I bilag A Kontrol 5.21 skal organisationer implementere robuste processer og procedurer, før de leverer produkter eller tjenester til håndtere informationssikkerhedsrisici.
Kontrol 5.21 i bilag A er en forebyggende kontrol, der fastholder risikoen inden for IKT-forsyningskæden ved at etablere et "aftalt sikkerhedsniveau" mellem parterne.
Bilag A 5.21 i ISO 27001 henvender sig til IKT-leverandører, der kan have behov for noget ud over eller i stedet for standardtilgangen. Selvom ISO 27001 anbefaler adskillige områder til implementering, er pragmatisme også påkrævet. I betragtning af organisationens størrelse i forhold til nogle af de meget store virksomheder, den lejlighedsvis vil arbejde med (f.eks. datacentre, hostingtjenester, banker osv.), kan den have behov for at have mulighed for at påvirke praksis længere nede i forsyningskæden.
Afhængigt af de informations- og kommunikationsteknologiske tjenester, der leveres, bør organisationen nøje vurdere de risici, der kan opstå. I tilfælde af en infrastrukturkritisk tjenesteudbyder er det f.eks. vigtigt at sikre en større beskyttelse, end hvis leverandøren kun har adgang til offentligt tilgængelig information (f.eks. kildekode for flagskibssoftwaretjenesten), hvis leverandøren leverer infrastrukturkritiske tjenester.
I bilag A Kontrol 5.21 er fokus på levering af informations- og kommunikationsteknologiske tjenester fra en leverandør eller gruppe af leverandører.
Derfor er den person, der er ansvarlig for at erhverve, administrere og forny IKT-leverandørrelationer på tværs af alle forretningsfunktioner, som f.eks. Chief Technical Officer eller Head of Information Technology, bør have ejerskab til denne proces.
ISO 27001-standard specificerer 13 ikt-relaterede vejledningspunkter, der bør overvejes sammen med enhver anden bilag A-kontrol, der styrer en organisations forhold til dens leverandører.
I løbet af det seneste årti er on-premise og cloud-tjenester på tværs af platforme blevet stadig mere populære. ISO 27001:2022 Bilag A Kontrol 5.21 omhandler levering af hardware- og softwarerelaterede komponenter og tjenester (både on-premise og cloud-baserede), men skelner sjældent mellem de to.
Adskillige bilag A-kontroller omhandler forholdet mellem leverandøren og organisationen og leverandørens forpligtelser ved underleverandør af dele af forsyningskæden til tredjepart.
I henhold til bilag A, kontrol 5.21, bør ICT-forsyningskædestyring overvejes i samarbejde. Det er beregnet til at supplere eksisterende supply chain management procedurer og at skabe kontekst for IKT-specifikke produkter og tjenester.
ISO 27001:2022-standarden anerkender, at kvalitetskontrol inden for IKT-sektoren ikke omfatter granulær inspektion af en leverandørs overholdelsesprocedurer, især med hensyn til softwarekomponenter.
Det anbefales derfor, at organisationer identificerer leverandørspecifikke kontroller, der bruges til at verificere, at leverandøren er en "reputable source", og at de udarbejder aftaler, der i detaljer angiver leverandørens ansvar for informationssikkerhed ved opfyldelse af en kontrakt, ordre eller levering af en ydelse. .
ISO 27001:2022 Bilag A Kontrol 5.21 erstatter ISO 27001:2013 Bilag A Kontrol 15.1.3 (Forsyningskæde til informations- og kommunikationsteknologi).
Ud over at overholde de samme generelle vejledningsregler som ISO 27001:2013 Annex A 15.1.3, lægger ISO 27001:2022 Annex A 5.21 stor vægt på leverandørens forpligtelse til at levere og verificere komponentrelateret information på det tidspunkt, hvor forsyning, herunder:
I henhold til ISO 27001:2022 bilag A 5.21 er organisationen også forpligtet til at oprette yderligere komponentspecifik information, når den introducerer produkter og tjenester, såsom:
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Dette bilag A kontrolmål er blevet gjort meget let af ISMS.online. Dette skyldes, at ISMS.online giver bevis for, at dine relationer er nøje udvalgt, veladministreret og overvåget og gennemgået.
Dette gøres i vores brugervenlige kontiforhold (f.eks. leverandør) område. Samarbejdsprojekter arbejdsrum giver revisor mulighed for nemt at se nøgleleverandør om boarding, fælles initiativer, off boarding mv.
Derudover har ISMS.online gjort det nemmere for din organisation at nå dette bilag A kontrolmål ved at give dig mulighed for at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået leverandørens ansvar med hensyn til informationssikkerhed med vores politikpakker.
Ud over de bredere aftaler mellem kunde og leverandør, Politikpakker er ideelle til organisationer med specifikke politikker og bilag A-kontroller, som de ønsker, at leverandørpersonalet skal overholde, og sikrer, at de har læst deres politikker og forpligtet sig til at følge dem.
For at planlægge en demo, tøv ikke med at komme i kontakt med os i dag.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo