- Se ISO 27002:2022 Kontroll 5.20 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 15.1.2 for mer informasjon.
Hva er formålet med ISO 27001:2022 vedlegg A 5.20?
ISO 27001 Annex A Kontroll 5.20 styrer hvordan en organisasjon inngår en kontrakt med en leverandør basert på deres krav til sikkerhet. Dette er basert på hvilke typer leverandører de samarbeider med.
Som en del av vedlegg A Kontroll 5.20 må organisasjoner og deres leverandører bli enige om gjensidig akseptabel informasjonssikkerhet forpliktelser til å opprettholde risiko.
Hvem har eierskap til vedlegg A 5.20?
Vedleggskontroll 5.20 bør bestemmes av om organisasjonen driver sin egen juridiske avdeling, samt arten av avtalen som er signert.
Håndtere eventuelle endringer i forsyningskjeden retningslinjer, prosedyrer og kontroller, inkludert vedlikehold og forbedring av eksisterende retningslinjer, prosedyrer og kontroller for informasjonssikkerhet, anses som effektiv kontroll.
Dette bestemmes ved å vurdere hvor kritisk virksomhetsinformasjonen er, endringens art, typen(e) leverandører som er berørt, systemene og prosessene som er involvert, og revurdere risikofaktorer. Endring av tjenestene en leverandør leverer bør også vurdere forholdets intimitet og organisasjonens evne til å påvirke eller kontrollere endringen.
Eierskap av 5.20 bør ligge hos den enkelte som er ansvarlig for juridisk bindende avtaler i organisasjonen (kontrakter, memoer om forståelse, servicenivåavtaler osv.) hvis organisasjonen har juridisk kapasitet til å utarbeide, endre og lagre sine kontraktsavtaler uten involvering av tredjeparter.
Et medlem av toppledelsen i organisasjonen som fører tilsyn med den kommersielle driften av organisasjonen og opprettholder direkte relasjoner med dens leverandører, bør ta ansvar for vedlegg A Kontroll 5.20 dersom organisasjonen setter ut slike avtaler.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27001:2022 vedlegg A 5.20 Generell veiledning
Kontroll 5.20 i vedlegg A inneholder 25 veiledningspunkter som ISO-stater er "mulig å vurdere" (dvs. ikke nødvendigvis alle) for at organisasjoner skal oppfylle sine krav til informasjonssikkerhet.
Vedlegg A Kontroll 5.20 spesifiserer at uavhengig av vedtatte tiltak, må begge parter gå ut av prosessen med en «klar forståelse» av hverandres informasjonssikkerhetsforpliktelser.
- Det er viktig å gi en klar beskrivelse av informasjonen som må aksesseres og hvordan denne informasjonen vil skaffes tilgang.
- Organisasjoner bør klassifisere informasjon etter deres publiserte klassifiseringsordninger (se vedlegg A kontroller 5.10, 5.12 og 5.13).
- Informasjonsklassifisering på leverandørsiden bør vurderes sammen med hvordan det forholder seg til det på organisasjonens side.
- Generelt kan begge parters rettigheter deles inn i fire kategorier: juridiske, lovfestede, regulatoriske og kontraktsmessige. Som standard med kommersielle avtaler, bør ulike forpliktelser være klart skissert innenfor disse fire områdene, inkludert tilgang til personopplysninger, immaterielle rettigheter og opphavsrettslige bestemmelser. Kontrakten bør også dekke hvordan disse nøkkelområdene skal behandles separat.
- Som en del av kontrollsystemet vedlegg A, bør hver part pålegges å implementere samtidige tiltak utformet for å overvåke, vurdere og administrere informasjonssikkerhetsrisikoer (som tilgangskontrollpolicyer, kontraktsmessige gjennomganger, overvåking, rapportering og periodisk revisjon). Videre bør avtalen tydelig angi at leverandørpersonell skal overholde organisasjonens informasjonssikkerhetsstandarder (se ISO 27001 vedlegg A Kontroll 5.20).
- Begge parter må tydelig forstå hva som utgjør akseptabel og uakseptabel bruk av informasjon, samt fysiske og virtuelle eiendeler.
- For å sikre at personell på leverandørsiden kan få tilgang til og se en organisasjons informasjon, bør prosedyrer settes på plass (f.eks. revisjoner på leverandørsiden og servertilgangskontroller).
- I tillegg til å vurdere leverandørens IKT-infrastruktur, er det viktig å forstå hvordan det forholder seg til typen informasjon organisasjonen vil få tilgang til. Dette kommer i tillegg til organisasjonens kjernesett med forretningskrav.
- Hvis leverandøren bryter kontrakten eller ikke overholder individuelle vilkår, bør organisasjonen vurdere hvilke skritt den kan ta.
- Konkret bør avtalen beskrive en gjensidig hendelseshåndteringsprosedyre som klargjør hvordan problemer skal håndteres når de oppstår. Dette inkluderer hvordan begge parter skal kommunisere når en hendelse inntreffer.
- Begge parter bør gi tilstrekkelig bevisstgjøringstrening (der standardopplæring ikke er tilstrekkelig) på nøkkelområder i avtalen, spesielt på risikoområder som hendelseshåndtering og informasjonsdeling.
- Bruken av underleverandører bør ivaretas tilstrekkelig. Organisasjoner bør sørge for at, dersom leverandøren har tillatelse til å bruke underleverandører, slike personer eller selskaper følger de samme informasjonssikkerhetsstandardene som leverandøren.
- Så langt det er lovlig og operasjonelt mulig, bør organisasjoner vurdere hvordan leverandørpersonell screenes før de samhandler med informasjonen deres. I tillegg bør de vurdere hvordan screeninger registreres og rapporteres til organisasjonen, inkludert ikke-screenet personell og bekymringsområder.
- Tredjepartsattest, for eksempel uavhengig rapporter og tredjepartsrevisjoner, bør kreves av organisasjoner for leverandører som overholder deres krav til informasjonssikkerhet.
- ISO 27001:2022 vedlegg A Kontroll 5.20 krever at organisasjoner har rett til å evaluere og revidere sine leverandørers prosedyrer.
- En leverandør bør være pålagt å levere periodiske rapporter (med varierende intervaller) som oppsummerer effektiviteten av deres prosesser og prosedyrer og hvordan de har til hensikt å håndtere eventuelle problemer som reises.
- Under forholdet bør avtalen inneholde tiltak for å sikre at eventuelle mangler eller konflikter blir løst i tide og grundig.
- En passende BUDR-policy bør implementeres av leverandøren, skreddersydd for å møte organisasjonens behov, som ivaretar tre hovedhensyn: a) Sikkerhetskopieringstype (full server, fil og mappe, inkrementell), b) Sikkerhetskopieringsfrekvens (daglig, ukentlig, etc.). ) C) Sikkerhetskopieringsplassering og kildemedier (på stedet, utenfor stedet).
- Det er viktig å sikre dataresiliens ved å operere fra et nødgjenopprettingsanlegg atskilt fra leverandørens hoved-IKT-sted. Dette anlegget er ikke underlagt samme risikonivå som hoved-IKT-stedet.
- Leverandører bør opprettholde en omfattende policy for endringshåndtering som gjør det mulig for organisasjonen å avvise eventuelle endringer som kan påvirke informasjonssikkerheten på forhånd.
- Fysiske sikkerhetskontroller bør implementeres avhengig av hvilken informasjon de har tilgang til (bygningsadgang, besøkstilgang, romtilgang, skrivebordssikkerhet).
- Når data overføres mellom eiendeler, nettsteder, servere eller lagringsplasser, bør leverandører sørge for at dataene og eiendelene er beskyttet mot tap, skade eller korrupsjon.
- Som en del av avtalen bør hver part være pålagt å foreta en omfattende liste over handlinger i tilfelle oppsigelse (se vedlegg A Kontroll 5.20). Disse handlingene inkluderer (men er ikke begrenset til): a) avhending av eiendeler og/eller flytting, b) sletting av informasjon, c) returnering av IP, d) fjerning av tilgangsrettigheter e) vedvarende konfidensialitetsforpliktelser.
- I tillegg til punkt 23 bør leverandøren diskutere i detalj hvordan den har til hensikt å ødelegge/ permanent slette organisasjonens informasjon når den ikke lenger er nødvendig (dvs. ved oppsigelse av kontrakten).
- Hver gang en kontrakt avsluttes og det oppstår behov for å overføre støtte og/eller tjenester til en annen leverandør som ikke er oppført på kontrakten, tas det skritt for å sikre at forretningsdriften ikke avbrytes.
Medfølgende vedlegg A kontroller
- ISO 27001:2022 vedlegg A 5.10
- ISO 27001:2022 vedlegg A 5.12
- ISO 27001:2022 vedlegg A 5.13
- ISO 27001:2022 vedlegg A 5.20
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Supplerende veiledning om vedlegg A 5.20
Vedlegg A Kontroll 5.20 anbefaler at organisasjoner fører et avtaleregister for å hjelpe dem med å administrere sine leverandørforhold.
Registreringer over alle avtaler som holdes med andre organisasjoner bør oppbevares, kategorisert etter forholdets art. Dette inkluderer kontrakter, memoranda of understanding og avtaler knyttet til informasjonsdeling.
Hva er endringene fra ISO 27001:2013?
Det er gjort en endring i ISO 27001:2013 vedlegg A 15.1.2 (Adressering av sikkerhet innenfor leverandøravtaler) til ISO 27001: 2022 Vedlegg A Kontroll 5.20.
Flere tilleggsretningslinjer er inneholdt i vedlegg A kontroll 5.20 av ISO 27001:2022 som tar for seg et bredt spekter av tekniske, juridiske og samsvarsrelaterte problemer, inkludert:
- Overleveringsprosedyren.
- Ødeleggelse av informasjon.
- Bestemmelser for oppsigelse.
- Kontroller for fysisk sikkerhet.
- Endringsledelse.
- Informasjonsredundans og sikkerhetskopiering.
Som en generell regel legger ISO 27001:2022 vedlegg A 5.20 vekt på hvordan en leverandør oppnår redundans og dataintegritet gjennom en kontrakt.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva er fordelene ved å bruke ISMS.online for leverandørforhold?
En trinn-for-trinn sjekkliste guider deg gjennom hele ISO 27001 implementeringsprosess, fra å definere omfanget av ditt ISMS til å identifisere risikoer og implementere kontroller.
Gjennom ISMS.onlines brukervennlige kontoforhold (f.eks. leverandør) område, kan du sikre at dine relasjoner blir nøye utvalgt, administrert godt i livet og overvåket og gjennomgått. ISMS.onlines samarbeidsprosjektarbeidsplasser har lett oppnådd dette kontrollmålet. Disse arbeidsplassene er nyttige for leverandør på ombordstigning, felles tiltak, off boarding etc., som revisor også enkelt kan se ved behov.
Vi har også gjort dette kontrollmålet enklere for din organisasjon ved å gjøre det mulig for deg å demonstrere at leverandøren formelt har forpliktet seg til å overholde kravene. Dette gjøres gjennom vår Politikkpakker. Disse policypakkene er spesielt nyttige for organisasjoner med spesifikke retningslinjer og kontroller som de ønsker at leverandørene deres skal følge, slik at de kan ha tillit til at deres leverandører har lest disse retningslinjene og har forpliktet seg til å overholde dem.
Det kan være nødvendig å justere endringen med A.6.1.5 Informasjonssikkerhet i prosjektledelse avhengig av endringens art (f.eks. for mer omfattende endringer).
