ISO 27001:2022 Vedlegg A Kontroll 5.20

Adressering av informasjonssikkerhet innenfor leverandøravtaler

Bestill en demonstrasjon

ung,bedrift,kolleger,jobber,på,et,opptatt,åpent,plan,kontor

Hva er formålet med ISO 27001:2022 vedlegg A 5.20?

ISO 27001 Annex A Kontroll 5.20 styrer hvordan en organisasjon inngår en kontrakt med en leverandør basert på deres krav til sikkerhet. Dette er basert på hvilke typer leverandører de samarbeider med.

Som en del av vedlegg A Kontroll 5.20 må organisasjoner og deres leverandører bli enige om gjensidig akseptabel informasjonssikkerhet forpliktelser til å opprettholde risiko.

Hvem har eierskap til vedlegg A 5.20?

Vedleggskontroll 5.20 bør bestemmes av om organisasjonen driver sin egen juridiske avdeling, samt arten av avtalen som er signert.

Håndtere eventuelle endringer i forsyningskjeden retningslinjer, prosedyrer og kontroller, inkludert vedlikehold og forbedring av eksisterende retningslinjer, prosedyrer og kontroller for informasjonssikkerhet, anses som effektiv kontroll.

Dette bestemmes ved å vurdere hvor kritisk virksomhetsinformasjonen er, endringens art, typen(e) leverandører som er berørt, systemene og prosessene som er involvert, og revurdere risikofaktorer. Endring av tjenestene en leverandør leverer bør også vurdere forholdets intimitet og organisasjonens evne til å påvirke eller kontrollere endringen.

Eierskap av 5.20 bør ligge hos den enkelte som er ansvarlig for juridisk bindende avtaler i organisasjonen (kontrakter, memoer om forståelse, servicenivåavtaler osv.) hvis organisasjonen har juridisk kapasitet til å utarbeide, endre og lagre sine kontraktsavtaler uten involvering av tredjeparter.

Et medlem av toppledelsen i organisasjonen som fører tilsyn med den kommersielle driften av organisasjonen og opprettholder direkte relasjoner med dens leverandører, bør ta ansvar for vedlegg A Kontroll 5.20 dersom organisasjonen setter ut slike avtaler.

Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISO 27001:2022 vedlegg A 5.20 Generell veiledning

Kontroll 5.20 i vedlegg A inneholder 25 veiledningspunkter som ISO-stater er "mulig å vurdere" (dvs. ikke nødvendigvis alle) for at organisasjoner skal oppfylle sine krav til informasjonssikkerhet.

Vedlegg A Kontroll 5.20 spesifiserer at uavhengig av vedtatte tiltak, må begge parter gå ut av prosessen med en «klar forståelse» av hverandres informasjonssikkerhetsforpliktelser.

  1. Det er viktig å gi en klar beskrivelse av informasjonen som må aksesseres og hvordan denne informasjonen vil skaffes tilgang.

  2. Organisasjoner bør klassifisere informasjon etter deres publiserte klassifiseringsordninger (se vedlegg A kontroller 5.10, 5.12 og 5.13).

  3. Informasjonsklassifisering på leverandørsiden bør vurderes sammen med hvordan det forholder seg til det på organisasjonens side.

  4. Generelt kan begge parters rettigheter deles inn i fire kategorier: juridiske, lovfestede, regulatoriske og kontraktsmessige. Som standard med kommersielle avtaler, bør ulike forpliktelser være klart skissert innenfor disse fire områdene, inkludert tilgang til personopplysninger, immaterielle rettigheter og opphavsrettslige bestemmelser. Kontrakten bør også dekke hvordan disse nøkkelområdene skal behandles separat.

  5. Som en del av kontrollsystemet vedlegg A, bør hver part pålegges å implementere samtidige tiltak utformet for å overvåke, vurdere og administrere informasjonssikkerhetsrisikoer (som tilgangskontrollpolicyer, kontraktsmessige gjennomganger, overvåking, rapportering og periodisk revisjon). Videre bør avtalen tydelig angi at leverandørpersonell skal overholde organisasjonens informasjonssikkerhetsstandarder (se ISO 27001 vedlegg A Kontroll 5.20).

  6. Begge parter må tydelig forstå hva som utgjør akseptabel og uakseptabel bruk av informasjon, samt fysiske og virtuelle eiendeler.

  7. For å sikre at personell på leverandørsiden kan få tilgang til og se en organisasjons informasjon, bør prosedyrer settes på plass (f.eks. revisjoner på leverandørsiden og servertilgangskontroller).

  8. I tillegg til å vurdere leverandørens IKT-infrastruktur, er det viktig å forstå hvordan det forholder seg til typen informasjon organisasjonen vil få tilgang til. Dette kommer i tillegg til organisasjonens kjernesett med forretningskrav.

  9. Hvis leverandøren bryter kontrakten eller ikke overholder individuelle vilkår, bør organisasjonen vurdere hvilke skritt den kan ta.

  10. Konkret bør avtalen beskrive en gjensidig hendelseshåndteringsprosedyre som klargjør hvordan problemer skal håndteres når de oppstår. Dette inkluderer hvordan begge parter skal kommunisere når en hendelse inntreffer.

  11. Begge parter bør gi tilstrekkelig bevisstgjøringstrening (der standardopplæring ikke er tilstrekkelig) på nøkkelområder i avtalen, spesielt på risikoområder som hendelseshåndtering og informasjonsdeling.

  12. Bruken av underleverandører bør ivaretas tilstrekkelig. Organisasjoner bør sørge for at, dersom leverandøren har tillatelse til å bruke underleverandører, slike personer eller selskaper følger de samme informasjonssikkerhetsstandardene som leverandøren.

  13. Så langt det er lovlig og operasjonelt mulig, bør organisasjoner vurdere hvordan leverandørpersonell screenes før de samhandler med informasjonen deres. I tillegg bør de vurdere hvordan screeninger registreres og rapporteres til organisasjonen, inkludert ikke-screenet personell og bekymringsområder.

  14. Tredjepartsattest, for eksempel uavhengig rapporter og tredjepartsrevisjoner, bør kreves av organisasjoner for leverandører som overholder deres krav til informasjonssikkerhet.

  15. ISO 27001:2022 vedlegg A Kontroll 5.20 krever at organisasjoner har rett til å evaluere og revidere sine leverandørers prosedyrer.

  16. En leverandør bør være pålagt å levere periodiske rapporter (med varierende intervaller) som oppsummerer effektiviteten av deres prosesser og prosedyrer og hvordan de har til hensikt å håndtere eventuelle problemer som reises.

  17. Under forholdet bør avtalen inneholde tiltak for å sikre at eventuelle mangler eller konflikter blir løst i tide og grundig.

  18. En passende BUDR-policy bør implementeres av leverandøren, skreddersydd for å møte organisasjonens behov, som ivaretar tre hovedhensyn: a) Sikkerhetskopieringstype (full server, fil og mappe, inkrementell), b) Sikkerhetskopieringsfrekvens (daglig, ukentlig, etc.). ) C) Sikkerhetskopieringsplassering og kildemedier (på stedet, utenfor stedet).

  19. Det er viktig å sikre dataresiliens ved å operere fra et nødgjenopprettingsanlegg atskilt fra leverandørens hoved-IKT-sted. Dette anlegget er ikke underlagt samme risikonivå som hoved-IKT-stedet.

  20. Leverandører bør opprettholde en omfattende policy for endringshåndtering som gjør det mulig for organisasjonen å avvise eventuelle endringer som kan påvirke informasjonssikkerheten på forhånd.

  21. Fysiske sikkerhetskontroller bør implementeres avhengig av hvilken informasjon de har tilgang til (bygningsadgang, besøkstilgang, romtilgang, skrivebordssikkerhet).

  22. Når data overføres mellom eiendeler, nettsteder, servere eller lagringsplasser, bør leverandører sørge for at dataene og eiendelene er beskyttet mot tap, skade eller korrupsjon.

  23. Som en del av avtalen bør hver part være pålagt å foreta en omfattende liste over handlinger i tilfelle oppsigelse (se vedlegg A Kontroll 5.20). Disse handlingene inkluderer (men er ikke begrenset til): a) avhending av eiendeler og/eller flytting, b) sletting av informasjon, c) returnering av IP, d) fjerning av tilgangsrettigheter e) vedvarende konfidensialitetsforpliktelser.

  24. I tillegg til punkt 23 bør leverandøren diskutere i detalj hvordan den har til hensikt å ødelegge/ permanent slette organisasjonens informasjon når den ikke lenger er nødvendig (dvs. ved oppsigelse av kontrakten).

  25. Hver gang en kontrakt avsluttes og det oppstår behov for å overføre støtte og/eller tjenester til en annen leverandør som ikke er oppført på kontrakten, tas det skritt for å sikre at forretningsdriften ikke avbrytes.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.10

  • ISO 27001:2022 vedlegg A 5.12

  • ISO 27001:2022 vedlegg A 5.13

  • ISO 27001:2022 vedlegg A 5.20

Supplerende veiledning om vedlegg A 5.20

Vedlegg A Kontroll 5.20 anbefaler at organisasjoner fører et avtaleregister for å hjelpe dem med å administrere sine leverandørforhold.

Registreringer over alle avtaler som holdes med andre organisasjoner bør oppbevares, kategorisert etter forholdets art. Dette inkluderer kontrakter, memoranda of understanding og avtaler knyttet til informasjonsdeling.

Hva er endringene fra ISO 27001:2013?

Det er gjort en endring i ISO 27001:2013 vedlegg A 15.1.2 (Adressering av sikkerhet innenfor leverandøravtaler) til ISO 27001: 2022 Vedlegg A Kontroll 5.20.

Flere tilleggsretningslinjer er inneholdt i vedlegg A kontroll 5.20 av ISO 27001:2022 som tar for seg et bredt spekter av tekniske, juridiske og samsvarsrelaterte problemer, inkludert:

  • Overleveringsprosedyren.

  • Ødeleggelse av informasjon.

  • Bestemmelser for oppsigelse.

  • Kontroller for fysisk sikkerhet.

  • Endringsledelse.

  • Informasjonsredundans og sikkerhetskopiering.

Som en generell regel legger ISO 27001:2022 vedlegg A 5.20 vekt på hvordan en leverandør oppnår redundans og dataintegritet gjennom en kontrakt.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hva er fordelene ved å bruke ISMS.online for leverandørforhold?

En trinn-for-trinn sjekkliste guider deg gjennom hele ISO 27001 implementeringsprosess, fra å definere omfanget av ditt ISMS til å identifisere risikoer og implementere kontroller.

Gjennom ISMS.onlines brukervennlige kontoforhold (f.eks. leverandør) område, kan du sikre at dine relasjoner blir nøye utvalgt, administrert godt i livet og overvåket og gjennomgått. ISMS.onlines samarbeidsprosjektarbeidsplasser har lett oppnådd dette kontrollmålet. Disse arbeidsplassene er nyttige for leverandør på ombordstigning, felles tiltak, off boarding etc., som revisor også enkelt kan se ved behov.

Vi har også gjort dette kontrollmålet enklere for din organisasjon ved å gjøre det mulig for deg å demonstrere at leverandøren formelt har forpliktet seg til å overholde kravene. Dette gjøres gjennom vår Politikkpakker. Disse policypakkene er spesielt nyttige for organisasjoner med spesifikke retningslinjer og kontroller som de ønsker at leverandørene deres skal følge, slik at de kan ha tillit til at deres leverandører har lest disse retningslinjene og har forpliktet seg til å overholde dem.

Det kan være nødvendig å justere endringen med A.6.1.5 Informasjonssikkerhet i prosjektledelse avhengig av endringens art (f.eks. for mer omfattende endringer).

Bestill en demo i dag.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer