Hva er formålet med ISO 27001:2022 vedlegg A 5.22?
Vedlegg A kontroll 5.22 har som mål å sikre at en avtalt nivå av informasjonssikkerhet og tjenesteleveransen opprettholdes. Dette er i henhold til leverandørkontrakter vedrørende leverandørtjenesteutvikling.
Tjenestene til leverandørene blir overvåket og gjennomgått
I vedlegg A 5.22 beskrives organisasjoner som regelmessig overvåking, gjennomgang og revisjon av sine leverandørtjenesters leveringsprosesser. Gjennomføring og overvåking gjøres best i samsvar med informasjonen som er i fare, siden én størrelse ikke passer i alle situasjoner.
Ved å gjennomføre sine vurderinger i samsvar med den foreslåtte segmenteringen av leverandører, kan organisasjonen optimere ressursene sine og sikre at deres innsats konsentreres om overvåking og gjennomgang hvor den mest betydelige effekten kan oppnås.
Som med vedlegg A 5.19, er pragmatisme noen ganger nødvendig – små organisasjoner vil ikke nødvendigvis motta en revisjon, en gjennomgang av menneskelige ressurser eller dedikerte tjenesteforbedringer ved å bruke AWS. For å sikre at de forblir egnet for ditt formål, kan du sjekke (for eksempel) deres årlig publiserte SOC II-rapporter og sikkerhetssertifiseringer.
Overvåking bør dokumenteres basert på din makt, risiko og verdi, slik at din revisor kan bekrefte at den er fullført. Dette er fordi eventuelle nødvendige endringer har blitt håndtert gjennom en formell endringskontrollprosedyre.
Administrere endringer i leverandørtjenester
Leverandører må vedlikeholde og forbedre eksisterende retningslinjer, prosedyrer og kontroller for informasjonssikkerhet for å håndtere eventuelle endringer i levering av tjenester fra leverandører. Prosessen vurderer hvor kritisk virksomhetsinformasjon er, endringens art, leverandørtypene som er berørt, prosessene og systemene som er involvert, og en revurdering av risikoer.
Ved endringer i leverandørenes tjenester er det også viktig å ta hensyn til intimiteten i forholdet. Dette er samt organisasjonens evne til å påvirke eller kontrollere en endring innad i leverandøren.
Kontroll 5.22 spesifiserer hvordan organisasjoner skal overvåke, gjennomgå og administrere endringer i en leverandørs sikkerhetspraksis og tjenester leveringsstandarder. Den vurderer også hvordan de påvirker organisasjonens egen sikkerhetspraksis.
I håndteringen av relasjoner med sine leverandører, bør en organisasjon bestrebe seg på å opprettholde et grunnleggende nivå av informasjonssikkerhet som samsvarer med eventuelle avtaler de har signert.
I samsvar med ISO 27001:2022 er vedlegg A 5.22 en forebyggende kontroll designet for å minimere risiko ved å hjelpe leverandøren med å opprettholde et "avtalt nivå for informasjonssikkerhet og tjenestelevering.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A-kontroll 5.22
Et medlem av toppledelsen som fører tilsyn med en organisasjons kommersielle drift og opprettholder et direkte forhold til organisasjonens leverandører, bør være ansvarlig for Kontroll 5.22.
ISO 27001:2022 vedlegg A 5.22 Generell veiledning
Ifølge ISO 27001:2022 vedlegg A Kontroll 5.22, 13 nøkkelområder bør vurderes ved håndtering av leverandørforhold og hvordan disse faktorene påvirker deres egne informasjonssikkerhetstiltak.
En organisasjon må sikre at ansatte som er ansvarlige for å administrere servicenivåavtaler og leverandørrelasjoner besitter nødvendig kompetanse og tekniske ressurser. Dette for å sikre at de er i stand til å evaluere leverandørens ytelse tilstrekkelig og at informasjonssikkerhetsstandarden ikke brytes.
En organisasjons retningslinjer og prosedyrer bør utarbeides av:
- Kontinuerlig overvåke servicenivåer i henhold til publiserte servicenivåavtaler, og adressere eventuelle mangler så snart de oppstår.
- Leverandøren må overvåkes for eventuelle endringer i egen drift, inkludert (men ikke begrenset til): (1) Tjenesteforbedringer (2) Nye applikasjoner, systemer eller programvareprosesser (3) Relevante og meningsfulle revisjoner av de interne styringsdokumentene til leverandør, og (4) eventuelle endringer i hendelseshåndteringsprosedyrer eller forsøk på å forbedre nivået på informasjonssikkerhet.
- Eventuelle endringer som involverer tjenesten, inkludert (men ikke begrenset til): a) Infrastrukturendringer b) Applikasjoner av fremvoksende teknologier c) Produktoppdateringer og versjonsoppgraderinger d) Endringer i utviklingsmiljøet e) Logistiske og fysiske endringer i leverandøranlegg, inkludert nye lokasjoner f) Endringer i outsourcing-partnere eller underleverandører g) Intensjoner om underleverandører, der slik praksis ikke har vært praktisert tidligere.
- Sørge for at det leveres servicerapporter regelmessig, at data analyseres og at gjennomgangsmøter gjennomføres i henhold til avtalte servicenivåer.
- Sørg for at outsourcing-partnere og underleverandører blir revidert og adresserer eventuelle bekymringsområder.
- Foreta en gjennomgang av sikkerhetshendelser basert på standarden og praksis som er avtalt av leverandøren og i samsvar med hendelseshåndteringsstandardene.
- Det bør opprettholdes journal over alle hendelser med informasjonssikkerhet, konkrete driftsproblemer, feillogger og generelle barrierer for å oppfylle avtalte standarder for levering av tjenester.
- Ta proaktiv handling som svar på hendelser knyttet til informasjonssikkerhet.
- Identifiser eventuelle sårbarheter i informasjonssikkerhet og reduser dem i størst mulig grad.
- Utfør en analyse av eventuelle relevante informasjonssikkerhetsfaktorer knyttet til leverandørens forhold til sine leverandører og underleverandører.
- Ved betydelige forstyrrelser fra leverandørens side, inkludert katastrofegjenoppretting, sikre at tjenesteleveransen leveres til akseptable nivåer.
- Gi en liste over nøkkelpersonell i leverandørens drift som er ansvarlig for å opprettholde samsvar og overholde vilkårene i kontrakten.
- Sørg for at en leverandør opprettholder en standard standard for informasjonssikkerhet regelmessig.
Støtte vedlegg A kontroller
- ISO 27001:2022 vedlegg A 5.29
- ISO 27001:2022 vedlegg A 5.30
- ISO 27001:2022 vedlegg A 5.35
- ISO 27001:2022 vedlegg A 5.36
- ISO 27001:2022 vedlegg A 8.14
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva er fordelen med å bruke ISMS.online for å administrere leverandørforhold?
Dette vedlegg A-kontrollmålet er gjort veldig enkelt av ISMS.online. Dette er fordi ISMS.online gir bevis på at relasjonene dine er nøye utvalgt, godt administrert og overvåket og gjennomgått. Dette gjøres i vårt brukervennlige kontoforhold (f.eks. leverandør) område. Arbeidsrom for samarbeidsprosjekter lar revisor enkelt se viktig leverandør på boarding, felles initiativ, off boarding, etc.
I tillegg til å hjelpe organisasjonen din med dette vedlegg A-kontrollmålet, ISMS.online gir deg også muligheten å fremlegge bevis på at leverandøren formelt har akseptert kravene og har forstått sitt ansvar for informasjonssikkerhet gjennom våre policypakker. Som et resultat av deres spesifikke retningslinjer og kontroller, Policy Packs forsikrer leverandører at deres ansatte har lest og forpliktet seg til å overholde organisasjonens retningslinjer og kontroller.
Det kan være et bredere krav om å tilpasse seg vedlegg A.5.8 Informasjonssikkerhet i prosjektledelse, avhengig av endringens art (f.eks. for mer materielle endringer).
Det er enklere å implementere ISO 27001 med vår trinnvise sjekkliste, som veileder deg fra å definere ditt ISMS-omfang til å identifisere risikoer og implementere kontroller.
ISMS.online tilbyr følgende fordeler:
- Plattformen lar deg lage en ISMS-kompatibel med ISO 27001 krav.
- Brukere kan fullføre oppgaver og sende inn bevis for å demonstrere samsvar med standarden.
- Prosessen med å delegere ansvar og overvåke fremdriften i samsvar er enkel.
- Som et resultat av den omfattende risikovurdering verktøysett er prosessen fremskyndet og tidsbesparende.
- Et dedikert team av konsulenter kan hjelpe deg gjennom hele compliance-prosessen.
Ta kontakt med oss i dag for å planlegg en demonstrasjon.
