämistä ja tuhoamista varten.
  • Turvallinen kehitys ja muutoshallinta: – odotukset siitä, miten koodia kirjoitetaan, tarkistetaan, testataan ja levitetään eri ympäristöjen välillä, mukaan lukien ulkopuoliset osallistujat.
  • Toiminnan turvallisuus, lokikirjaus ja valvonta: – suojauksen varmistaminen, hallitut muutokset ja lokit, joita tarkastellaan väärinkäytösten tai tietomurtojen havaitsemiseksi ja tutkimiseksi.
  • Liiketoiminnan jatkuvuus ja häiriöiden hallinta: – selkeät vastuut ja toimintaohjeet siitä, mitä tapahtuu, kun toimittajan ympäristö pettää tai siihen murtaudutaan.

Näitä teemoja painotetaan eri tavoin eri toimittajaluokissa. Yhteiskehitysstudio, jolla on täysi pääsy moottorihaaroihin, ansaitsee perusteellisen tarkastelun turvallisen kehityksen ja käyttöoikeuksien hallinnan osalta, vaikka se ei koskaan näkisikään tuotantodataa. Analytiikkapalveluntarjoaja, joka käsittelee pelaajien telemetriaa pilvessä, vaatii enemmän huomiota tietosuojaan, lokinnukseen ja tapauksiin reagointiin.

Räätälöi odotukset toimittajatason ja -tyypin mukaan

Kun tiedät, mitkä valvontateemat todella ovat tärkeitä ja miten ne vastaavat suurimpia riskejäsi, voit muuntaa ne konkreettisiksi odotuksiksi toimittajatason ja -tyypin mukaan, jolloin korkean riskin studiot joutuvat tarkempaan tarkasteluun, kun taas pienemmät, vähemmän vaikuttavat toimittajat kohtaavat kevyemmän ja oikeudenmukaisemman riman. Tämä välttää arviointiväsymyksen ja saa tietoturvavaatimuksesi tuntumaan oikeasuhteisilta ja läpinäkyviltä koko ulkoistetussa peliekosysteemissäsi.

Kun ymmärrät, mitkä liitteen A teemat vastaavat suurimpia riskejäsi, voit muuntaa ne konkreettisiksi odotuksiksi kullekin toimittajatasolle. Näin vältät ajanhukan vähävaikutteisten toimittajien kohdalla ja varmistat, että arkaluontoisimpiin resursseihisi kosketuksiin joutuville kumppaneille asetetaan korkeammat ja selkeämmät vaatimukset.

Käytä aikaa kirjoittaaksesi selkokielellä muistiin, mitkä valvonta-alueet ovat:

  • neuvoteltavissa oleva: kaikille kumppaneille, jotka koskettavat IP-osoitteeseesi tai pelaajiisi
  • tärkeää riskialttiille toimittajille: , jossa odotat vahvaa linjausta
  • "hyvä olla": jos ne ovat olemassa, mutta eivät ole edellytys

Tästä tulee arviointilistasi ja neuvotteluasenteesi selkäranka. Kun studio tai palveluntarjoaja ymmärtää, mitkä kontrollit ovat olennaisia ​​ja miksi, voitte käydä tuottavampia keskusteluja siitä, miten ne toimivat tällä hetkellä ja mitä on ehkä muutettava.

Käsittele tätä valvontamatriisia elävänä dokumenttina. Jos olet vastuussa toimittajien turvallisuudesta tai lakisääteisestä hyväksynnästä, tarkista se vähintään neljännesvuosittain, koska uudet alustat, ansaintamallit ja määräykset muuttavat eri toimittajaluokkien riskiprofiilia.



Liitteen A muuttaminen toimittajakyselyksi ja tarkistuslistaksi

Kun tiedät, mitkä ISO 27001 -standardin mukaiset kontrollit ovat tärkeimpiä, tarvitset yksinkertaisen ja toistettavan tavan kysyä niistä pelistudioilta ja sisällöntoimittajilta rehellisesti. Liitteen A mukainen kyselylomake ja tarkistuslista muuttavat abstraktit kontrollitavoitteet konkreettisiksi kysymyksiksi ja todisteiksi, joiden kanssa myös muut kuin asiantuntijat voivat työskennellä.

Tiimit, jotka tekevät tämän hyvin, sopivat yleensä ytimekkääseen ydinkysymysjoukkoon, jota voidaan laajentaa korkeamman riskin toimittajille. Alustat, kuten ISMS.online, auttavat standardoimaan tämän jäsennellyiksi työnkuluiksi, jotta vastaukset, todisteet ja pisteet ovat yhdenmukaisia ​​ja auditoitavissa useiden toimittajien välillä.

Suunnittele yksinkertainen, liitteen A mukainen kysymyssarja

Hyvä kyselylomake studioille ja sisällöntoimittajille alkaa siitä, minkä haluat olevan totta, etenee sitten taaksepäin havaittavissa olevaan käytäntöön ja lopulta kysymyksiin, joihin oikeat ihmiset voivat vastata. Näin ytimekäs, jäsennelty kysymyssarja, joka on tiiviisti linjassa liitteen A teemojen ja omien lähtötasojesi kanssa, on helpompi toimittajille täyttää ja tiimeillesi pisteyttää ilman loputtomia seurantakyselyitä tai epämääräisiä vakuutteluja.

Ytimekäs ja jäsennelty kysymyssarja on toimittajien helpompi vastata ja tiimiesi pisteyttää. Aloitat kontrollitavoitteesta, mietit havaittavissa olevaa näyttöä ja muotoilet sitten kysymykset kielellä, jota joku studiossa tai toimittajalla ymmärtää ja johon voi vastata rehellisesti, vaikka hän ei olisikaan turvallisuusasiantuntija.

Yksinkertainen menetelmä toimii hyvin:

Vaihe 1: Kirjoita kontrollitavoite omin sanoin

Ilmaise selkeästi, minkä haluat olevan totta. Esimerkiksi: ”Vain valtuutetut henkilöt voivat käyttää lähdekoodivarastojamme, ja heidän käyttöoikeutensa vastaavat heidän rooliaan.”

Vaihe 2: Listaa havaittavat käytännöt tai esineet

Tunnista todisteet, jotka antaisivat sinulle luottamusta. Käytännöt, prosessikuvaukset, käyttöoikeusluettelot, kaaviot ja esimerkkilokit ovat kaikki hyödyllisiä. Et yritä auditoida toimittajaa perusteellisesti; haluat vain riittävästi todisteita nähdäksesi, vastaavatko heidän käytäntönsä odotuksiasi.

Vaihe 3: Kirjoita kourallinen kohdennettuja kysymyksiä

Luo jokaista kontrollia kohden yhdestä kolmeen kysymystä, joihin joku toimittajalta voi vastata. Yhdistä suljettuja kysymyksiä skaalattuihin vastauksiin (pisteytystä varten) ja pieneen määrään avoimia kysymyksiä, joissa tarvitset kontekstia. Vältä ammattikieltä: kysy mieluummin "Kuka voi hyväksyä pääsyn koodiimme?" kuin "Kuvaile etuoikeutettujen käyttöoikeuksien hallintajärjestelmääsi".

Ryhmittele kysymykset osioihin, jotka vastaavat sisäisten tiimiesi ajattelutapaa, kuten:

  • yritysprofiili ja hallinto
  • tietoturvallisuuden hallinta (käytännöt, riskit, roolit)
  • ihmisten ja henkilöstöresurssien turvallisuus
  • fyysinen ja studioturvallisuus
  • tekniset hallintalaitteet (käyttöoikeudet, lokitiedot, konfigurointi)
  • koodaa ja rakenna putkilinjan suojaus
  • sisällön ja IP-osoitteen käsittely
  • tietosuoja ja yksityisyys
  • tapauksiin reagointi ja liiketoiminnan jatkuvuus

Tee heti alkuun selväksi, että sertifiointi on hyödyllinen, mutta ei riittävä. Sertifikaatin lähettävän studion on silti osoitettava, että sen asiaankuuluvat osat kattavat työn, jonka se sinulle tekee. Toisaalta pienemmällä taide- tai äänimateriaalien toimittajalla, jolla ei ole sertifikaattia, voi silti olla käytössä järkevät kontrollit, ja he voivat tarvita vain kevyemmän, kohdennetun kyselylomakkeen.

Tasotoimittajat ja sisäänrakennettu pisteytys- ja ohituslogiikka

Porrastuksen ja ohituslogiikan avulla kunnioitat ihmisten aikaa kysymällä vain niitä kysymyksiä, jotka todella liittyvät toimittajan rooliin ja riskitasoon. Näin prosessisi pysyy toimivana myös skaalautuessa ja samalla ISO 27001 -periaatteita sovelletaan johdonmukaisesti kaikkien studioidesi ja toimittajiesi keskuudessa.

Hyvin kirjoitettukin kyselylomake voi muuttua tarpeettomaksi työksi, jos jokaisen toimittajan on vastattava jokaiseen kysymykseen. Porrastus ja ohituslogiikka pitävät prosessin toimivana ja auttavat keskittämään huomion tärkeimpiin asioihin samalla, kun ISO 27001 -periaatteita sovelletaan johdonmukaisesti.

Jotta prosessi pysyisi oikeasuhteisena:

  • määritä toimittajatasot etukäteen (esimerkiksi kriittinen, tärkeä ja matalan riskin) aiemman hyökkäyspinta-kartoituksesi perusteella
  • määritä kullekin tasolle erilainen kysymysten ja todisteiden syvyys; matalan riskin toimittajat saattavat vastata vain lyhyeen ydinjoukkoon
  • koodaa kyselylomakkeeseen ohituslogiikka, jotta toimittajille näytetään vain kysymyksiä, jotka liittyvät heidän todellisiin palveluihinsa.

Lopuksi määrittele yksinkertainen pisteytyskriteeri, jotta eri arvioijat tulkitsevat vastaukset johdonmukaisesti. Neliportainen asteikko, joka ulottuu tasolta ”ei käytössä” tasolle ”suunniteltu” ja ”osittain käytössä” tasolle ”käytössä, testattu ja todistettu”, toimii hyvin ja on luonnollisesti linjassa liitteen A painopisteen kanssa toteutetuista ja tehokkaista kontrolleista.

Kun alat tarkastella vastauksia, huomaat nopeasti kaavoja, jotka liittyvät suoraan siihen, miten toimittajat kytkeytyvät hakukoneisiisi, rakentavat myyntiputkia ja sisällön työnkulkuja – ja juuri tähän liitteen A tulisi ankkuroida käytännössä. Jos olet vastuussa tämän prosessin suorittamisesta, käsittele ensimmäistä sykliäsi pilottivaiheena, tarkenna kysymyssarjaasi ja pisteytystäsi ja lukitse se sitten vakiokäsikirjaksesi.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Ohjainten soveltaminen moottoreihin, rakennusputkiin ja sisällön työnkulkuihin

Liite A ansaitsee insinöörien ja sisältötiimien luottamuksen vain, jos pystyt osoittamaan, miten sen yleisesti muotoillut kontrollit muokkaavat studioidesi ja toimittajiesi todellisuudessa käyttämien pelimoottorien, repositorioiden, rakennusputkien, sisältötyökalujen ja pilviympäristöjen todellisia käytäntöjä. Tämä onnistuu kääntämällä abstraktit odotukset konkreettisiksi säännöiksi siitä, miten he käyttävät, muuttavat ja isännöivät peliesi kannalta tärkeitä asioita.

Liite A kuvaa kontrollit yleisesti, mutta toimittajasi toimivat pelimoottoreissa, repositorioissa, rakennusputkissa, sisällöntuotantotyökaluissa ja pilviympäristöissä. Jotta ISO 27001 -standardista tulisi heille merkityksellinen, sinun on muutettava abstraktit kontrollit konkreettisiksi odotuksiksi siitä, miten he käyttävät, muuttavat ja isännöivät peliesi kannalta tärkeitä asioita.

Studiot, jotka hallitsevat tämän käännöksen hyvin, aloittavat usein keskittymällä muutamaan lippulaivaprojektiin ja riskialttiisiin kumppaneihin ja yleistävät sitten kaavoja. ISMS.online voi auttaa tässä sitomalla valvontalausunnot ja todisteet tiettyihin järjestelmiin ja työnkulkuihin sen sijaan, että ne jätettäisiin yleisluontoisiksi käytäntöteksteiksi.

Liitteen A ohjausobjektien yhdistäminen koodiin ja prosessien rakentaminen

Toimittajille, joilla on pääsy koodiisi ja koontijärjestelmiisi, liitteen A mukaisten kontrollien tulisi tulkita järkevää teknistä hygieniaa ulkoisen byrokratian sijaan. Niiden tulisi selkeästi heijastaa heidän käyttämiensä ohjelmistojen, haarakonttoreiden ja koontityökalujen jokapäiväisiä käytäntöjä, jotta näet yksilölliset identiteetit, selkeän tehtävien jaon, määritellyn muutoshallinnan ja lokit, jotka todella auttavat tutkinnassa.

Yhteiskehitysstudioille, porttauskumppaneille tai työkalutoimittajille, jotka kytkeytyvät koodikantaasi ja käännösjärjestelmiisi, liitteen A ohjaimet vastaavat selkeästi jokapäiväisiä suunnittelukäytäntöjä. Muotoilemalla kysymykset moottorien, haarojen ja käännöstyökalujen näkökulmasta, helpotat teknisten liidien ymmärrystä siitä, miltä "riittävän hyvä" näyttää.

Koodi- ja koontiputkien osalta tarkista, miten ohjausobjektit vastaavat työkaluketjuasi:

  • pääsynhallinta ja identiteetti: – yksilölliset tilit jokaiselle henkilölle ja palvelulle, vahva todennus ja roolipohjaiset käyttöoikeudet repositorioissa, projektitauluilla ja koontijärjestelmissä
  • muutoshallinta: – selkeästi määritellyt haarautumisstrategiat, koodin tarkistusvaatimukset, suojatut haarautumiset sekä koonti- ja julkaisuhyväksynnät
  • suojattu kokoonpano: – kovetetut ja päivitetyt rakennusagentit, standardoidut putkimääritelmät ja tarpeettomien työkalujen ja palveluiden poistaminen
  • lokikirjaus ja seuranta: – käyttöoikeuksien ja keskeisten toimintojen tiedot repositorioissa ja koontityökaluissa sekä prosessi epätavallisen toiminnan tarkistamiseksi
  • erottelu: – selkeä ero kehitys-, testaus- ja tuotantoympäristöjen sekä toimittajien työtilojen ja ydininfrastruktuurin välillä

Kun arvioit toimittajaa, pyydä heitä osoittamaan, miten nämä käytännöt pätevät kaikkialla, missä he koskettavat koodiasi tai prosessiasi. Et pyydä heitä suunnittelemaan koodipinoaan uudelleen tyhjästä; tarkistat, että resurssiesi kanssa vuorovaikutuksessa olevat osat täyttävät sovitun vähimmäisvaatimuksen.

Sovella samaa ajattelutapaa sisällön työnkulkuihin ja pilvipalveluihin

Sisältöputkiin ja pilviympäristöihin liittyy erilaisia ​​riskejä, mutta samat liitteen A ideat pätevät edelleen, kun ne ilmaistaan ​​työkalujen, sijaintien ja mukana olevien ihmisten näkökulmasta: laaja-alaiset taide-, ääni- ja lokalisointityönkulut kotiympäristöissä ja tiedostojenjakopalveluissa sekä keskittyneet riskit pilvipohjaisissa taustajärjestelmissä ja analytiikka-alustoilla, joissa vahva konfigurointi ja valvonta ovat tärkeimpiä.

Sisältöputket ja pilviympäristöt tuovat mukanaan erilaisia, mutta toisiinsa liittyviä riskejä. Taiteen, äänen ja lokalisoinnin työnkulut levittäytyvät usein työkaluihin, kotiympäristöihin ja tiedostojen jakamispalveluihin, kun taas pilvipohjaiset taustajärjestelmät ja analytiikka-alustat keskittävät riskin pienempään määrään tehokkaita järjestelmiä. Liite A pätee edelleen; samat hallinta-ajatus vain ilmaistaan ​​hieman eri tavoin.

Sovella sisällön työnkulkujen osalta samanlaista ajattelua:

  • segmenttiresurssikirjastot, joiden käyttöoikeudet perustuvat projektiin ja rooliin
  • hallita vientivaihtoehtoja ja käyttää vesileimattuja tai obfusoituja julkaisua edeltäviä resursseja aina kun se on mahdollista
  • vaativat hyväksyttyjä yhteistyötyökaluja, joissa on pakotetut käyttöoikeudet tilapäisen tiedostojen jakamisen tai henkilökohtaisten pilvitilien sijaan
  • aseta selkeät säännöt etätyöskentelylle, erityisesti paikallisten kopioiden, jaettujen laitteiden ja fyysisen työtilan yksityisyyden suhteen

Pilvipalvelut lisäävät vielä yhden tason. Monet studiot ja palveluntarjoajat työskentelevät omissa vuokralaisissaan; jotkut saattavat työskennellä ympäristössä, jota ylläpidät heille. Kummassakin tapauksessa sinun on oltava selkeästi vastuussa seuraavista asioista:

  • identiteetin ja käyttöoikeuksien hallinnan määrittäminen
  • alueiden ja saatavuusvaihtoehtojen valitseminen
  • virtuaalikoneiden, konttien ja hallittujen palveluiden vahvistaminen ja korjaaminen
  • lokitietojen, säilytyksen ja hälytysten määrittäminen

Et auditoi heidän koko järjestelmäpinoaan, mutta tarvitset riittävän varmuuden siitä, että ne osat heidän ympäristöstään, jotka käsittelevät resurssejasi, noudattavat sovittua valvontatason tasoa. Käytännössä tämä tarkoittaa kyselylomakkeiden käyttöä, kohdennettua näyttöä (esimerkiksi anonymisoitu kuvakaappaus käyttöoikeusasetuksista) ja korkeamman riskin toimittajien osalta oikeutta keskustella asetuksista tai tarkistaa niitä tarkemmin.

Kun sinulla on konkreettisia odotuksia siitä, miten kontrollit soveltuvat todellisiin työkaluihin ja työnkulkuihin, voit olla paljon tarkempi tarvitsemasi todistusaineiston ja sen pisteyttämisen suhteen.



Studio- ja toimittajariskin näyttö, pisteytys ja hallinta

Kun arvioit pelistudioita ja sisällöntoimittajia, kyselylomakkeet ilman näyttöä, pisteytystä ja hallinnointia luovat vain paperityötä. Jotta liitteeseen A perustuvista arvioinneistasi tulisi mielekkäitä, tarvitset selkeät näyttöön liittyvät odotukset toimittajatasolta, yksinkertaiset pisteytyssäännöt ja hallinnointikehyksen, joka muuttaa vastaukset päätöksiksi ja seurannaksi.

Kyselylomake ilman näyttöä on vain joukko väitteitä. Jotta liitteeseen A perustuvat arvioinnit olisivat mielekkäitä, sinun on oltava selkeä siitä, mitä odotat toimittajien näyttävän sinulle, miten pisteytät näyttöä ja miten tulokset vaikuttavat todellisiin hallintotapaa koskeviin päätöksiin siitä, kenen kanssa ja millä ehdoilla työskentelet.

Studiot, jotka suhtautuvat tähän vakavasti, määrittelevät yleensä vähimmäistodisteiden määrän tasoa kohden ja sopivat etukäteen, mitä tapahtuu, kun toimittajan luokitus laskee alle sallitun rajan. Tämä vähentää myöhemmin tarvittavia väittelyjä ja saa hankinnan, turvallisuuden ja lakiosaston tuntumaan yhdeltä tiimiltä kolmen kilpailevan portinvartijan sijaan.

Määrittele näyttöodotukset toimittajatason mukaan

Todisteodotusten tulisi skaalautua riskin mukaan, joten pyydät enemmän kriittisiltä toimittajilta, jotka käsittelevät koodia, reaaliaikaisia ​​palveluita tai pelaajadataa, kuin pieniltä toimittajilta, jotka käsittelevät litistettyjä resursseja. Jos dokumentoit nämä odotukset etukäteen, toimittajat tietävät, mitä on tulossa, ja sisäiset arvioijasi pysyvät johdonmukaisina.

Todisteisiin liittyvät odotukset tulisi suhteuttaa riskiin. Kriittiset studiot ja live-palvelujen tarjoajat oikeuttavat perusteellisempaan tarkasteluun kuin matalan riskin toimittajat, jotka käsittelevät vain vesileimattuja markkinointimateriaaleja. Odotusten asettaminen etukäteen helpottaa toimittajien elämää ja vähentää riitoja myöhemmässä prosessissa.

Aloita määrittelemällä toimittajatasoa kohden vähimmäisnäyttöön keskittyvä tavoite. Esimerkiksi:

  • Kriittiset toimittajat: – osoittamaan tietoturvajärjestelmänsä laajuuden, käyttöoikeuskäytännöt, tapausten käsittelymenetelmän ja vahvan todennuksen keskeisissä järjestelmissä.
  • Tärkeitä mutta ei-kriittisiä toimittajia: – selitä, miten he hallitsevat pääsyä resursseihisi, missä näitä resursseja säilytetään ja vahvista perussuojatoimet, kuten varmuuskopiot.
  • Vähäriskiset toimittajat: – kuvaile, miten he tallentavat ja jakavat tiedostojasi, ja ilmoita kaikki olemassa olevat vahvistukset tai käytännöt, jotka jo ovat voimassa.

Tiivis taulukko voi auttaa sinua vertailemaan tasoja yhdellä silmäyksellä. Se tiivistää vähimmäisodotukset, ei kaikkia mahdollisia dokumentteja, joita saatat nähdä.

Toimittajataso Tyypillinen työ Vähimmäisnäyttöön keskittyminen
kriittinen Koodi, live-palvelut, pelaajatiedot ISMS:n laajuus, käytännöt, kaaviot, tapahtumat
Tärkeä Arkaluontoiset varat, sisäiset työkalut Käyttöoikeudet, tallennuspaikat, varmuuskopiot
Vähäriskinen Litistetyt tai julkisia materiaaleja muistuttavat materiaalit Tallennus- ja jakamislähestymistapa

Päivittäisissä päätöksenteoissa tämä taulukko auttaa sinua selittämään sidosryhmille, miksi pyydät pieneltä toimittajalta kahta lyhyttä vastausta, kun taas suurelta kehityskumppanilta vaadit kaavioiden, käytäntöjen ja esimerkkitapausten jakamista.

Yhdistä kyselylomakkeen pisteet ja todisteiden luotettavuus yksinkertaiseksi luokitusmalliksi. Painota valvontaa enemmän silloin, kun vika paljastaisi suoraan lähdekoodia, julkaisematonta sisältöä, tuotantopalveluita tai pelaajatietoja. Laske kokonaisriskitaso, mutta tarkastele myös malleja: toimittaja, jolla on vahvat tekniset valvontamekanismit, mutta ei tapausprosessia, saattaa olla hyväksyttävä tietyin ehdoin; toimittaja, jolla on hyvät käytännöt, mutta heikot käyttöoikeuskäytännöt arkistoissa, saattaa joutua korjaamaan nämä ennen työn aloittamista.

Muuta luokitukset hallinnoksi, korjaaviksi toimenpiteiksi ja uudelleenarvioinneiksi

Arviointipisteistä on hyötyä vasta, kun ne muokkaavat päätöksiä. Siksi sinun on sidottava luokitukset selkeisiin kynnysarvoihin, ehtoihin ja seurantaan, jotka määrittelevät, mitä eri pisteet tarkoittavat, miten käsittelet "ehtojen mukaisia" tuloksia ja miten toimittajien suorituskyky heijastuu sopimuksiin, projektipäätöksiin ja tulevaan työhön yhdessä toimittamienne pelien osalta.

Arvioinneilla on merkitystä vain, jos ne muokkaavat päätöksiä. Hallinto määrittelee, mitä eri pisteytykset tarkoittavat, miten käsittelet "ehtojen mukaisia" tuloksia ja miten toimittajien suorituskyky heijastuu sopimuksiin, projektipäätöksiin ja tulevaan työhön.

Päätä etukäteen:

  • mitkä riskitasot ovat hyväksyttäviä minkäkin tyyppisissä töissä
  • mitä "ehtojen noudattaminen" käytännössä tarkoittaa, kuten monivaiheisen todennuksen käyttöönotto versionhallinnassa tietyn ajanjakson sisällä tai käyttöoikeuden rajaaminen tiettyihin haaroihin
  • miten tulokset heijastuvat sopimuslausekkeisiin, kuten turvallisuusaikatauluihin, palvelutasoihin, tarkastusoikeuksiin ja irtisanomisoikeuksiin
  • kuka vastaa korjaavien toimien seurannasta ja uudelleenarvioinnista

Sisällytä nämä tarkistuspisteet toimittajasi elinkaareen: hankinnan aikana, tarjouspyyntöjen osana, ennen sopimuksen allekirjoittamista, projektin tärkeiden virstanpylväiden kohdalla ja sopimuksen uusimisen yhteydessä. Toista täydelliset arvioinnit määritellyllä aikataululla kriittisten toimittajien osalta ja aina, kun jokin tärkeä muuttuu, kuten siirtyminen uudelle alustalle tai merkittävä laajennus.

Jos käsittelet näitä vaiheita säännöllisenä osana studioiden ja toimittajien valintaa ja hallintaa sen sijaan, että noudattaisit vain kerran vuodessa tehtävää vaatimustenmukaisuustarkastusta, liitteeseen A perustuva lähestymistapasi tuntuu paljon enemmän tuotannon tukemiselta kuin esteeltä. Jos suoritat tämän prosessin erilliseltä tietoturvan hallintajärjestelmäalustalta, saat myös jäljitettävyyden, kun tilintarkastajat tai hallituksen jäsenet kysyvät, miten olet päättänyt tietyn kumppanin olevan riittävän turvallinen.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Yhteistyö ISO 27001 -standardin mukaisten kumppaneiden kanssa ja parannus ajan myötä

Kun pelistudio tai sisällöntoimittaja väittää olevansa "ISO 27001 -standardin mukainen", sitä tulisi pitää hyödyllisenä signaalina, jota kannattaa tutkia, ei sellaisenaan hyväksyttävänä tai hylättävänä tuomiona. Kyseinen merkintä voi kattaa mitä tahansa hyvin hoidetusta mutta sertifioimattomasta tietoturvan hallintajärjestelmästä kouralliseen lainattuihin malleihin, ja liite A auttaa sinua kääntämään väitteen havaittavaksi käytännöksi ja tarvittaessa realistiseksi parannussuunnitelmaksi.

Tapaat monia toimittajia, jotka sanovat olevansa "ISO 27001 -standardin mukaisia" tai "työskentelevänsä sertifioinnin parissa". Nämä lauseet voivat kattaa laajan kirjon hyvin hoidetusta mutta sertifioimattomasta tietoturvan hallintajärjestelmästä kouralliselle lainattuja pohjia ja ad hoc -käytäntöjä. Liite A antaa sinulle tavan testata näitä väitteitä rakentavasti ja muuttaa ne yhteisen parantamisen etenemissuunnitelmaksi pelkän hyväksymis- tai hylkäysperiaatteen sijaan.

Studiot ja toimittajat, jotka aidosti panostavat yhdenmukaisuuteen, ottavat yleensä mielellään vastaan ​​kohdennetut kysymykset ja selkeät odotukset. Ne, jotka luottavat levy-yhtiöön markkinointitekstinä, kamppailevat selittääkseen käytännössä laajuutta, riskejä ja kontrollivalintoja.

Pidä "ISO 27001 -standardin mukaista" lähtökohtana, älä tuomiona

”ISO 27001 -standardin mukainen” tarkoittaa usein ”ymmärrämme standardin ja olemme alkaneet tehdä jotain”, joten tavoitteena on ymmärtää, miltä se todellisuudessa näyttää peleihisi liittyvissä järjestelmissä ja työnkuluissa ja kuinka lähellä ne ovat odottamaasi jäsenneltyä, riskiperusteista valvontaa.

Kun studio tai toimittaja väittää olevansa ISO 27001 -standardin mukainen, se on yleensä merkki siitä, että he tunnistavat standardin ja ovat ottaneet ainakin joitakin askeleita kohti jäsenneltyä turvallisuutta. Sinun tehtäväsi on ymmärtää, mitä tämä tarkoittaa käytännössä järjestelmille ja työnkuluille, jotka koskettavat resurssejasi, ja kuinka lähellä ne ovat odottamaasi hallinnan tasoa.

Pidä näitä väitteitä lähtökohtana, älä hyväksyntämerkkinä. Pyydä heitä selittämään käytännössä:

  • mikä on heidän tietoturvallisuutensa laajuus
  • miten he tunnistavat ja arvioivat riskejä
  • miten he valitsevat ja toteuttavat kontrollit
  • miten he valvovat valvontaa ja parantavat sitä ajan myötä

Käytä sitten liitteeseen A perustuvaa kyselylomakettasi testataksesi, heijastuvatko nämä vastaukset heidän käytännöissään sinulle tärkeissä järjestelmissä ja prosesseissa. Jos kriittisissä kontrolleissa on puutteita, sinun ei tarvitse poistua heti, vaan voit sopia korjaussuunnitelmasta, jossa on realistiset välitavoitteet ja selkeät ehdot heille antamallesi työlle.

Käytä liitteen A havaintoja realististen korjaavien toimenpiteiden edistämiseen

Liite A on tehokkain silloin, kun sen avulla voit siirtyä "tämä tuntuu heikolta" -kohdasta "tässä on tarkalleen mitä pitää muuttaa ja milloin" -ajatteluun. Yhdistämällä havainnot tiettyihin käyttöoikeuksien, tapausten käsittelyn tai kehityksen hallintakeinoihin voit muuttaa epämääräiset huolenaiheet erityisiksi, neuvoteltaviksi muutoksiksi ja aikatauluiksi, jotka suojaavat molempia osapuolia ja pitävät ulkoistetun pelityösi aikataulussa.

Liite A auttaa sinua siirtymään epämääräisistä huolenaiheista erityisiin, neuvoteltavissa oleviin muutoksiin. Sen sijaan, että sanoisit "turvallisuutesi on heikko", voit sanoa "tarvitsemme vahvemman pääsynhallinnan lähdetietovarastoihinne" tai "tarvitsemme selvyyttä siihen, miten reagoitte tietoihimme liittyviin vaaratilanteisiin", ja asettaa mitattavia odotuksia ja aikatauluja.

Joudut myös tekemään kompromisseja. Jotkin rajoitukset ovat ehdottomia aina, kun IP-osoitteesi tai pelaajatietosi ovat vaakalaudalla, riippumatta toimittajan koosta tai budjetista. Toiset voidaan täyttää korvaavilla toimenpiteillä, kuten tiukemmalla laajuudella, lisävalvonnalla tai tiukemmilla sopimusvelvoitteilla. Dokumentoi nämä päätökset ja tarkastele niitä uudelleen riskinottohalukkuuden, sääntely-ympäristön ja kumppanimaiseman muuttuessa.

Ajan myötä voit käyttää arvioinneistasi löytyviä malleja oman ohjelmasi tarkentamiseen. Kokoa yhteen yleisimmät kontrollin puutteet, parannukset ja tapahtumateemat eri toimittajiltasi. Käytä näitä tietoja lähtötasojen mukauttamiseen, kyselylomakkeiden päivittämiseen, pisteytyspainotusten tarkentamiseen ja sisäisten investointien tukemiseen.

Kun tämä sykli kypsyy, liite A lakkaa olemasta pelkkä kontrolliluettelo ja siitä tulee käytännöllinen kehys jatkuvalle parantamiselle koko ulkoistetussa ekosysteemissäsi. Jos omistat organisaatiollesi toimittajan tietoturvan, käsittele tätä parannussilmukkaa osana tiimisi säännöllistä suunnittelua eikä jälkikäteen mietittävänä asiana.



Varaa esittely ISMS.onlinesta jo tänään

ISMS.online auttaa sinua muuttamaan kaikki nämä ohjeet käytännölliseksi, ISO 27001 -standardin mukaiseksi toimittajien tietoturvaohjelmaksi, joka sopii pelistudioiden ja sisällöntuottajien todelliseen työskentelytapaan. Näin pelistudioiden ja sisällöntuottajien arviointi ISO 27001:2022 -standardin mukaisesti ei niinkään rajoitu kaikkien pakottamiseen saman auditoinnin läpi, vaan pikemminkin johdonmukaisen, riskiperusteisen prosessin suorittamiseen, joka alkaa todellisesta ulkoistetusta hyökkäyspinnasta, käyttää liitettä A yhteisenä kielenä ja soveltaa oikeasuhtaisia ​​​​kontrolleja, näyttöä ja hallintaa tärkeimpiin suhteisiin.

Kun nämä palaset yhdistetään, pelistudioiden ja sisällöntoimittajien arviointi ISO 27001:2022 -standardin mukaisesti ei niinkään tarkoita kaikkien pakottamista saman auditoinnin läpi, vaan pikemminkin johdonmukaisen, riskiperusteisen prosessin suorittamista. Aloitetaan todellisesta ulkoistetusta hyökkäyspinnasta, käytetään liitettä A yhteisenä kielenä ja sitten sovelletaan oikeasuhtaisia ​​​​kontrolleja, näyttöä ja hallintaa tärkeimpiin suhteisiin.

Rakenna toistettavissa oleva ja pelitietoinen toimittajien turvallisuusohjelma

Käytännönläheinen ohjelma antaa sinulle selkeän kuvan ulkoistetusta riskistäsi ja jäsennellyn tavan tehdä päätöksiä irrallisten kyselylomakkeiden sijaan. Tämä tarkoittaa ajantasaista, pelitietoista toimittajiesi karttaa, liitteen A mukaisia ​​​​valvonnan perusrajoja eri tasoille ja arviointityönkulkua, jonka studiosi ihmiset voivat ymmärtää ja käyttää.

Yleensä tavoittelet seuraavia asioita:

  • ajantasainen, pelitietoinen kartta ulkoistetusta hyökkäyspinnastasi
  • dokumentoitu, liitteen A mukainen valvontalinjaus eri toimittajaportaille
  • kyselylomake ja todisteiden tarkistuslista, jonka ei-asiantuntijat voivat täyttää ja jonka arvioijat voivat pisteyttää
  • yksinkertainen arviointimalli, joka muuttaa yksityiskohtaiset vastaukset selkeiksi "mennä", "mennä ehdoin" tai "ei mene" -päätöksiksi
  • hallintojärjestelmä, joka yhdistää havainnot sopimuksiin, korjaaviin toimenpiteisiin ja uudelleenarviointiin

Monet tiimit hallitsevat alkuvaiheita laskentataulukoiden ja jaettujen kansioiden avulla. Tämän ylläpitäminen vaikeutuu nopeasti, kun toimittajien määrä kasvaa, arvioinnit toistuvat ja todisteita on käytettävä uudelleen auditoinneissa tai hallituksen raportoinnissa. Tässä vaiheessa tietoturvan hallintajärjestelmäalusta, joka jo ymmärtää ISO 27001 -standardin ja tukee toimittajien arviointeja, voi säästää paljon manuaalista työtä ja tarjota auditoitavan polun sisäisille ja ulkoisille sidosryhmille.

Aloita pienestä, opi nopeasti ja tee toimittajien turvallisuudesta osa pelien toimitustapaa

Et tarvitse täydellistä, yritystason prosessia heti alusta alkaen; tarvitset jotain pientä, kohdennettua ja toistettavissa olevaa, jota voit parantaa. Piloimalla lähestymistapaasi muutaman riskialttiimman studion ja toimittajan kanssa voit oppia nopeasti ja rakentaa sisäistä tukea ennen kuin skaalaat sen muualle ekosysteemiisi.

Käytännöllinen tapa aloittaa on:

  • luokittele tärkeimmät toimittajasi muutamiin riskiperusteisiin tasoihin
  • suorittaa ensimmäisen kierroksen liitteen A mukaisia ​​arviointeja kyseisestä lyhyestä luettelosta
  • hienosäädä kyselylomakettasi, näyttöön liittyviä odotuksiasi ja pisteytysmalliasi tulosten perusteella

Siitä eteenpäin voit vähitellen laajentaa lähestymistapaa useampiin toimittajiin, yhdistää arvioinnin tarkistuspisteet hankintaan ja uusimiseen sekä tiivistää arviointitulosten ja tuotantopäätösten välisiä yhteyksiä. Mitä enemmän käsittelet toimittajien turvallisuutta osana pelien suunnittelua, rakentamista ja operointia – etkä jälkikäteen tehtävänä vaatimustenmukaisuuden varmistamiseksi – sitä luonnollisemmalta ISO 27001 tuntuu tiimeistäsi ja kumppaneistasi.

Viime kädessä tavoite on yksinkertainen: yksi jäsennelty ja toistettava tapa ymmärtää, vertailla ja parantaa niiden studioiden ja toimittajien tietoturvatilannetta, joihin luotat peliesi toimittamisessa ja pyörittämisessä. Kun tämä saavutetaan, ISO 27001 -standardi ei ole enää este ylitettäväksi, vaan siitä tulee osa luovaa infrastruktuuria, jonka avulla voit rakentaa kunnianhimoisia maailmoja luottavaisin mielin.

Jos haluat ISO 27001 -standardin mukaisen toimittajatietoturvan tuntuvan osalta tuotantoprosessiasi eikä ylimääräiseltä taakalta, valitse ISMS.online, kun tarvitset rakennetta, näkyvyyttä ja auditoitavaa polkua kaikkien studioidesi ja toimittajiesi välillä.

Varaa demo


Usein Kysytyt Kysymykset

Miten voin selittää ISO 27001 -standardiin perustuvia toimittajien arviointeja yhdellä dialla muille kuin tietoturvaan liittyville sidosryhmille?

Selitä ISO 27001 -standardiin perustuvat toimittaja-arvioinnit seuraavasti: Yksinkertainen tapa pitää vuodot, käyttökatkokset ja dataongelmat poissa pelistäsi valitsemalla turvallisempia kumppaneita, ei tavallisena oppituntina.

Ankkuroi kaikki kolmeen tuttuun riskiin

Muut kuin turvallisuusalan sidosryhmät ovat jo valmiiksi huolissaan lyhyestä luettelosta tuloksista:

  • Vuotoja: – julkaisemattomia kerrosbiittejä, buildejä tai taidetta karkaamassa ennen julkaisua
  • Katkot: – julkaisupäivät venyvät, live-palvelut vähenevät, arvostelupisteet laskevat
  • Dataongelmia: – vaikeita kysymyksiä alustoilta, asiakkailta tai sääntelyviranomaisilta pelaajatietojen käsittelystä

Avaa dia yhdellä rivillä, joka sitoo nämä riskit yhteen:

Toimittaja-arviointimme avulla vähennämme vuotojen, käyttökatkosten ja tieto-ongelmien todennäköisyyttä työskennellessämme kumppaneiden kanssa.

Olet nyt kehystänyt ISO 27001 -standardin työkaluksi suojella julkaisut, maine ja tulot, josta tuottajat, markkinointi ja rahoitusala jo välittävät.

Käännä ISO 27001 -standardin teemat neljäksi arkipäivän tarkistukseksi

Liitteen A tai lausekkeiden numeroiden mainitsemisen sijaan näytä pieni kaksisarakkeinen näkymä, joka kuulostaa studiokieleltä:

Mitä tarkistamme Mitä se oikeasti tarkoittaa tälle pelille
Kuka pääsee sisään Kuka voi koskea repositorioihimme, rakentaa järjestelmiämme, työkalujamme ja sisältöämme?
Miten työ hoidetaan Missä tiedostot, kuvakaappaukset ja dokumentit tallennetaan ja jaetaan
Miten vaaratilanteisiin puututaan Kuinka nopeasti kumppanit havaitsevat, hillitsevät ja kertovat meille ongelmista
Miten heidän toimittajansa käyttäytyvät Miten he hallitsevat omia alihankkijoitaan ja pilvipalveluitaan

Voit sitten sanoa:

Kyselylomakkeemme on vain nämä neljä ideaa, jotka on muunnettu selkeiksi kysymyksiksi ja nopeaksi todisteiden tarkistukseksi jokaiselle kumppanille.

Nyt tietoturvan hallintajärjestelmä (ISMS) kulissien takana näyttää strukturoidulta maalaisjärjeltä, ei lempiprojektilta.

Näytä selkeä päätös, älä putkimiestä

Useimmat johtajat haluavat tietää kolme asiaa: Voimmeko käyttää tätä kumppania? Millä ehdoilla? Mikä voisi vielä mennä pieleen? Käytä yksinkertaista liikennevalonäkymää:

  • Vihreä: – turvallinen tälle tähtäimelle
  • Keltainen: – käyttökelpoinen selkeillä ehdoilla (esimerkiksi: vain lukuoikeus, lisävalvonta, parannustavoitteet)
  • Punainen: – ei sovellu tämäntyyppiseen työhön juuri nyt

Lisää jokaisen värin alle yksi lyhyt rivi toimittajaa kohden:

  • Missä he ovat vahvoja
  • Mikä voisi vielä mennä pieleen
  • Mitä suosittelet (esim. ”Käytä vain taiteeseen; ei koodi- tai rakennusoikeuksia”)

Näin esitettynä ISO 27001 -standardin mukainen arviointisi on päätöksenteon apuväline, joka suojaa laukaisuja, ei tarkistuslistaa, joka hidastaa heitä.

Käytä samaa visualisointia uudelleen jokaisessa ohjauskokouksessa

Yksi siisti vasemmalta oikealle -dia toimii hyvin:

Lopputulos (vuoto / katkos / tietoongelma)Riski tälle pelille tai pelaajilleMitä tarkistamme (kuka pääsee sisään, miten työ hoidetaan, tapaukset, heidän toimittajat)3–5 yksinkertaista kysymystä toimittajaa kohdenVihreä / Keltainen / Punainen + seuraavat vaiheet

Jos hallitset näitä tarkistuksia, kysymyksiä ja kynnysarvoja tietoturvallisuuden hallintajärjestelmän, kuten ISMS.onlinen, sisällä, voit luoda kyseisen dian aina, kun joku kysyy: "Ovatko kumppanimme riittävän turvallisia tälle julkaisulle?" Ajan myötä sinusta tulee henkilö, joka hiljaa muuttaa "tietoturvalomakkeet" nopeampia ja turvallisempia toimittajapäätöksiä jokaiseen peliin.

Minkä tyyppisiä pelitoimittajia tulisi priorisoida ISO 27001 -standardin liitteen A mukaisessa arvioinnissa?

Sinun tulisi priorisoida toimittajia ISO 27001 -standardin liitteen A arvioinnissa seuraavasti: kuinka paljon vahinkoa kyseisen kumppanin kanssa tehty kompromissi voisi aiheuttaa pelillesi tai pelaajillesi, ei henkilöstömäärän tai päiväpalkan mukaan.

Luo kolmitasoinen malli, jonka kaikki muistavat

Yksinkertainen, vaikutuksiin perustuva porrastus auttaa pitämään tietoturvan, tuotannon ja hankinnan linjassa:

  • Taso 1 – Kriittiset kumppanit:

Yhteiskehitysstudiot, joilla on pääsy lähdekoodiin tai koontiversioihin, live-operaatioalustat, taustajärjestelmät ja analytiikkapalvelut, maksut, huijauksenesto-, todennus- ja pelaajatukijärjestelmät. Heikkous tässä voi pysäyttää julkaisun tai vaikuttaa pelaajiin suoraan.

  • Taso 2 – Tärkeät kumppanit:

Taide-, ääni-, lokalisointi-, laadunvarmistus- ja työkalutoimittajat, jotka käsittelevät arkaluonteisia resursseja, sisäisiä työkaluja tai testiympäristöjä, mutta eivät voi itse viedä koodia tuotantoon.

  • Taso 3 – Vähäisemmän vaikutuksen omaavat kumppanit:

Mainostoimistot ja toimittajat, jotka näkevät vain hyväksyttyjä markkinointimateriaaleja, vahvasti vesileimattuja resursseja tai anonymisoituja datajoukkoja.

Kun tästä hierarkiasta on sovittu, on paljon helpompi perustella, miksi tason 1 yhteiskehitysstudio vastaa useampiin liitteen A mukaisiin kysymyksiin kuin tason 3 traileritoimisto.

Sovita liitteen A syvyys tasoon

Sitten skaalaat arviointejasi sen sijaan, että käyttäisit yhtä jättimäistä kyselylomaketta kaikille:

  • Taso 1 – Syvällinen arviointi:

Vahva painotus pääsynhallintaan, turvalliseen kehitykseen, toimintaan, lokien kirjaamiseen, valvontaan, tietoturvaloukkauksiin reagointiin, liiketoiminnan jatkuvuuteen ja omien toimittajien hallintaan.

  • Taso 2 – Kohdennettu arviointi:

Huomiota tiedonkäsittelyyn, etätyöhön ja fyysiseen turvallisuuteen, peruskäyttöoikeuksien hallintaan ja siihen, miten he pitävät materiaalisi erillään muiden asiakkaiden materiaalista.

  • Taso 3 – Kevyt perustaso:

Lyhyt vahvistus tiedostojesi sijainnista, kuka voi nähdä ne ja miten ne poistetaan työn päätyttyä.

Tuo yksinkertainen sääntö – enemmän vaikutusta, enemmän ISO 27001 -syvyyttä – on helppo selittää vihreää valoa ja tiekarttakokouksissa.

Muuta tasot yhteiseksi kieleksi koko studiossa

Kun tuottajat ymmärtävät, että yhteiskehitysstudio on tasoa 1, koska se voi lähettää koodia, kun taas markkinointitoimisto on tasoa 3, koska se käsittelee vain hyväksyttyä materiaalia, he yleensä lopettavat väittelyn siitä, että "joillakin toimittajilla on tiukempi turvallisuus".

Jos pidät kyseisen tasoituksen ja vastaavat liitteen A mukaiset tarkistukset liitteen L integroidussa hallintajärjestelmässä (IMS), kuten ISMS.online-järjestelmässä, toimittajan merkitseminen tasoksi 1, 2 tai 3 voi automaattisesti hakea oikeat kysymykset ja todistepyynnöt. Tämä vapauttaa sinut käyttämään enemmän aikaa avainkumppaneiden auttamiseen parannuksissa ja vähemmän aikaa lomakkeiden uudelleenrakentamiseen.

Miten muutan ISO 27001 Annex A -standardin mukaiset kontrollit kysymyksiksi, joihin pelivalmistajat voivat todella vastata?

Teet ISO 27001 -standardin liitteen A käyttökelpoiseksi muuttamalla jokaisen kontrollin yhden rivin tavoite, kourallinen havaittavia käyttäytymismalleja ja muutama lyhyt kysymys selkokielellä.

Kirjoita jokainen ohjausobjekti uudelleen selkeäksi tavoitteeksi studiotermein

Aloita kääntämällä virallinen teksti jollekin sellaiselle, mitä kollegasi saattaisivat oikeasti sanoa. Esimerkiksi:

  • Lähettäjä: ”Tietojen ja sovellusjärjestelmän toimintojen käyttöoikeus on rajoitettava käyttöoikeuspolitiikan mukaisesti.”
  • Vastaanottaja: ”Vain oikeat ihmiset voivat tavoittaa lähdeosastomme, rakentaa järjestelmiä ja käyttää julkaisematonta sisältöä, ja poistamme käyttöoikeudet nopeasti, kun he eivät enää tarvitse niitä.”

Ryhmittele tavoitteet peliystävällisiin alueisiin, kuten:

  • Hallinto ja omistajuus
  • Ihmiset, laitteet ja toimistot
  • Koodi, koontiversiot ja putket
  • Sisältö ja IP
  • Pelaaja- ja yritystiedot
  • Tapahtumat ja toipuminen

Tietoturvanhallintajärjestelmäsi (esimerkiksi ISMS.online) voi säilyttää jäljitettävyyden takaisin jokaiseen liitteen A mukaiseen kontrolliin, kun tiimisi työskentelevät yksinkertaisemman sanamuodon kanssa.

Päätä, mitä käyttäytymismalleja voit oikeasti nähdä

Listaa jokaista tavoitetta kohden kolmesta viiteen signaalit jokapäiväisessä käyttäytymisessä, esimerkiksi:

  • Yksittäiset kirjautumiset jaettujen tilien sijaan
  • Monivaiheinen todennus tietovarastoissa ja kriittisissä työkaluissa
  • Dokumentoidut liittymis- / muutto- / lähtöprosessit
  • Säännölliset käyttöoikeustarkastukset ja todisteet tilien poistamisesta

Tämä linssi pitää keskustelun ankkuroituna asioihin, jotka voit tarkistaa, sen sijaan, että se esittäisi epämääräisiä väitteitä "kypsyydestä".

Muuta käyttäytymiskysymykset lyhyiksi, suoriksi kysymyksiksi

Kun tunnet käyttäytymismallit, kysymysten laatiminen helpottuu huomattavasti:

  • "Miten hallinnoitte yksittäisiä tilejä repositorioissamme ja työkaluissamme?"
  • "Käytännössäkö monivaiheista todennusta kaikilla, joilla on pääsy koodiimme tai julkaisemattomaan sisältöömme?"
  • "Kuinka usein tarkistatte ja poistatte käyttöoikeudet henkilöstöltä ja urakoitsijoilta, jotka eivät enää tarvitse niitä?"

Vältä standardislangia, lausekkeiden numerointia tai viittauksia liitteeseen A itse kysymyksissä. Nämä kuuluvat tietoturvanhallintajärjestelmäsi kulissien taakse, eivät pienen toimittajastudion tai lomaketta täyttävän taidepäällikön eteen.

Käytä yhtä yksinkertaista pisteytysasteikkoa kumppaneiden kesken

Yhteinen 0–3 tai 0–5-asteikko pitää pisteytyksen yhdenmukaisena:

  • 0 – ei paikallaan
  • 1 – osittain paikallaan
  • 2 – paikallaan, mutta ei todisteita
  • 3 – paikallaan ja todistetusti

Tallenna lyhyitä esimerkkejä jokaiselta tasolta, jotta kaksi samankaltaisilla vastauksilla varustettua arvioijaa saavuttavat samankaltaiset pisteet. Kun liitteen A kysymyspankki ja pisteytys ovat ISMS.online-alustan kaltaisella alustalla, voit käyttää niitä uudelleen eri projekteissa ja toimipisteissä, mikä tekee toimittajien arvioinneista nopeampia, selkeämpiä ja helpompia puolustaa.

Mitä todisteita minun pitäisi pyytää toimittajalta heidän ISO 27001 -standardin mukaisen toimintansa validoimiseksi ilman, että heitä ylikuormitetaan?

Kysy myyjiltä pieni, kohdennettu joukko asiakirjoja tai kuvakaappauksia, jotka todistavat keskeisten kontrollien toiminnan tosielämässä, mukautettuna sertifiointitilaansa ja riskitasoonsa sen sijaan, että puolet tietoturvan hallintajärjestelmästään siirrettäisiin.

Käytä sertifiointitilaa lähtökohtana

Aloita siitä, missä myyjä on tänään:

  • Jos ne ovat ISO 27001 -sertifioituja:

Pyydä heidän nykyistä sertifikaattiaan, varmista, että sertifikaatin soveltamisala kattaa käyttämäsi palvelut ja toimipaikat, ja jos he ovat samaa mieltä, liitä mukaan lyhyt yhteenveto viimeaikaisista valvonta- tai uudelleensertifiointituloksista. Näin voit nojata heidän sertifiointielimensä jo tekemään työhön.

  • Jos he väittävät olevansa "linjassa" tai työskentelevänsä sertifioinnin eteen:

Pyydä lyhyttä tietoturvakäytäntöä, kuvausta siitä, miten he hallitsevat pääsyä resursseihisi, yleiskuvaa tai kaaviota siitä, missä tietosi ja sisältösi sijaitsevat, sekä yhtä tai kahta anonymisoitua esimerkkiä siitä, miten he käsittelivät viime vuoden aikana tapahtunutta vaaratilannetta tai palautusta.

  • Jos he suorittavat koodia tai live-palveluita puolestasi:

Lisää pieni määrä anonymisoituja kuvakaappauksia tai määrityskatkelmia, jotka osoittavat, kuka voi käyttää repositorioita, koontijärjestelmiä ja live-ympäristöjä, onko monivaiheinen todennus käytössä ja mitkä lokitiedot ja valvonta kattavat peliäsi koskevat järjestelmät.

Sijoita tämä seuraavasti näyttöä siitä, että heidän päivittäinen käytäntönsä vastaa ISO 27001 -standardin odotuksia, ei yrityksenä kopioida heidän koko tietoturvajärjestelmäänsä.

Skaalaa todisteiden syvyys toimittajatason mukaan ja selitä ero

Yhdistä pyydettävä summa sisäiseen tasoitukseesi:

  • Tier 1 -toimittajat: lisätietoja kokoonpanosta, prosessikuvaukset ja tapahtumaesimerkkejä.
  • Toisen tason toimittajat: suppeampi joukko, joka keskittyy materiaalisi tallentamiseen, käsittelyyn ja poistamiseen.
  • Kolmannen tason toimittajat: pari selkeää vastausta tiedostojen sijaintiin, kuka voi nähdä ne ja miten ne poistetaan lopuksi.

Voit tallentaa tämän yksinkertaiseen matriisiin ja jakaa sen käyttöönoton aikana, jotta kumppanit tietävät, mitä odottaa ja miksi. Jos hallitset näitä odotuksia, todistetyyppejä ja liitteen A mukaisia ​​määrityksiä integroidussa hallintajärjestelmässä, kuten ISMS.online, tiimisi voi yhdellä silmäyksellä nähdä, mitkä kontrollit on katettu, missä on edelleen aukkoja ja mitkä jatkotoimet ovat vielä avoinna.

Miten voin pisteyttää ja vertailla eri pelistudioita ISO 27001 -standardin mukaisten kriteerien avulla?

Vertailet pelistudioita oikeudenmukaisesti muuttamalla heidän vastauksensa ja todisteensa painotetut pisteet, jotka heijastavat heidän sinulle tekemänsä työn erityisiä riskejä, ja sitten kääntämällä nämä pisteet selkeiksi hyväksymis-/ehdollisiksi/hylkäämispäätöksiksi.

Käytä yhdenmukaista pisteytysasteikkoa kaikilla kontrollialueilla

Aloita yksinkertaisella, toistettavalla mallilla:

  • 0 – ei paikallaan
  • 1 – osittain paikallaan
  • 2 – paikallaan, mutta ei todisteita
  • 3 – paikallaan ja todistetusti

Liitä lyhyitä esimerkkejä jokaiselle tasolle (esimerkiksi ”3 = Monifaktorinen autentikointi (MFA) pakotettu kaikkiin koodiasi ylläpitäviin arkistoihin, ja liitä mukaan kuvakaappaukset tai käytäntöotteet todisteina”). Tämän säilyttäminen tietoturvajärjestelmässäsi auttaa arvioijia pisteyttämään yhdenmukaisesti.

Painota kunkin kumppanityypin kannalta tärkeimpiä aiheita

Eri kumppanit altistavat sinut erilaisille vaaroille:

  • Yhteiskehitysstudiot: – painotetaan enemmän arkistojen käyttöoikeutta, rakennus- ja käyttöönottoputkia, turvallisia kehityskäytäntöjä sekä sisällön ja immateriaalioikeuksien suojaa.
  • Taide-, ääni- ja lokalisointitoimittajat: – painottaa tiedonkäsittelyä, etätyön hallintaa, laiteturvallisuutta ja fyysistä toimiston suojaa.
  • Live-ops- ja backend-palveluntarjoajat: – priorisoida lokinnusta, valvontaa, tietoturvaloukkauksiin reagointia ja liiketoiminnan jatkuvuutta.

Kerro pisteet vaikuttavilla alueilla suuremmilla painotuksilla, jotta puuttuva kontrolli studion pelissäsi olevilla alueilla vaikuttaa kokonaistulokseen paljon enemmän kuin pieni rako vähemmän vaikuttavan alueen ympärillä.

Muunna pisteet päätöksiksi, joihin sidosryhmäsi voivat vaikuttaa

Määrittele kolme selkeää vyöhykettä:

  • hyväksyttäviä: – turvallinen käyttää pyydetyssä laajuudessa.
  • Hyväksyttävä ehdoilla: – sopii, jos lisäät suojatoimia, kuten vain luku -oikeudet, erottelun, tarkemman valvonnan tai parannustavoitteita.
  • Ei hyväksyttävää: – liian riskialtista pyydetyn työn tai käyttöoikeuden tyyppiin nähden.

Tiivistä jokainen studio kahdella tai kolmella rivillä:

  • Heidän tärkeimmät vahvuutensa
  • Tärkeimmät aukot
  • Ehdottamasi toimenpide

Kun seuraat näitä painotettuja pisteitä tietoturvallisuuden hallintajärjestelmässäsi ajan kuluessa, voit nähdä malleja franchising-, alusta- tai aluekohtaisesti. Tämä auttaa sinua argumentoimaan puolestasi. yhteinen karkaisutyö, kuten standardoitu suojattu kehitysputki tai vähimmäisetätyöskentelyvaatimus kaikille kehityskumppaneille sen sijaan, että samoja korjauksia jahdattaisiin yksi studio kerrallaan.

Miten minun pitäisi toimia toimittajien kanssa, jotka väittävät olevansa ISO 27001 -standardin mukaisia, mutta joilla ei ole sertifikaattia?

Käsittele ”ISO 27001 -standardin mukaista” seuraavasti: hyödyllinen signaali tutkittavaksi, ei pelkästään todisteja suorita normaali liitteeseen A perustuva arviointi nähdäksesi, kuinka pitkälle väite käytännössä menee.

Kysy konkreettisesti, mitä ”sovittu” tarkoittaa heidän maailmassaan.

Aloita muutamalla avoimella kysymyksellä, jotka pakottavat sinua tarkentamaan asioita:

  • "Onko teillä tietoturvallisuuden hallintajärjestelmä, jolla on määritelty soveltamisala?"
  • "Kuinka usein suoritatte virallisia riskinarviointeja ja miten ne kirjataan?"
  • "Millä liitteen A valvonta-alueilla on nimetyt omistajat, ja miten seuraatte muutoksia?"
  • "Miltä parannus näyttää sinulle tyypillisen vuoden aikana?"

Kumppanit, jotka aidosti noudattavat ISO 27001 -standardia, osaavat yleensä vastata kertomalla laajuusalueista, aikatauluista, omistajista ja esimerkeillä viimeaikaisista muutoksista. Markkinoinnissa termiä käyttävät turvautuvat usein muutamaan yleiseen käytäntöön.

Käytä tavallista liitteessä A olevaa arviointiasi, skaalattuna heidän rooliinsa

Käytä samaa kyselylomaketta, pisteytystä ja todistepyyntöjä, joita käyttäisit mille tahansa vastaavalle toimittajalle:

  • Jos ne suoriutuvat vahvasti keskeisillä osa-alueilla, kuten käyttöoikeuksien hallinnassa, tiedonkäsittelyssä, tietoturvaloukkauksiin reagoinnissa ja toimittajien hallinnassa, voit käyttää niitä selkeästi määritellyllä laajuudella ja samalla kirjata, että niillä ei ole vielä itsenäistä sertifiointia.
  • Jos niissä näkyy tarkoituksellisuutta, mutta myös näkyviä puutteita, voit rajata niiden soveltamisalaa, määritellä sopimuksessa parannustavoitteet ja asettaa tarkistuspäivämäärän.
  • Jos perusasiat ovat heikot, etenkin vaikuttavassa roolissa, voi olla turvallisempaa kieltäytyä tai siirtää osallistuminen matalamman riskin tasolle.

Tärkeä pointti on, että linjaus voi lisätä kiinnostustasi, mutta se ei laske kynnystäsiPäätökset perustuvat edelleen samoihin ISO 27001 -standardin mukaisiin kriteereihin, joita sovellat sertifioituihin kumppaneihin.

Kirjaa ylös, miten päädyit päätökseesi, jotta se pysyy voimassa myöhemmin

Tallenna neljä elementtiä:

  • Mitä myyjä tarkoitti "linjatulla" -periaatteella heidän omin sanoin
  • Miten he pärjäsivät liitteen A keskeisillä teemoilla
  • Tekemäsi päätös (mennä, mennä ehdoin tai ei mennä) ja perustelusi
  • Sovitut parannukset, määräajat ja seurantatarkastukset

Kun tallennat kyseisen tietueen tietoturvallisuuden hallintajärjestelmääsi, kuten ISMS.onlineen, on helppo osoittaa alustoille, sääntelyviranomaisille ja sisäisille sidosryhmille, että olet tehnyt jäsennelty, riskiperusteinen arvio sen sijaan, että hyväksyttäisiin nimitys nimellisarvollaSe tarkoittaa myös sitä, että jos sama toimittaja palaa myöhemmin pyytämään suurempaa roolia, aloitat viimeisimmästä arvioinnistasi alusta etkä alusta.

Mark Sharron

Mark Sharron johtaa ISMS.onlinen haku- ja generatiivisen tekoälyn strategiaa. Hän keskittyy viestimään siitä, miten ISO 27001, ISO 42001 ja SOC 2 toimivat käytännössä – hän yhdistää riskit kontrolleihin, käytäntöihin ja todisteisiin auditointivalmiin jäljitettävyyden avulla. Mark tekee yhteistyötä tuote- ja asiakastiimien kanssa, jotta tämä logiikka sisällytetään työnkulkuihin ja verkkosisältöön – auttaen organisaatioita ymmärtämään ja todistamaan tietoturvan, yksityisyyden ja tekoälyn hallinnan luotettavasti.

Twitter

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.