ISO 27001:2022 vedlegg A 5.20 Sjekkliste

ISO 27001:2022 Vedlegg A 5.20 Sjekklisteveiledning

Bruk av en omfattende sjekkliste for A.5.20 sikrer systematisk overholdelse av informasjonssikkerhetskrav innenfor leverandøravtaler, forbedrer den generelle etterlevelsen og ivaretar organisatoriske eiendeler. Denne tilnærmingen letter effektiv overvåking og styring, og fremmer robuste sikkerhetspraksiser gjennom hele forsyningskjeden.

ISO 27001 A.5.20 Adressering av informasjonssikkerhet i sjekkliste for leverandøravtaler

A.5.20 Adressering av informasjonssikkerhet innenfor leverandøravtaler er en avgjørende kontroll under ISO/IEC 27001:2022-standarden. Denne kontrollen krever at organisasjoner sørger for at deres leverandører overholder strenge retningslinjer for informasjonssikkerhet og kontroller for å beskytte sensitiv informasjon gjennom hele forsyningskjeden.

Gitt den økende kompleksiteten til forsyningskjeder og den utviklende karakteren til cybersikkerhetstrusler, er effektiv implementering av denne kontrollen avgjørende for å opprettholde robust informasjonssikkerhet.

Hovedmålet med A.5.20 er å sikre at informasjonssikkerhetskrav er eksplisitt definert, effektivt kommunisert og strengt håndhevet innenfor leverandøravtaler. Dette beskytter ikke bare organisasjonens informasjonsressurser, men sikrer også at leverandørene opprettholder høye standarder for informasjonssikkerhet.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Hvorfor bør du overholde vedlegg A.5.20? Nøkkelaspekter og vanlige utfordringer

1. Leverandørvalg og evaluering

Risk Assessment

Målet: Identifisere og vurdere potensielle risikoer knyttet til leverandører.

utfordringer: Nøyaktig vurdering av risiko, spesielt for leverandører med komplekse operasjoner.

Løsninger: Utvikle et omfattende rammeverk for risikovurdering som inkluderer både kvalitative og kvantitative metoder. Bruk tredjeparts risikovurderingsverktøy for ytterligere innsikt.
ISMS.online-funksjoner: Bruk risikostyringsmodulen med dynamisk risikokart og risikoovervåking.
Overholdelsessjekkliste:

Gjennomfør en omfattende risikovurdering for hver leverandør.

Dokumenter identifiserte risikoer og avbøtende strategier.

Gjennomgå og oppdater risikovurderinger med jevne mellomrom.

Kriterier for utvalg

Målet: Etablere og anvende kriterier for valg av leverandører basert på deres informasjonssikkerhetsevner.

utfordringer: Sikre at kriteriene er omfattende og i samsvar med sikkerhetspolicyer.

Løsninger: Utvikle en standardisert sjekkliste for leverandørevaluering som er i tråd med organisasjonens sikkerhetspolicyer og krav.
ISMS.online-funksjoner: Bruk Supplier Management-modulen til å vedlikeholde leverandørvurderinger og ytelsesmålinger.
Overholdelsessjekkliste:

Definere og dokumentere kriterier for leverandørvalg.

Vurder leverandører ut fra de definerte kriteriene.

Opprettholde oversikt over leverandørevalueringer.

2. Kontraktsforpliktelser

Informasjonssikkerhetsklausuler

Målet: Inkluder spesifikke informasjonssikkerhetsansvar i leverandørkontrakter.

utfordringer: Sikre at alle kontrakter er oppdatert og inkluderer relevante sikkerhetsklausuler.

Løsninger: Gjennomgå og oppdater kontraktsmaler regelmessig for å inkludere de nyeste sikkerhetskravene. Bruk juridisk ekspertise for å sikre håndhevbarhet.
ISMS.online-funksjoner: Bruk policyadministrasjonsmodulen med policymaler og policypakke.
Overholdelsessjekkliste:

Utkast til standard informasjonssikkerhetsklausuler for leverandørkontrakter.

Inkluder disse klausulene i alle nye leverandørkontrakter.

Oppdater eksisterende kontrakter for å inkludere informasjonssikkerhetsklausuler.

Krav til samsvar

Målet: Sørg for at leverandører overholder relevante lover, forskrifter og standarder.

utfordringer: Følge med på endrede regelverk og sikre etterlevelse av leverandører.

Løsninger: Implementer et regulatorisk overvåkingssystem for å holde deg oppdatert på endringer. Tilby opplæringsøkter for leverandører om nye overholdelseskrav.
ISMS.online-funksjoner: Bruk Compliance Management-modulen med Regs Database and Alert System.
Overholdelsessjekkliste:

Identifiser relevante lover, forskrifter og standarder for hver leverandør.

Kommunisere samsvarskrav til leverandører.

Overvåke leverandørens overholdelse av disse kravene.

Rett til revisjon

Målet: Inkluder revisjonsrettigheter i leverandørkontrakter for å sikre overholdelse av sikkerhetstiltak.

utfordringer: Få enighet fra leverandører om revisjonsrettigheter og planlegging av revisjoner.

Løsninger: Forhandle revisjonsklausuler i begynnelsen av forholdet. Planlegg revisjoner på forhånd og gi klare retningslinjer for revisjonsprosessen.
ISMS.online-funksjoner: Bruk Audit Management-modulen til å planlegge, utføre og dokumentere revisjoner.
Overholdelsessjekkliste:

Inkludere revisjonsrettigheter i leverandørkontrakter.

Planlegg regelmessige revisjoner av leverandører.

Dokumentere revisjonsfunn og oppfølgingstiltak.

3. Kommunikasjon og koordinering

Informasjonsutveksling

Målet: Definer sikre metoder for utveksling av informasjon mellom organisasjonen og leverandører.

utfordringer: Sikre sikre kommunikasjonskanaler og konsistente protokoller.

Løsninger: Implementer kryptering og sikre kommunikasjonsverktøy. Oppdater og test kommunikasjonsprotokoller regelmessig.
ISMS.online-funksjoner: Bruk kommunikasjonsverktøy som varslingssystem og samarbeidsverktøy.
Overholdelsessjekkliste:

Etablere sikre kommunikasjonskanaler med leverandører.

Definere og dokumentere informasjonsutvekslingsprotokoller.

Trene relevant personell på sikker kommunikasjonspraksis.

Hendelsesstyring

Målet: Etablere prosedyrer for rapportering og håndtering av informasjonssikkerhetshendelser som involverer leverandører.

utfordringer: Sikre rettidig hendelsesrapportering og effektiv ledelseskoordinering.

Løsninger: Utvikle en detaljert hendelsesresponsplan som inkluderer leverandørkoordinering. Gjennomføre regelmessige responsøvelser.
ISMS.online-funksjoner: Implementer Incident Management-modulen med Incident Tracker og Workflow.
Overholdelsessjekkliste:

Definer hendelsesrapportering og styringsprosedyrer.

Kommuniser disse prosedyrene til leverandørene.

Sikre rettidig rapportering og koordinering av hendelseshåndtering.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

4. Overvåking og gjennomgang

Vanlige anmeldelser

Målet: Gjennomføre regelmessige gjennomganger og vurderinger av leverandørens etterlevelse av krav til informasjonssikkerhet.

utfordringer: Konsekvent gjennomføre grundige gjennomganger og administrere ressurser for kontinuerlig overvåking.

Løsninger: Etabler en gjennomgangsplan og bruk automatiserte verktøy for å strømlinjeforme gjennomgangsprosessen. Bevilge tilstrekkelige ressurser til regelmessig overvåking.
ISMS.online-funksjoner: Bruk Supplier Management-modulen til å planlegge og spore ytelsesgjennomganger.
Overholdelsessjekkliste:

Planlegg regelmessige samsvarsgjennomganger for leverandører.

Dokumenter resultatene av hver gjennomgang.

Iverksette oppfølgingstiltak basert på gjennomgangsfunn.

Ytelsesmålinger

Målet: Implementer ytelsesmålinger for å overvåke leverandørens overholdelse av kontraktsmessige forpliktelser.

utfordringer: Definere passende beregninger og sikre nøyaktig datainnsamling.

Løsninger: Utvikle nøkkelytelsesindikatorer (KPIer) som samsvarer med kontraktsmessige forpliktelser. Bruk dataanalyse for å overvåke og rapportere om leverandørens ytelse.
ISMS.online-funksjoner: Performance Tracking-modulen med KPI-sporing og trendanalyse.
Overholdelsessjekkliste:

Definer ytelsesberegninger for leverandøroverholdelse.

Samle inn og analyser ytelsesdata regelmessig.

Bruk ytelsesdata til å drive forbedringer i leverandøradministrasjon.

5. Opplæring og bevisstgjøring

Leverandøropplæring

Målet: Sikre at leverandører får tilstrekkelig opplæring i organisasjonens retningslinjer og prosedyrer for informasjonssikkerhet.

utfordringer: Sikre at opplæringen er effektiv og når alt relevant leverandørpersonell.

Løsninger: Utvikle omfattende opplæringsprogrammer tilpasset leverandørens behov. Bruk e-læringsplattformer for å lette trening og spore fremgang.
ISMS.online-funksjoner: Bruk treningsmodulen med treningsmoduler og treningssporing.
Overholdelsessjekkliste:

Utvikle opplæringsmateriell om retningslinjer for informasjonssikkerhet.

Levere opplæring til leverandørpersonell.

Spor treningsoppmøte og gjennomføring.

6. Oppsigelse av avtalen

Dataretur og sletting

Målet: Definere prosedyrer for sikker retur eller sletting av organisasjonens informasjon ved oppsigelse av leverandøravtalen.

utfordringer: Sikre fullstendig og sikker dataretur eller sletting.

Løsninger: Utvikle klare prosedyrer for retur og sletting av data og inkludere dem i kontrakten. Bruk bekreftelsesprosesser for å sikre samsvar.
ISMS.online-funksjoner: Dokumenthåndteringsmodulen med versjonskontroll og dokumentoppbevaring.
Overholdelsessjekkliste:

Definer prosedyrer for dataretur og sletting.

Kommuniser disse prosedyrene til leverandørene.

Bekreft og dokumenter sikker retur eller sletting av data.

Slutt strategi

Målet: Utvikle en exit-strategi for å administrere overgangen av tjenester til en ny leverandør eller tilbake internt, og opprettholde informasjonssikkerheten hele veien.

utfordringer: Administrer overganger jevnt uten at det går på bekostning av informasjonssikkerheten.

Løsninger: Lag en detaljert exit-strategi som inkluderer roller og ansvar, tidslinjer og sikkerhetstiltak. Gjennomfør overgangsøvelser for å teste strategien.
ISMS.online-funksjoner: Bruk Business Continuity-modulen med kontinuitetsplaner.
Overholdelsessjekkliste:

Utvikle en omfattende exitstrategi.

Kommuniser exit-strategien til relevante interessenter.

Implementer exit-strategien og overvåk dens effektivitet.

Beskytt organisasjonen din

Ved å utnytte de omfattende funksjonene til ISMS.online og håndtere disse vanlige utfordringene, kan organisasjoner sikre robust overholdelse av A.5.20. Dette innebærer effektiv styring av informasjonssikkerhet innenfor leverandøravtaler og sikring av deres informasjonsressurser gjennom hele forsyningskjeden.

Implementering av disse praksisene sikrer ikke bare overholdelse av ISO 27001:2022, men styrker også den generelle sikkerhetsposisjonen til organisasjonen, og fremmer en kultur for kontinuerlig forbedring og årvåkenhet innen informasjonssikkerhetsstyring.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Hvert vedlegg A kontrollsjekklistetabell

ISO 27001 vedlegg A.5 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.5.1	Sjekkliste for retningslinjer for informasjonssikkerhet
Vedlegg A.5.2	Sjekkliste for roller og ansvar for informasjonssikkerhet
Vedlegg A.5.3	Sjekkliste for oppgavedeling
Vedlegg A.5.4	Sjekkliste for ledelsesansvar
Vedlegg A.5.5	Sjekkliste for kontakt med myndighetene
Vedlegg A.5.6	Sjekkliste for kontakt med spesielle interessegrupper
Vedlegg A.5.7	Sjekkliste for trusseletterretning
Vedlegg A.5.8	Sjekkliste for informasjonssikkerhet i prosjektledelse
Vedlegg A.5.9	Sjekkliste for oversikt over informasjon og andre tilknyttede eiendeler
Vedlegg A.5.10	Akseptabel bruk av informasjon og andre tilhørende eiendeler Sjekkliste
Vedlegg A.5.11	Sjekkliste for retur av eiendeler
Vedlegg A.5.12	Klassifisering av informasjon Sjekkliste
Vedlegg A.5.13	Merking av informasjonssjekkliste
Vedlegg A.5.14	Sjekkliste for informasjonsoverføring
Vedlegg A.5.15	Sjekkliste for tilgangskontroll
Vedlegg A.5.16	Sjekkliste for identitetshåndtering
Vedlegg A.5.17	Sjekkliste for autentiseringsinformasjon
Vedlegg A.5.18	Sjekkliste for tilgangsrettigheter
Vedlegg A.5.19	Sjekkliste for informasjonssikkerhet i leverandørforhold
Vedlegg A.5.20	Adressering av informasjonssikkerhet i sjekkliste for leverandøravtaler
Vedlegg A.5.21	Håndtering av informasjonssikkerhet i sjekklisten for IKT-leverandørkjeden
Vedlegg A.5.22	Sjekkliste for overvåking, gjennomgang og endringshåndtering av leverandørtjenester
Vedlegg A.5.23	Sjekkliste for informasjonssikkerhet for bruk av skytjenester
Vedlegg A.5.24	Sjekkliste for planlegging og forberedelse av informasjonssikkerhet hendelser
Vedlegg A.5.25	Sjekkliste for vurdering og beslutning om informasjonssikkerhetshendelser
Vedlegg A.5.26	Svar på sjekkliste for informasjonssikkerhetshendelser
Vedlegg A.5.27	Lær av informasjonssikkerhetshendelser Sjekkliste
Vedlegg A.5.28	Sjekkliste for innsamling av bevis
Vedlegg A.5.29	Sjekkliste for informasjonssikkerhet under avbrudd
Vedlegg A.5.30	Sjekkliste for IKT-beredskap for forretningskontinuitet
Vedlegg A.5.31	Sjekkliste for juridiske, lovpålagte, forskriftsmessige og kontraktsmessige krav
Vedlegg A.5.32	Sjekkliste for immaterielle rettigheter
Vedlegg A.5.33	Sjekkliste for beskyttelse av poster
Vedlegg A.5.34	Sjekkliste for personvern og beskyttelse av PII
Vedlegg A.5.35	Uavhengig gjennomgang av sjekkliste for informasjonssikkerhet
Vedlegg A.5.36	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhetssjekkliste
Vedlegg A.5.37	Sjekkliste for dokumenterte driftsprosedyrer

ISO 27001 vedlegg A.6 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.6.1	Sjekkliste for screening
Vedlegg A.6.2	Sjekkliste for ansettelsesvilkår
Vedlegg A.6.3	Sjekkliste for bevissthet om informasjonssikkerhet, utdanning og opplæring
Vedlegg A.6.4	Sjekkliste for disiplinær prosess
Vedlegg A.6.5	Sjekkliste for ansvar etter oppsigelse eller endring av ansettelse
Vedlegg A.6.6	Sjekkliste for konfidensialitet eller taushetserklæring
Vedlegg A.6.7	Sjekkliste for eksternt arbeid
Vedlegg A.6.8	Sjekkliste for rapportering av hendelser for informasjonssikkerhet

ISO 27001 vedlegg A.7 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.7.1	Sjekkliste for fysisk sikkerhet Perimeter
Vedlegg A.7.2	Sjekkliste for fysisk inngang
Vedlegg A.7.3	Sjekkliste for sikring av kontorer, rom og fasiliteter
Vedlegg A.7.4	Sjekkliste for overvåking av fysisk sikkerhet
Vedlegg A.7.5	Sjekkliste for beskyttelse mot fysiske og miljømessige trusler
Vedlegg A.7.6	Sjekkliste for arbeid i sikre områder
Vedlegg A.7.7	Sjekkliste for Clear Desk og Clear Screen
Vedlegg A.7.8	Sjekkliste for plassering og beskyttelse av utstyr
Vedlegg A.7.9	Sikkerhet for eiendeler Off-Premises Sjekkliste
Vedlegg A.7.10	Sjekkliste for lagringsmedier
Vedlegg A.7.11	Sjekkliste for støtteverktøy
Vedlegg A.7.12	Sjekkliste for kablingsikkerhet
Vedlegg A.7.13	Sjekkliste for vedlikehold av utstyr
Vedlegg A.7.14	Sjekkliste for sikker avhending eller gjenbruk av utstyr

ISO 27001 vedlegg A.8 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.8.1	Sjekkliste for brukerendepunktenheter
Vedlegg A.8.2	Sjekkliste for privilegerte tilgangsrettigheter
Vedlegg A.8.3	Sjekkliste for begrensninger for informasjonstilgang
Vedlegg A.8.4	Tilgang til sjekkliste for kildekode
Vedlegg A.8.5	Sjekkliste for sikker autentisering
Vedlegg A.8.6	Sjekkliste for kapasitetsstyring
Vedlegg A.8.7	Sjekkliste for beskyttelse mot skadelig programvare
Vedlegg A.8.8	Håndtering av tekniske sårbarheter Sjekkliste
Vedlegg A.8.9	Sjekkliste for konfigurasjonsadministrasjon
Vedlegg A.8.10	Sjekkliste for sletting av informasjon
Vedlegg A.8.11	Sjekkliste for datamaskering
Vedlegg A.8.12	Sjekkliste for forebygging av datalekkasje
Vedlegg A.8.13	Sjekkliste for sikkerhetskopiering av informasjon
Vedlegg A.8.14	Sjekkliste for redundans for informasjonsbehandlingsfasiliteter
Vedlegg A.8.15	Loggingssjekkliste
Vedlegg A.8.16	Sjekkliste for overvåkingsaktiviteter
Vedlegg A.8.17	Sjekkliste for synkronisering av klokke
Vedlegg A.8.18	Sjekkliste for bruk av Privileged Utility Programs
Vedlegg A.8.19	Installasjon av programvare på sjekkliste for operasjonelle systemer
Vedlegg A.8.20	Sjekkliste for nettverkssikkerhet
Vedlegg A.8.21	Sjekkliste for sikkerhet for nettverkstjenester
Vedlegg A.8.22	Sjekkliste for segregering av nettverk
Vedlegg A.8.23	Sjekkliste for nettfiltrering
Vedlegg A.8.24	Bruk av sjekkliste for kryptografi
Vedlegg A.8.25	Sjekkliste for livssyklus for sikker utvikling
Vedlegg A.8.26	Sjekkliste for applikasjonssikkerhetskrav
Vedlegg A.8.27	Sjekkliste for sikker systemarkitektur og tekniske prinsipper
Vedlegg A.8.28	Sjekkliste for sikker koding
Vedlegg A.8.29	Sjekkliste for sikkerhetstesting i utvikling og aksept
Vedlegg A.8.30	Sjekkliste for outsourcet utvikling
Vedlegg A.8.31	Separasjon av sjekkliste for utviklings-, test- og produksjonsmiljøer
Vedlegg A.8.32	Sjekkliste for endringsledelse
Vedlegg A.8.33	Sjekkliste for testinformasjon
Vedlegg A.8.34	Sjekkliste for beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper med A.5.20

Klar til å forbedre organisasjonens informasjonssikkerhet og sikre overholdelse av ISO 27001:2022?

Oppdag hvordan ISMS.online kan strømlinjeforme overholdelsesinnsatsen din, administrere leverandørforhold og beskytte dine verdifulle informasjonsressurser. Vår omfattende plattform tilbyr alle verktøyene og funksjonene du trenger for å effektivt implementere A.5.20 og andre kritiske kontroller.

Kontakt oss nå for å planlegg en personlig demo og se hvordan ISMS.online kan transformere din informasjonssikkerhetsadministrasjon. Ekspertene våre er her for å veilede deg gjennom hvert trinn, for å sikre at du får mest mulig ut av løsningene våre.

David Holloway

Chief Marketing Officer

David Holloway er markedssjef hos ISMS.online, med over fire års erfaring innen samsvar og informasjonssikkerhet. Som en del av ledergruppen fokuserer David på å gi organisasjoner muligheten til å navigere i komplekse regulatoriske landskap med selvtillit, og utvikle strategier som samsvarer forretningsmål med effektive løsninger. Han er også medprogramleder for podkasten Phishing For Trouble, hvor han fordyper seg i profilerte cybersikkerhetshendelser og deler verdifulle lærdommer for å hjelpe bedrifter med å styrke sine sikkerhets- og samsvarspraksiser.

Vi er ledende innen vårt felt