Hvad er formålet med ISO 27001:2022 Annex A 5.22?
Bilag A kontrol 5.22 har til formål at sikre, at en aftalt niveau af informationssikkerhed og serviceydelsen opretholdes. Dette er i overensstemmelse med leverandørkontrakter vedrørende leverandørserviceudvikling.
Leverandørernes tjenester overvåges og gennemgås
I bilag A 5.22 beskrives organisationer som regelmæssigt at overvåge, gennemgå og revidere deres leverandørserviceleveringsprocesser. Gennemførelse af anmeldelser og overvågning udføres bedst i overensstemmelse med de oplysninger, der er i fare, da en størrelse ikke passer til alle situationer.
Ved at gennemføre sine anmeldelser i overensstemmelse med den foreslåede segmentering af leverandører, kan organisationen optimere deres ressourcer og sikre, at deres indsats er koncentreret om at overvåge og gennemgå, hvor den væsentligste effekt kan opnås.
Som med bilag A 5.19 er pragmatisme nogle gange nødvendigt – små organisationer vil ikke nødvendigvis modtage en revision, en gennemgang af menneskelige ressourcer eller dedikerede serviceforbedringer ved at bruge AWS. For at sikre, at de forbliver egnede til dit formål, kan du tjekke (for eksempel) deres årligt udgivne SOC II-rapporter og sikkerhedscertificeringer.
Overvågning bør dokumenteres baseret på din magt, risici og værdi, så din revisor kan bekræfte, at den er gennemført. Dette skyldes, at eventuelle nødvendige ændringer er blevet styret gennem en formel ændringskontrolprocedure.
Håndtering af leverandørserviceændringer
Leverandører skal vedligeholde og forbedre eksisterende informationssikkerhedspolitikker, procedurer og kontroller for at styre eventuelle ændringer i leverandørernes levering af tjenester. Processen tager højde for kritikaliteten af forretningsinformation, arten af ændringen, de berørte leverandørtyper, de involverede processer og systemer og en revurdering af risici.
Ved ændringer af leverandørers ydelser er det også vigtigt at overveje intimiteten i forholdet. Dette er samt organisationens mulighed for at påvirke eller kontrollere en ændring hos leverandøren.
Kontrol 5.22 specificerer, hvordan organisationer skal overvåge, gennemgå og administrere ændringer i en leverandørs sikkerhedspraksis og service leveringsstandarder. Den vurderer også, hvordan de påvirker organisationens egen sikkerhedspraksis.
I håndteringen af forholdet til deres leverandører bør en organisation stræbe efter at opretholde et grundlæggende niveau af informationssikkerhed, der overholder alle aftaler, de har underskrevet.
I overensstemmelse med ISO 27001:2022 er bilag A 5.22 en forebyggende kontrol designet til at minimere risikoen ved at hjælpe leverandøren med at opretholde et "aftalt niveau for informationssikkerhed og levering af tjenester.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A Kontrol 5.22
Et medlem af den øverste ledelse, der fører tilsyn med en organisations kommercielle drift og opretholder et direkte forhold til organisationens leverandører, bør være ansvarlig for Kontrol 5.22.
ISO 27001:2022 Bilag A 5.22 Generel vejledning
Ifølge ISO 27001:2022 Bilag A Kontrol 5.22, 13 nøgleområder bør tages i betragtning, når de håndterer leverandørforhold, og hvordan disse faktorer påvirker deres egne informationssikkerhedsforanstaltninger.
En organisation skal sikre, at medarbejdere, der er ansvarlige for håndtering af serviceniveauaftaler og leverandørforhold, besidder de nødvendige kompetencer og tekniske ressourcer. Dette er for at sikre, at de er i stand til at evaluere leverandørens ydeevne tilstrækkeligt, og at informationssikkerhedsstandarden ikke bliver brudt.
En organisations politikker og procedurer bør udarbejdes af:
- Overvåg løbende serviceniveauer i overensstemmelse med offentliggjorte serviceniveauaftaler og afhjælp eventuelle mangler, så snart de opstår.
- Leverandøren skal overvåges for eventuelle ændringer i deres egen drift, herunder (men ikke begrænset til): (1) Serviceforbedringer (2) Nye applikationer, systemer eller softwareprocesser (3) Relevante og meningsfulde revisioner af de interne styringsdokumenter for leverandør, og (4) eventuelle ændringer i hændelseshåndteringsprocedurer eller forsøg på at forbedre informationssikkerhedsniveauet.
- Eventuelle ændringer, der involverer tjenesten, herunder (men ikke begrænset til): a) Infrastrukturændringer b) Anvendelser af nye teknologier c) Produktopdateringer og versionsopgraderinger d) Ændringer i udviklingsmiljøet e) Logistiske og fysiske ændringer af leverandørfaciliteter, herunder nye lokationer f) Ændringer af outsourcing-partnere eller underleverandører g) Intentioner om underleverandører, hvor en sådan praksis ikke tidligere har været praktiseret.
- Sikre, at der regelmæssigt leveres servicerapporter, at data analyseres, og at reviewmøder gennemføres i overensstemmelse med aftalte serviceniveauer.
- Sørg for, at outsourcing-partnere og underleverandører bliver revideret og adresserer eventuelle bekymringsområder.
- Foretag en gennemgang af sikkerhedshændelser baseret på standarden og praksis, som er aftalt af leverandøren og i overensstemmelse med hændelsesstyringsstandarderne.
- Der bør vedligeholdes registre over alle hændelser med informationssikkerhed, håndgribelige driftsproblemer, fejllogfiler og generelle barrierer for at opfylde de aftalte serviceleverancestandarder.
- Tag proaktiv handling som reaktion på hændelser vedrørende informationssikkerhed.
- Identificer eventuelle sårbarheder i informationssikkerheden og afhjælp dem i videst muligt omfang.
- Udfør en analyse af eventuelle relevante informationssikkerhedsfaktorer forbundet med leverandørens forhold til sine leverandører og underleverandører.
- I tilfælde af væsentlige afbrydelser fra leverandørens side, herunder en nødhjælpsindsats, skal du sikre dig, at serviceleverancen leveres til acceptable niveauer.
- Angiv en liste over nøglepersoner i leverandørens drift, der er ansvarlige for at opretholde overholdelse og overholde vilkårene i kontrakten.
- Sørg for, at en leverandør regelmæssigt opretholder en basisstandard for informationssikkerhed.
Understøttende kontrol i bilag A
- ISO 27001:2022 Bilag A 5.29
- ISO 27001:2022 Bilag A 5.30
- ISO 27001:2022 Bilag A 5.35
- ISO 27001:2022 Bilag A 5.36
- ISO 27001:2022 Bilag A 8.14
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad er fordelen ved at bruge ISMS.online til at administrere leverandørforhold?
Dette bilag A kontrolmål er blevet gjort meget let af ISMS.online. Dette skyldes, at ISMS.online giver bevis for, at dine relationer er nøje udvalgt, veladministreret og overvåget og gennemgået. Dette gøres i vores brugervenlige kontiforhold (f.eks. leverandør) område. Samarbejdsprojekter arbejdsrum giver revisor mulighed for nemt at se vigtig leverandør om boarding, fælles initiativer, off boarding mv.
Ud over at hjælpe din organisation med dette bilag A kontrolmål, ISMS.online giver dig også muligheden at fremlægge dokumentation for, at leverandøren formelt har accepteret kravene og har forstået sit ansvar for informationssikkerhed gennem vores politikpakker. Som et resultat af deres specifikke politikker og kontroller, Policy Packs forsikrer leverandører at deres medarbejdere har læst og forpligtet sig til at overholde organisationens politikker og kontroller.
Der kan være et bredere krav om at tilpasse sig bilag A.5.8 Informationssikkerhed i projektledelse, afhængigt af ændringens art (f.eks. ved flere materielle ændringer).
Det er nemmere at implementere ISO 27001 med vores trin-for-trin tjekliste, som guider dig fra at definere dit ISMS-omfang til at identificere risici og implementere kontroller.
ISMS.online tilbyder følgende fordele:
- Platformen giver dig mulighed for at oprette en ISMS i overensstemmelse med ISO 27001 krav.
- Brugere kan udføre opgaver og indsende bevis for at påvise overholdelse af standarden.
- Processen med at uddelegere ansvar og overvåge fremskridt med overholdelse er let.
- Som følge af den omfattende risikovurdering værktøjssæt er processen fremskyndet og tidsbesparende.
- Et dedikeret team af konsulenter kan hjælpe dig gennem hele compliance-processen.
Kontakt os i dag for at planlæg en demo.
