anonym.legal

By · Last updated 2026-03-19

العودة إلى المدونةتقني

ISO 27001 وانعدام المعرفة يُقلِّصان وقت تقييم الموردين

كشف مسح أُجري عام 2025 أن "غياب الاعتماد الأمني المعترف به" جاء السبب الثاني الذي يدفع المسؤولين عن أمن المعلومات (CISOs) إلى استبعاد موردي SaaS. إليك ما تقدمه مجموعة ISO 27001 وانعدام المعرفة.

March 19, 20267 دقيقة قراءة
ISO 27001 certificationvendor assessmentCISO procuremententerprise securityzero-knowledge

الفجوة في الاعتماد خلال عمليات شراء الموردين

تراجع فرق الأمن المؤسسية عشرات الموردين كل عام. وهي بحاجة إلى مرشح سريع. يمنحها اعتماد ISO 27001 هذا المرشح. فقد قام مدقق بالفعل بفحص ضوابط المورد، مما يوفر على الفريق الداخلي تكرار العمل ذاته.

أما الموردون الذين يفتقرون إلى هذا الاعتماد فعليهم بناء حجتهم في كل صفقة. وهذا يُكلّف الوقت للطرفين، ويُبطئ المراجعة، ويرفع خطر الفشل في الفحص.

ما يغطيه معيار 2022

يحتوي الملحق A في الإصدار الحالي على 93 ضابطاً في أربع مجموعات: التنظيمية، والبشرية، والمادية، والتكنولوجية. تُركّز الفرق على عدة مجالات رئيسية.

ضوابط التشفير (الملحق A 8.24): يجب على المورد تحديد قواعد استخدام المفاتيح. تشمل هذه القواعد كيفية إنشاء المفاتيح وتخزينها والوصول إليها وإزالتها. يُثبت الاعتماد أن مدققاً تحقق من صحة هذه السياسة.

التحكم في الوصول (الملحق A 8.2-8.5): يجب أن يلتزم وصول الموظفين إلى بيانات العملاء بقواعد أدنى صلاحية. يُثبت الاعتماد أن هذه القيود موثقة ومُطبَّقة.

علاقات الموردين (الملحق A 5.19-5.22): يجب على الموردين توثيق القواعد الأمنية الخاصة بموردِيهم أنفسهم. وهذا مهم عندما يحتاج المشترون إلى إثبات أن موردِيهم آمنون.

تؤكد الشهادة أن عمليات الضبط التنظيمية قائمة. وهي تُقلّص المراجعة المخصصة إلى مجموعة أصغر من أسئلة البنية التي لا يعالجها المعيار.

السؤال الذي لا يُجيب عنه الاعتماد

يُجيب المعيار على أسئلة العمليات. لكنه لا يُجيب على ما تهتم به الشركات الخاضعة للتنظيم أكثر من غيره: هل يستطيع المورد الاطلاع على بياناتنا؟

قد يحتفظ مورد مُعتمَد بمفاتيح جانب الخادم رغم ذلك. يؤكد الاعتماد أن إدارة المفاتيح تتبع سياسة معينة. لكنه لا يؤكد أن تلك السياسة تحول دون اطلاع المورد على النص الواضح.

تُجيب بنية انعدام المعرفة على ما يتركه المعيار مفتوحاً. تُنشأ المفاتيح على جانب العميل. لا توجد مفاتيح على الخادم. يُشفَّر البيانات بمعيار AES-256-GCM قبل مغادرتها للعميل. لا يستطيع المورد قراءة بيانات العميل. وهذه حقيقة هيكلية، ليست خياراً سياسياً.

هذا يُعالج اهتماماً مزدوجاً واضحاً. الشهادة تُرضي فحوصات العمليات والتنظيم في نماذج المشتريات. تصميم انعدام المعرفة يُرضي القلق المتعلق بالوصول إلى البيانات الذي تُصنّفه الشركات الخاضعة للتنظيم في المرتبة الأولى. معاً، يُغلقان البوابتين الرئيسيتين للحصول على موافقة الموردين السحابيين في قطاعات الرعاية الصحية والمالية والقانونية.

اطلع على كيفية إجابة تصميم انعدام المعرفة على استبيانات الأمن وراجع نظرة عامة على الأمن والامتثال.

كيف يؤثر هذا على وقت المراجعة

تستغرق مراجعات الموردين في الأسواق الخاضعة للتنظيم وقتاً طويلاً. وتشمل أعمال الاستبيان، ومراجعة الوثائق، ومراجعة البنية، وكثيراً ما تستلزم مكالمة مع فريق الأمن.

يُقصِّر الاعتماد مراجعة الوثائق. تُمثّل الشهادة وبيان قابلية التطبيق دليلاً كافياً. فقد تحقق مدقق بالفعل من الضوابط، ولا يحتاج فريق المشتريات إلى تكرار ذلك العمل.

تُقصِّر بنية انعدام المعرفة مراجعة البنية. لسؤال الوصول إلى البيانات إجابة هيكلية واضحة. لا شيء يمكن التفاوض بشأنه عدا التصميم ذاته.

كلا العاملين يُقلّصان ذهاباً وإياباً يُطيل مراجعات الموردين. تتقدم الفرق بشكل أسرع عندما تحظى الأسئلة الصعبة بإجابات مباشرة في أول تقديم. كلما قلّت الجولات، قلّت التأخيرات.

بالنسبة للموردين في الأسواق الخاضعة للتنظيم، هذا يؤثر في كل صفقة. المراجعات الأقصر تعني دورات مبيعات أقصر. وعند أحجام صفقات المؤسسات، يتراكم هذا الفرق بسرعة. الموردون الذين يستطيعون الإجابة على الأسئلة الأصعب في اليوم الأول يواجهون احتكاكاً أقل طوال العملية.

بالنسبة لمشتري المؤسسات، يعني هذا الجمع وضعية مخاطر أقوى. مورد لا يستطيع قراءة بيانات العملاء ولديه ضوابط تنظيمية مدققة يُقدم دليلاً واضحاً على الالتزام بالأمن. اعرف المزيد في مركز الأسئلة الشائعة.

المصادر

مقالات ذات صلة

تقني

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

تقني

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

تقني

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

هل أنت مستعد لحماية بياناتك؟

ابدأ بإخفاء المعلومات الشخصية مع أكثر من 285 نوع كيان عبر 48 لغة.

ابدأ تجربة مجانيةعرض الميزات

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.