ISO 27001:2022 Bilag A Kontrol 5.19 handler om informationssikkerhed i leverandørforhold. Målet her er beskyttelse af organisationens værdifulde aktiver, som er tilgængelige for eller påvirkes af leverandører.
Vi anbefaler også, at du også her overvejer andre nøglerelationer, for eksempel partnere, hvis de ikke er leverandører, men også har en indflydelse på dine aktiver, som måske ikke blot er omfattet af en kontrakt alene.
Dette er en vigtig del af informationssikkerhedsstyringssystem (ISMS), især hvis du gerne vil opnå ISO 27001-certificering. Lad os forstå disse krav, og hvad de betyder i lidt mere dybde nu.
Leverandører bruges af to hovedårsager; et: du vil have dem til at udføre arbejde, som du har valgt ikke at gøre internt selv, eller; to: du kan ikke nemt gøre arbejdet så godt eller så omkostningseffektivt som leverandørerne.
Der er mange vigtige ting at overveje i tilgangen til leverandørvalg og -styring, men én størrelse passer ikke alle, og nogle leverandører vil være vigtigere end andre. Som sådan bør dine kontroller og politikker også afspejle det og en segmentering af forsyningskæden er fornuftigt; vi går ind for fire kategorier af leverandører baseret på værdien og risikoen i forholdet. Disse spænder fra dem, der er forretningskritiske til andre leverandører, som ikke har nogen væsentlig indflydelse på din organisation.
ISO 27001:2002 Bilag A Kontrol 5.19 vedrører en organisations forpligtelse til at sikre, at der ved brug af produkter og tjenester på leverandørsiden (herunder cloud-tjenesteudbydere) tages tilstrækkeligt hensyn til risikoniveauet, der er forbundet med at bruge eksterne systemer, og følgevirkninger, der kan have på deres egen overholdelse af informationssikkerhed.
En god politik beskriver leverandørsegmentering, udvælgelse, ledelse, exit, hvordan informationsaktiver omkring leverandører kontrolleres for at mindske de tilknyttede risici, men stadig gøre det muligt at nå de forretningsmæssige mål og målsætninger. Smarte organisationer vil indpakke deres informationssikkerhedspolitik for leverandører ind i en bredere relationsramme og undgå kun at koncentrere sig om sikkerhed i sig selv, også se på de andre aspekter.
Bilag A Kontrol 5.19 er en forebyggende kontrol, der ændrer risiko ved at opretholde procedurer, der adresserer iboende sikkerhedsrisici forbundet med brugen af produkter og tjenester leveret af tredjeparter.
Mens kontrol ISO 27001 Bilag A 5.19 indeholder en masse vejledning om brugen af IKT-tjenester, det bredere omfang af kontrollen omfatter mange andre aspekter af en organisations forhold til sin leverandørbase, herunder leverandørtyper, logistik, forsyningsvirksomheder, finansielle tjenester og infrastrukturkomponenter).
Som sådan bør ejerskabet af bilag A kontrol 5.19 ligge hos et medlem af den øverste ledelse, der fører tilsyn med en organisations kommercielle drift og opretholder et direkte forhold til en organisations leverandører, som f.eks. Chief Operating Officer.
Overholdelse af bilag A Kontrol 5.19 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til informationssikkerhed i leverandørforhold.
En organisation ønsker måske, at leverandører får adgang til og bidrager til visse informationsaktiver af høj værdi (f.eks. softwarekodeudvikling, regnskabsmæssige lønoplysninger). De skal derfor have klare aftaler om, præcis hvilken adgang de giver dem, så de kan kontrollere sikkerheden omkring det.
Dette er især vigtigt med flere og flere informationshåndtering, -behandling og teknologitjenester, der outsources. Det betyder, at der er et sted at vise, at forvaltningen af forholdet sker; kontrakter, kontakter, hændelser, relationsaktivitet og risikostyring osv. Hvor leverandøren også er tæt involveret i organisationen, men måske ikke har sit eget certificerede ISMS, så er det også værd at sikre, at leverandørpersonalet er uddannet og bevidst om sikkerhed, trænet i dine politikker osv.
Emnespecifikke tilgange tilskynder organisationer til at skabe leverandørrelaterede politikker, der er skræddersyet til individuelle forretningsfunktioner, i stedet for at overholde en generel leverandørstyringspolitik, der gælder for enhver og alle tredjepartsrelationer på tværs af en organisations kommercielle drift.
Det er vigtigt at bemærke, at ISO 27001 Annex A Kontrol 5.19 beder organisationen om at implementere politikker og procedurer, der ikke kun styrer organisationens brug af leverandørressourcer og cloudplatforme, men også danner grundlag for, hvordan de forventer, at deres leverandører opfører sig før og i hele handelsforholdets løbetid.
Som sådan kan bilag A Kontrol 5.19 ses som det væsentlige kvalificerende dokument, der dikterer, hvordan informationssikkerhedsstyring håndteres i løbet af en leverandørkontrakt.
ISO 27001 bilag A Kontrol 5.19 indeholder 14 hovedvejledningspunkter, der skal overholdes:
1) Oprethold en nøjagtig registrering af leverandørtyper (f.eks. finansielle tjenester, IKT-hardware, telefoni), der har potentiale til at påvirke informationssikkerhedens integritet.
Overholdelse – Udarbejd en liste over alle leverandører, som din organisation arbejder med, kategoriser dem i henhold til deres forretningsfunktion og tilføj kategorier til nævnte leverandørtyper efter behov.
2) Forstå, hvordan leverandører skal kontrolleres, baseret på risikoniveauet for deres leverandørtype.
Overholdelse – Forskellige leverandørtyper vil kræve forskellige due diligence-tjek. Overvej at bruge kontrolmetoder på leverandør-for-leverandør-basis (f.eks. branchereferencer, regnskaber, vurderinger på stedet, sektorspecifikke certificeringer såsom Microsoft-partnerskaber).
3) Identificer leverandører, der har eksisterende informationssikkerhedskontrol på plads.
Overholdelse – Bed om at se kopier af leverandørers relevante informationssikkerhedsstyringsprocedurer for at vurdere risikoen for din egen organisation. Hvis de ikke har nogen, er det ikke et godt tegn.
4) Identificer og definer de specifikke områder af din organisations IKT-infrastruktur, som dine leverandører enten selv vil kunne få adgang til, overvåge eller gøre brug af.
Overholdelse – Det er vigtigt fra starten at fastslå præcist, hvordan dine leverandører vil interagere med dine IKT-aktiver – det være sig fysiske eller virtuelle – og hvilke niveauer af adgang de får i overensstemmelse med deres kontraktlige forpligtelser.
5) Definer, hvordan leverandørernes egen IKT-infrastruktur kan påvirke dine egne data og dine kunders.
Overholdelse – En organisations første forpligtelse er dens eget sæt af informationssikkerhedsstandarder. Leverandørernes IKT-aktiver skal gennemgås i overensstemmelse med deres potentiale for at påvirke oppetid og integritet i hele din organisation.
6) Identificer og administrer de forskellige informationssikkerhedsrisici knyttet til:
en. Leverandørbrug af fortrolige oplysninger eller beskyttede aktiver (f.eks. begrænset til ondsindet brug og/eller kriminel hensigt).
b. Defekt leverandørhardware eller funktionsfejl softwareplatform forbundet med on-premise eller cloud-baserede tjenester.
Overholdelse – Organisationer skal hele tiden være opmærksomme på de informationssikkerhedsrisici, der er forbundet med katastrofale hændelser, såsom uhyggelig leverandørsidebrugeraktivitet eller større uforudsete softwarehændelser, og deres indvirkning på organisatorisk informationssikkerhed.
7) Overvåg overholdelse af informationssikkerhed på et emnespecifikt eller leverandørtypebasis.
Overholdelse – Organisationens behov for at værdsætte informationssikkerhed implikationer, der er iboende inden for hver leverandørtype, og justere deres overvågningsaktivitet for at imødekomme forskellige risikoniveauer.
8) Begræns mængden af skader og/eller forstyrrelser forårsaget af manglende overholdelse.
Overholdelse – Leverandøraktivitet bør overvåges på en passende måde og i varierende grad i overensstemmelse med deres risikoniveau. Hvis manglende overholdelse opdages, enten proaktivt eller reaktivt, bør der træffes øjeblikkelige foranstaltninger.
9) Oprethold en robust incident management procedure, der adresserer en rimelig mængde uforudsete hændelser.
Overholdelse – Organisationer bør forstå præcist, hvordan de skal reagere, når de står over for en bred vifte af begivenheder i forbindelse med levering af tredjepartsprodukter og -tjenester, og skitsere afhjælpende handlinger, der omfatter både leverandøren og organisationen.
10) Indføre foranstaltninger, der imødekommer tilgængeligheden og behandlingen af leverandørens oplysninger, uanset hvor de bruges, og derved sikre integriteten af organisationens egne oplysninger.
Overholdelse – Der bør tages skridt til at sikre, at leverandørsystemer og data håndteres på en måde, der ikke går på kompromis med tilgængeligheden og sikkerheden af organisationens egne systemer og informationer.
11) Udarbejd en grundig uddannelsesplan, der giver vejledning i, hvordan personalet skal interagere med leverandørpersonale og information på leverandør-for-leverandør-basis eller type-for-type-basis.
Overholdelse – Uddannelse bør dække hele spektret af styring mellem en organisation og dens leverandører, herunder engagement, granulære risikostyringskontroller og emnespecifikke procedurer.
12) Forstå og administrere risikoniveauet, der er forbundet med overførsel af information og fysiske og virtuelle aktiver mellem organisationen og deres leverandører.
Overholdelse – Organisationer bør kortlægge hvert trin i overførselsprocessen og uddanne personalet i de risici, der er forbundet med at flytte aktiver og information fra en kilde til en anden.
13) Sikre, at leverandørforhold afsluttes med informationssikkerhed for øje, herunder fjernelse af adgangsrettigheder og mulighed for at få adgang til organisationsoplysninger.
Overholdelse – Dine IKT-teams bør have en klar forståelse af, hvordan man tilbagekalder en leverandørs adgang til information, herunder:
14) Skitsér præcis, hvordan du forventer, at leverandøren opfører sig med hensyn til fysiske og virtuelle sikkerhedsforanstaltninger.
Overholdelse – Organisationer bør stille klare forventninger fra begyndelsen af ethvert kommercielt forhold, som specificerer, hvordan personale på leverandørsiden forventes at opføre sig, når de interagerer med dit personale eller eventuelle relevante aktiver.
ISO anerkender, at det ikke altid er muligt at pålægge en leverandør et komplet sæt politikker, der opfylder hvert eneste krav fra ovenstående liste, som ISO 27001 Annex A Control 5.19 har til hensigt, især når man har at gøre med rigide offentlige organisationer.
Når det er sagt, angiver bilag A Kontrol 5.19 klart, at organisationer bør bruge ovenstående vejledning, når de danner relationer med leverandører, og overveje manglende overholdelse fra sag til sag.
Hvor fuld overholdelse ikke er opnåelig, giver bilag A Kontrol 5.19 organisationer spillerum ved at anbefale "kompenserende kontroller", der opnår tilstrækkelige niveauer af risikostyring, baseret på en organisations unikke omstændigheder.
ISO 27001:2022 Bilag A 5.19 erstatter ISO 27001:2013 Bilag A 15.1.1 (Informationssikkerhedspolitik for leverandørforhold).
ISO 27001:2022 Annex A 5.19 overholder stort set de samme underliggende begreber, som er indeholdt i 2013-kontrollen, men indeholder flere yderligere vejledningsområder, der enten er udeladt fra ISO 27001:2013 Annex A 5.1.1, eller i det mindste ikke er dækket af så mange detaljer, herunder:
ISO 27001:2022 Annex A 5.19 er også eksplicit i anerkendelsen af leverandørforholdets meget varierende karakter (baseret på type, sektor og risikoniveau), og giver organisationer et vist spillerum, når de overvejer muligheden for manglende overholdelse af en given vejledning punkt, baseret på forholdets karakter (se 'Supplerende vejledning' ovenfor).
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
ISMS.online har gjort dette kontrolmål meget nemt ved at fremlægge bevis for, at dine relationer er nøje udvalgt, forvaltes godt i livet, inklusive at blive overvåget og gennemgået. Vores brugervenlige kontoforhold (f.eks. leverandør) område gør netop det. Samarbejdsprojekternes arbejdsrum er gode til vigtige leverandør-on-boarding, fælles initiativer, off-boarding osv. som revisor også kan se med lethed, når det er nødvendigt.
ISMS.online har også gjort dette kontrolmål lettere for din organisation ved at gøre det muligt for dig at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået sit ansvar for informationssikkerhed gennem vores politikpakker. Politikpakker er ideelle, hvor organisationen har specifikke politikker og kontroller, den ønsker, at leverandørpersonalet skal følge og have tillid til, at de har læst dem og forpligtet sig til at overholde – ud over de bredere aftaler mellem kunde og leverandør.
Afhængigt af ændringens art (dvs. for mere væsentlige ændringer) kan der være et bredere krav om at tilpasse sig A.6.1.5 informationssikkerhed i projektledelse.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo