- Se ISO 27002:2022 Kontroll 5.19 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 15.1.1 for mer informasjon.
Styrking av leverandørsikkerhet: en grundig titt på ISO 27001 vedlegg A 5.19
ISO 27001:2022 vedlegg A Kontroll 5.19 handler om informasjonssikkerhet i leverandørforhold. Målet her er beskyttelse av organisasjonens verdifulle eiendeler som er tilgjengelige for eller påvirkes av leverandører.
Vi anbefaler også at du også vurderer andre nøkkelrelasjoner her også, for eksempel partnere hvis de ikke er leverandører, men også har en innvirkning på dine eiendeler som kanskje ikke bare dekkes av en kontrakt alene.
Dette er en viktig del av styringssystem for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering. La oss forstå disse kravene og hva de betyr i litt mer dybde nå.
Leverandører brukes av to hovedårsaker; en: du vil at de skal gjøre arbeid som du har valgt å ikke gjøre internt selv, eller; to: du kan ikke enkelt gjøre arbeidet like bra eller så kostnadseffektivt som leverandørene.
Det er mange viktige ting å vurdere i tilnærmingen til leverandørvalg og -styring, men én størrelse passer ikke alle, og noen leverandører vil være viktigere enn andre. Som sådan bør kontrollene og retningslinjene også reflektere det, og en segmentering av forsyningskjeden er fornuftig; vi tar til orde for fire kategorier av leverandører basert på verdien og risikoen i forholdet. Disse spenner fra de som er forretningskritiske til andre leverandører som ikke har noen vesentlig innvirkning på organisasjonen din.
Formål med ISO 27001:2022 vedlegg A 5.19
ISO 27001:2002 vedlegg A Kontroll 5.19 omhandler en organisasjons forpliktelse til å sikre at det ved bruk av produkter og tjenester på leverandørsiden (inkludert skytjenesteleverandører) tas tilstrekkelig hensyn til risikonivået som ligger i bruk av eksterne systemer, og følgevirkninger som kan ha på deres egen etterlevelse av informasjonssikkerhet.
En god policy beskriver leverandørsegmentering, valg, ledelse, exit, hvordan informasjonskapasitet rundt leverandører kontrolleres for å redusere de tilknyttede risikoene, men likevel gjøre det mulig å nå forretningsmålene og målene. Smarte organisasjoner vil pakke inn sine informasjonssikkerhetspolitikk for leverandører inn i et bredere relasjonsrammeverk og unngå kun å konsentrere seg om sikkerhet i seg selv, og se på de andre aspektene også.
Vedlegg A Kontroll 5.19 er en forebyggende kontroll som modifiserer risiko ved å opprettholde prosedyrer som adresserer iboende sikkerhetsrisikoer knyttet til bruk av produkter og tjenester levert av tredjeparter.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvem har eierskap til vedlegg A 5.19?
Mens kontroll ISO 27001 Vedlegg A 5.19 inneholder mye veiledning om bruk av IKT-tjenester, det bredere omfanget av kontrollen omfatter mange andre aspekter av en organisasjons forhold til sin leverandørbase, inkludert leverandørtyper, logistikk, verktøy, finansielle tjenester og infrastrukturkomponenter).
Som sådan bør eierskapet til vedlegg A-kontroll 5.19 ligge hos et medlem av toppledelsen som fører tilsyn med en organisasjons kommersielle drift, og opprettholder et direkte forhold til en organisasjons leverandører, som f.eks. Chief Operating Officer.
Generell veiledning for ISO 27001:2022 vedlegg A 5.19
Overholdelse av vedlegg A-kontroll 5.19 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til informasjonssikkerhet i leverandørforhold.
En organisasjon kan ønske at leverandører skal få tilgang til og bidra til visse informasjonsressurser med høy verdi (f.eks. utvikling av programvarekode, regnskapsinformasjon om lønn). De må derfor ha klare avtaler om nøyaktig hvilken tilgang de gir dem, slik at de kan kontrollere sikkerheten rundt det.
Dette er spesielt viktig med stadig flere informasjonshåndtering, prosessering og teknologitjenester som outsources. Det betyr å ha et sted å vise ledelse av forholdet skjer; kontrakter, kontakter, hendelser, relasjonsaktivitet og risikostyring osv. Der leverandøren også er intimt involvert i organisasjonen, men kanskje ikke har sitt eget sertifiserte ISMS, er det også verdt å demonstrere samsvar rundt å sikre at leverandørpersonalet er utdannet og klar over sikkerhet, opplært i retningslinjene dine osv.
Emnespesifikke tilnærminger oppmuntrer organisasjoner til å lage leverandørrelaterte retningslinjer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge en generell leverandørstyringspolicy som gjelder for alle tredjepartsforhold på tvers av en organisasjons kommersielle drift.
Det er viktig å merke seg at ISO 27001 Annex A Control 5.19 ber organisasjonen implementere retningslinjer og prosedyrer som ikke bare styrer organisasjonens bruk av leverandørressurser og skyplattformer, men også danner grunnlaget for hvordan de forventer at leverandørene deres skal oppføre seg før og gjennom hele det kommersielle forholdet.
Som sådan kan vedlegg A-kontroll 5.19 sees på som det vesentlige kvalifiserende dokumentet som dikterer hvordan informasjonssikkerhetsstyring håndteres i løpet av en leverandørkontrakt.
ISO 27001 vedlegg A Kontroll 5.19 inneholder 14 hovedveiledningspunkter som skal følges:
1) Opprettholde en nøyaktig oversikt over leverandørtyper (f.eks. finansielle tjenester, IKT-maskinvare, telefoni) som har potensial til å påvirke informasjonssikkerhetens integritet.
Samsvar – Lag en liste over alle leverandører som din organisasjon jobber med, kategoriser dem i henhold til deres forretningsfunksjon og legg til kategorier til nevnte leverandørtyper etter behov.
2) Forstå hvordan du vet leverandører, basert på risikonivået som er iboende for deres leverandørtype.
Samsvar – Ulike leverandørtyper vil kreve ulike due diligence-kontroller. Vurder å bruke kontrollmetoder på leverandør-for-leverandør-basis (f.eks. bransjereferanser, regnskaper, vurderinger på stedet, sektorspesifikke sertifiseringer som Microsoft-partnerskap).
3) Identifiser leverandører som har forhåndseksisterende informasjonssikkerhetskontroller på plass.
Samsvar – Be om å se kopier av leverandørers relevante styringsprosedyrer for informasjonssikkerhet, for å vurdere risikoen for din egen organisasjon. Hvis de ikke har noen, er det ikke et godt tegn.
4) Identifiser og definer de spesifikke områdene av din organisasjons IKT-infrastruktur som leverandørene dine enten vil kunne få tilgang til, overvåke eller benytte seg av selv.
Samsvar – Det er viktig å fastslå fra første stund nøyaktig hvordan leverandørene dine skal samhandle med IKT-ressursene dine – enten de er fysiske eller virtuelle – og hvilke tilgangsnivåer de gis i henhold til kontraktsmessige forpliktelser.
5) Definer hvordan leverandørenes egen IKT-infrastruktur kan påvirke dine egne og dine kunders data.
Samsvar – En organisasjons første forpliktelse er sitt eget sett med informasjonssikkerhetsstandarder. Leverandørers IKT-ressurser må gjennomgås i samsvar med deres potensial for å påvirke oppetid og integritet i hele organisasjonen.
6) Identifiser og administrer de ulike informasjonssikkerhetsrisikoene knyttet til:
en. Leverandørbruk av konfidensiell informasjon eller beskyttede eiendeler (f.eks. begrenset til ondsinnet bruk og/eller kriminelle hensikter).
b. Defekt leverandørmaskinvare eller feilfungerende programvareplattform knyttet til lokale eller skybaserte tjenester.
Samsvar – Organisasjoner må hele tiden være oppmerksomme på informasjonssikkerhetsrisikoene forbundet med katastrofale hendelser, for eksempel uhyggelig aktivitet på leverandørsiden eller store uforutsette programvarehendelser, og deres innvirkning på organisasjonens informasjonssikkerhet.
7) Overvåke overholdelse av informasjonssikkerhet på et emnespesifikk eller leverandørtypebasis.
Samsvar – Organisasjonens behov for å sette pris på informasjonssikkerhet implikasjoner som ligger i hver leverandørtype, og justere deres overvåkingsaktivitet for å imøtekomme ulike risikonivåer.
8) Begrens mengden skade og/eller forstyrrelse forårsaket av manglende overholdelse.
Samsvar – Leverandøraktivitet bør overvåkes på en hensiktsmessig måte, og i varierende grad, i samsvar med risikonivået. Der det oppdages manglende overholdelse, enten proaktivt eller reaktivt, bør det iverksettes umiddelbare tiltak.
9) Oppretthold en robust hendelsesadministrasjon prosedyre som adresserer en rimelig mengde beredskap.
Samsvar – Organisasjoner bør forstå nøyaktig hvordan de skal reagere når de står overfor et bredt spekter av hendelser knyttet til levering av tredjepartsprodukter og -tjenester, og skissere avhjelpende tiltak som inkluderer både leverandøren og organisasjonen.
10) Vedta tiltak som ivaretar tilgjengeligheten og behandlingen av leverandørens informasjon, uansett hvor den brukes, og dermed sikre integriteten til organisasjonens egen informasjon.
Samsvar – Det bør iverksettes tiltak for å sikre at leverandørsystemer og data håndteres på en måte som ikke går på akkord med tilgjengeligheten og sikkerheten til organisasjonens egne systemer og informasjon.
11) Lag en grundig opplæringsplan som gir veiledning om hvordan personalet skal samhandle med leverandørpersonell og informasjon på leverandør-for-leverandør-basis, eller type-for-type.
Samsvar – Opplæring bør dekke hele spekteret av styring mellom en organisasjon og dens leverandører, inkludert engasjement, detaljerte risikostyringskontroller og emnespesifikke prosedyrer.
12) Forstå og administrere risikonivået som er iboende ved overføring av informasjon og fysiske og virtuelle eiendeler mellom organisasjonen og deres leverandører.
Samsvar – Organisasjoner bør kartlegge hvert trinn i overføringsprosessen og opplyse personalet om risikoen forbundet med å flytte eiendeler og informasjon fra en kilde til en annen.
13) Sørge for at leverandørforhold avsluttes med informasjonssikkerhet i tankene, inkludert fjerning av tilgangsrettigheter og muligheten til å få tilgang til organisasjonsinformasjon.
Samsvar – IKT-teamene dine bør ha en klar forståelse av hvordan de kan tilbakekalle en leverandørs tilgang til informasjon, inkludert:
- Granulær analyse av tilknyttede domene og/eller skybaserte kontoer.
- Distribusjon av intellektuell eiendom.
- Portering av informasjon mellom leverandører, eller tilbake til din organisasjon.
- Registeradministrasjon.
- Returnere eiendeler til den opprinnelige eieren.
- Tilstrekkelig avhending av fysiske og virtuelle eiendeler, inkludert informasjon.
- Overholdelse av eventuelle kontraktsmessige krav, inkludert konfidensialitetsklausuler og/eller eksterne avtaler.
14) Skisser nøyaktig hvordan du forventer at leverandøren skal opptre når det gjelder fysiske og virtuelle sikkerhetstiltak.
Samsvar – Organisasjoner bør stille klare forventninger fra begynnelsen av ethvert kommersielt forhold, som spesifiserer hvordan personell på leverandørsiden forventes å oppføre seg når de samhandler med dine ansatte eller eventuelle relevante eiendeler.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning om vedlegg A 5.19
ISO erkjenner at det ikke alltid er mulig å pålegge en leverandør et fullstendig sett med retningslinjer som oppfyller hvert eneste krav fra listen ovenfor slik ISO 27001 Annex A Control 5.19 har til hensikt, spesielt når det gjelder rigide offentlige organisasjoner.
Når det er sagt, sier vedlegg A Kontroll 5.19 klart at organisasjoner bør bruke veiledningen ovenfor når de danner relasjoner med leverandører, og vurdere manglende etterlevelse fra sak til sak.
Der full overholdelse ikke er oppnåelig, gir vedlegg A Kontroll 5.19 organisasjoner spillerom ved å anbefale "kompenserende kontroller" som oppnår tilstrekkelige nivåer av risikostyring, basert på en organisasjons unike omstendigheter.
Hva er endringene fra ISO 27001:2013?
ISO 27001:2022 vedlegg A 5.19 erstatter ISO 27001:2013 Vedlegg A 15.1.1 (Informasjonssikkerhetspolicy for leverandørforhold).
ISO 27001:2022 vedlegg A 5.19 følger stort sett de samme underliggende konseptene som finnes i 2013-kontrollen, men inneholder flere tilleggsveiledningsområder som enten er utelatt fra ISO 27001:2013 vedlegg A 5.1.1, eller i det minste ikke dekket i så mange detaljer, inkludert:
- Vetting av leverandører basert på deres leverandørtype og risikonivå.
- Behovet for å sikre integriteten til leverandørinformasjon for å sikre egne data, og sikre forretningskontinuitet.
- De ulike trinnene som kreves når et leverandørforhold avsluttes, inkludert avvikling av tilgangsrettigheter, IP-distribusjon, kontraktsmessige avtaler etc.
ISO 27001:2022 vedlegg A 5.19 er også eksplisitt når det gjelder å anerkjenne den svært varierende karakteren til leverandørforhold (basert på type, sektor og risikonivå), og gir organisasjoner et visst spillerom når de vurderer muligheten for manglende etterlevelse av en gitt veiledning punkt, basert på forholdets art (se "Supplerende veiledning" ovenfor).
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan hjelper ISMS.online med leverandørforhold?
ISMS.online har gjort dette kontrollmålet veldig enkelt ved å gi bevis på at relasjonene dine er nøye valgt, administrert godt i livet, inkludert å bli overvåket og gjennomgått. Vårt brukervennlige kontoforhold (f.eks. leverandør)-området gjør nettopp det. Samarbeidsprosjektets arbeidsrom er gode for viktig leverandør-onboarding, fellesinitiativer, off-boarding osv. som revisor også kan se med letthet ved behov.
ISMS.online har også gjort dette kontrollmålet enklere for din organisasjon ved å gjøre det mulig for deg å fremlegge bevis på at leverandøren formelt har forpliktet seg til å overholde kravene og har forstått sitt ansvar for informasjonssikkerhet gjennom våre policypakker. Politikkpakker er ideelle der organisasjonen har spesifikke retningslinjer og kontroller den vil at leverandørpersonalet skal følge og ha tillit til at de har lest dem og forpliktet seg til å overholde – utover de bredere avtalene mellom kunde og leverandør.
Avhengig av endringens art (dvs. for mer materielle endringer) kan det være et bredere krav om å tilpasse seg A.6.1.5 informasjonssikkerhet i prosjektledelse.
Ved å bruke ISMS.online kan du:
- Implementer raskt et styringssystem for informasjonssikkerhet (ISMS).
- Administrer enkelt dokumentasjonen til ISMS.
- Strømlinjeform overholdelse av alle relevante standarder.
- Administrer alle aspekter av informasjonssikkerhet, fra risikostyring til opplæring i sikkerhetsbevissthet.
- Kommuniser effektivt gjennom hele organisasjonen ved å bruke vår innebygde kommunikasjonsfunksjonalitet.
Ta kontakt i dag for å bestill en demo.
