ISO 27001:2022 Vedlegg A Kontroll 5.22

Overvåking og gjennomgang og endringsstyring av leverandørtjenester

Bestill en demonstrasjon

topp,visning,forretninger,mennesker,arbeid,hjemmefra,bruker,bærbar datamaskin,på

Hva er formålet med ISO 27001:2022 vedlegg A 5.22?

Vedlegg A kontroll 5.22 har som mål å sikre at en avtalt nivå av informasjonssikkerhet og tjenesteleveransen opprettholdes. Dette er i henhold til leverandørkontrakter vedrørende leverandørtjenesteutvikling.

Tjenestene til leverandørene blir overvåket og gjennomgått

I vedlegg A 5.22 beskrives organisasjoner som regelmessig overvåking, gjennomgang og revisjon av sine leverandørtjenesters leveringsprosesser. Gjennomføring og overvåking gjøres best i samsvar med informasjonen som er i fare, siden én størrelse ikke passer i alle situasjoner.

Ved å gjennomføre sine vurderinger i samsvar med den foreslåtte segmenteringen av leverandører, kan organisasjonen optimere ressursene sine og sikre at deres innsats konsentreres om overvåking og gjennomgang hvor den mest betydelige effekten kan oppnås.

Som med vedlegg A 5.19, er pragmatisme noen ganger nødvendig – små organisasjoner vil ikke nødvendigvis motta en revisjon, en gjennomgang av menneskelige ressurser eller dedikerte tjenesteforbedringer ved å bruke AWS. For å sikre at de forblir egnet for ditt formål, kan du sjekke (for eksempel) deres årlig publiserte SOC II-rapporter og sikkerhetssertifiseringer.

Overvåking bør dokumenteres basert på din makt, risiko og verdi, slik at din revisor kan bekrefte at den er fullført. Dette er fordi eventuelle nødvendige endringer har blitt håndtert gjennom en formell endringskontrollprosedyre.

Administrere endringer i leverandørtjenester

Leverandører må vedlikeholde og forbedre eksisterende retningslinjer, prosedyrer og kontroller for informasjonssikkerhet for å håndtere eventuelle endringer i levering av tjenester fra leverandører. Prosessen vurderer hvor kritisk virksomhetsinformasjon er, endringens art, leverandørtypene som er berørt, prosessene og systemene som er involvert, og en revurdering av risikoer.

Ved endringer i leverandørenes tjenester er det også viktig å ta hensyn til intimiteten i forholdet. Dette er samt organisasjonens evne til å påvirke eller kontrollere en endring innad i leverandøren.

Kontroll 5.22 spesifiserer hvordan organisasjoner skal overvåke, gjennomgå og administrere endringer i en leverandørs sikkerhetspraksis og tjenester leveringsstandarder. Den vurderer også hvordan de påvirker organisasjonens egen sikkerhetspraksis.

I håndteringen av relasjoner med sine leverandører, bør en organisasjon bestrebe seg på å opprettholde et grunnleggende nivå av informasjonssikkerhet som samsvarer med eventuelle avtaler de har signert.

I samsvar med ISO 27001:2022 er vedlegg A 5.22 en forebyggende kontroll designet for å minimere risiko ved å hjelpe leverandøren med å opprettholde et "avtalt nivå for informasjonssikkerhet og tjenestelevering.

Eierskap til vedlegg A-kontroll 5.22

Et medlem av toppledelsen som fører tilsyn med en organisasjons kommersielle drift og opprettholder et direkte forhold til organisasjonens leverandører, bør være ansvarlig for Kontroll 5.22.

Gå til emnet

ISO 27001:2022 vedlegg A 5.22 Generell veiledning

Ifølge ISO 27001:2022 vedlegg A Kontroll 5.22, 13 nøkkelområder bør vurderes ved håndtering av leverandørforhold og hvordan disse faktorene påvirker deres egne informasjonssikkerhetstiltak.

En organisasjon må sikre at ansatte som er ansvarlige for å administrere servicenivåavtaler og leverandørrelasjoner besitter nødvendig kompetanse og tekniske ressurser. Dette for å sikre at de er i stand til å evaluere leverandørens ytelse tilstrekkelig og at informasjonssikkerhetsstandarden ikke brytes.

En organisasjons retningslinjer og prosedyrer bør utarbeides av:

  1. Kontinuerlig overvåke servicenivåer i henhold til publiserte servicenivåavtaler, og adressere eventuelle mangler så snart de oppstår.

  2. Leverandøren må overvåkes for eventuelle endringer i egen drift, inkludert (men ikke begrenset til): (1) Tjenesteforbedringer (2) Nye applikasjoner, systemer eller programvareprosesser (3) Relevante og meningsfulle revisjoner av de interne styringsdokumentene til leverandør, og (4) eventuelle endringer i hendelseshåndteringsprosedyrer eller forsøk på å forbedre nivået på informasjonssikkerhet.

  3. Eventuelle endringer som involverer tjenesten, inkludert (men ikke begrenset til): a) Infrastrukturendringer b) Applikasjoner av fremvoksende teknologier c) Produktoppdateringer og versjonsoppgraderinger d) Endringer i utviklingsmiljøet e) Logistiske og fysiske endringer i leverandøranlegg, inkludert nye lokasjoner f) Endringer i outsourcing-partnere eller underleverandører g) Intensjoner om underleverandører, der slik praksis ikke har vært praktisert tidligere.

  4. Sørge for at det leveres servicerapporter regelmessig, at data analyseres og at gjennomgangsmøter gjennomføres i henhold til avtalte servicenivåer.

  5. Sørg for at outsourcing-partnere og underleverandører blir revidert og adresserer eventuelle bekymringsområder.

  6. Foreta en gjennomgang av sikkerhetshendelser basert på standarden og praksis som er avtalt av leverandøren og i samsvar med hendelseshåndteringsstandardene.

  7. Det bør opprettholdes journal over alle hendelser med informasjonssikkerhet, konkrete driftsproblemer, feillogger og generelle barrierer for å oppfylle avtalte standarder for levering av tjenester.

  8. Ta proaktiv handling som svar på hendelser knyttet til informasjonssikkerhet.

  9. Identifiser eventuelle sårbarheter i informasjonssikkerhet og reduser dem i størst mulig grad.

  10. Utfør en analyse av eventuelle relevante informasjonssikkerhetsfaktorer knyttet til leverandørens forhold til sine leverandører og underleverandører.

  11. Ved betydelige forstyrrelser fra leverandørens side, inkludert katastrofegjenoppretting, sikre at tjenesteleveransen leveres til akseptable nivåer.

  12. Gi en liste over nøkkelpersonell i leverandørens drift som er ansvarlig for å opprettholde samsvar og overholde vilkårene i kontrakten.

  13. Sørg for at en leverandør opprettholder en standard standard for informasjonssikkerhet regelmessig.

Støtte vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.29

  • ISO 27001:2022 vedlegg A 5.30

  • ISO 27001:2022 vedlegg A 5.35

  • ISO 27001:2022 vedlegg A 5.36

  • ISO 27001:2022 vedlegg A 8.14

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hva er fordelen med å bruke ISMS.online for å administrere leverandørforhold?

Dette vedlegg A-kontrollmålet er gjort veldig enkelt av ISMS.online. Dette er fordi ISMS.online gir bevis på at relasjonene dine er nøye utvalgt, godt administrert og overvåket og gjennomgått. Dette gjøres i vårt brukervennlige kontoforhold (f.eks. leverandør) område. Arbeidsrom for samarbeidsprosjekter lar revisor enkelt se viktig leverandør på boarding, felles initiativ, off boarding, etc.

I tillegg til å hjelpe organisasjonen din med dette vedlegg A-kontrollmålet, ISMS.online gir deg også muligheten å fremlegge bevis på at leverandøren formelt har akseptert kravene og har forstått sitt ansvar for informasjonssikkerhet gjennom våre policypakker. Som et resultat av deres spesifikke retningslinjer og kontroller, Policy Packs forsikrer leverandører at deres ansatte har lest og forpliktet seg til å overholde organisasjonens retningslinjer og kontroller.

Det kan være et bredere krav om å tilpasse seg vedlegg A.5.8 Informasjonssikkerhet i prosjektledelse, avhengig av endringens art (f.eks. for mer materielle endringer).

Det er enklere å implementere ISO 27001 med vår trinnvise sjekkliste, som veileder deg fra å definere ditt ISMS-omfang til å identifisere risikoer og implementere kontroller.

ISMS.online tilbyr følgende fordeler:

  • Plattformen lar deg lage en ISMS-kompatibel med ISO 27001 krav.

  • Brukere kan fullføre oppgaver og sende inn bevis for å demonstrere samsvar med standarden.

  • Prosessen med å delegere ansvar og overvåke fremdriften i samsvar er enkel.

  • Som et resultat av den omfattende risikovurdering verktøysett er prosessen fremskyndet og tidsbesparende.

  • Et dedikert team av konsulenter kan hjelpe deg gjennom hele compliance-prosessen.

Ta kontakt med oss ​​i dag for å planlegg en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer