Kontroll 5.22 fastsetter metodene organisasjoner bør ta når de overvåker, vurderer og administrerer endringer i en leverandørs informasjonssikkerhetspraksis og tjenesteleveransestandarder, og vurderer innvirkningen på organisasjonens egne nivåer av informasjonssikkerhet.
Når du administrerer forhold til sine leverandører, bør en organisasjon søke å opprettholde et grunnleggende informasjonssikkerhetsnivå som følger eventuelle avtaler som er inngått.
5.22 er en forebyggende kontroll Det endrer risiko ved å opprettholde et «avtalt nivå for informasjonssikkerhet og tjenestelevering» fra leverandørens side.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Sikkerhet for leverandørforhold | #Governance og økosystem #Beskyttelse #Forsvar #Informasjonssikkerhetsforsikring |
Eierskap til kontroll 5.22 bør ligge hos et medlem av senior ledelse som fører tilsyn med en organisasjons kommersielle drift, og opprettholder et direkte forhold til en organisasjons leverandører, for eksempel en Chief Operating Officer.
Kontroll 5.22 inneholder 13 hovedområder som organisasjoner trenger å vurdere ved håndtering av leverandørforhold, og hvilken effekt de har på deres egne informasjonssikkerhetsstandarder.
Organisasjoner må ta skritt for å sikre at ansatte som er ansvarlige for å administrere SLAer og leverandørrelasjoner har de nødvendige nivåene av ferdigheter og tekniske ressurser for å kunne vurdere leverandørens ytelse tilstrekkelig, og informasjonssikkerhetsstandarder ikke blir brutt.
Organisasjoner bør utarbeide retningslinjer og prosedyrer som:
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.
Noen av de viktigste fordelene ved å bruke ISMS.online inkluderer:
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |