ISO 27001:2022 Bilag A Kontrol 5.22

Overvågning og gennemgang og ændringsstyring af leverandørservices

Book en demo

top,visning,forretning,mennesker,arbejde,hjemmefra,bruger,laptop,på

Hvad er formålet med ISO 27001:2022 Annex A 5.22?

Bilag A kontrol 5.22 har til formål at sikre, at en aftalt niveau af informationssikkerhed og serviceydelsen opretholdes. Dette er i overensstemmelse med leverandørkontrakter vedrørende leverandørserviceudvikling.

Leverandørernes tjenester overvåges og gennemgås

I bilag A 5.22 beskrives organisationer som regelmæssigt at overvåge, gennemgå og revidere deres leverandørserviceleveringsprocesser. Gennemførelse af anmeldelser og overvågning udføres bedst i overensstemmelse med de oplysninger, der er i fare, da en størrelse ikke passer til alle situationer.

Ved at gennemføre sine anmeldelser i overensstemmelse med den foreslåede segmentering af leverandører, kan organisationen optimere deres ressourcer og sikre, at deres indsats er koncentreret om at overvåge og gennemgå, hvor den væsentligste effekt kan opnås.

Som med bilag A 5.19 er pragmatisme nogle gange nødvendigt – små organisationer vil ikke nødvendigvis modtage en revision, en gennemgang af menneskelige ressourcer eller dedikerede serviceforbedringer ved at bruge AWS. For at sikre, at de forbliver egnede til dit formål, kan du tjekke (for eksempel) deres årligt udgivne SOC II-rapporter og sikkerhedscertificeringer.

Overvågning bør dokumenteres baseret på din magt, risici og værdi, så din revisor kan bekræfte, at den er gennemført. Dette skyldes, at eventuelle nødvendige ændringer er blevet styret gennem en formel ændringskontrolprocedure.

Håndtering af leverandørserviceændringer

Leverandører skal vedligeholde og forbedre eksisterende informationssikkerhedspolitikker, procedurer og kontroller for at styre eventuelle ændringer i leverandørernes levering af tjenester. Processen tager højde for kritikaliteten af ​​forretningsinformation, arten af ​​ændringen, de berørte leverandørtyper, de involverede processer og systemer og en revurdering af risici.

Ved ændringer af leverandørers ydelser er det også vigtigt at overveje intimiteten i forholdet. Dette er samt organisationens mulighed for at påvirke eller kontrollere en ændring hos leverandøren.

Kontrol 5.22 specificerer, hvordan organisationer skal overvåge, gennemgå og administrere ændringer i en leverandørs sikkerhedspraksis og service leveringsstandarder. Den vurderer også, hvordan de påvirker organisationens egen sikkerhedspraksis.

I håndteringen af ​​forholdet til deres leverandører bør en organisation stræbe efter at opretholde et grundlæggende niveau af informationssikkerhed, der overholder alle aftaler, de har underskrevet.

I overensstemmelse med ISO 27001:2022 er bilag A 5.22 en forebyggende kontrol designet til at minimere risikoen ved at hjælpe leverandøren med at opretholde et "aftalt niveau for informationssikkerhed og levering af tjenester.

Ejerskab af bilag A Kontrol 5.22

Et medlem af den øverste ledelse, der fører tilsyn med en organisations kommercielle drift og opretholder et direkte forhold til organisationens leverandører, bør være ansvarlig for Kontrol 5.22.

Gå til emne

ISO 27001:2022 Bilag A 5.22 Generel vejledning

Ifølge ISO 27001:2022 Bilag A Kontrol 5.22, 13 nøgleområder bør tages i betragtning, når de håndterer leverandørforhold, og hvordan disse faktorer påvirker deres egne informationssikkerhedsforanstaltninger.

En organisation skal sikre, at medarbejdere, der er ansvarlige for håndtering af serviceniveauaftaler og leverandørforhold, besidder de nødvendige kompetencer og tekniske ressourcer. Dette er for at sikre, at de er i stand til at evaluere leverandørens ydeevne tilstrækkeligt, og at informationssikkerhedsstandarden ikke bliver brudt.

En organisations politikker og procedurer bør udarbejdes af:

  1. Overvåg løbende serviceniveauer i overensstemmelse med offentliggjorte serviceniveauaftaler og afhjælp eventuelle mangler, så snart de opstår.

  2. Leverandøren skal overvåges for eventuelle ændringer i deres egen drift, herunder (men ikke begrænset til): (1) Serviceforbedringer (2) Nye applikationer, systemer eller softwareprocesser (3) Relevante og meningsfulde revisioner af de interne styringsdokumenter for leverandør, og (4) eventuelle ændringer i hændelseshåndteringsprocedurer eller forsøg på at forbedre informationssikkerhedsniveauet.

  3. Eventuelle ændringer, der involverer tjenesten, herunder (men ikke begrænset til): a) Infrastrukturændringer b) Anvendelser af nye teknologier c) Produktopdateringer og versionsopgraderinger d) Ændringer i udviklingsmiljøet e) Logistiske og fysiske ændringer af leverandørfaciliteter, herunder nye lokationer f) Ændringer af outsourcing-partnere eller underleverandører g) Intentioner om underleverandører, hvor en sådan praksis ikke tidligere har været praktiseret.

  4. Sikre, at der regelmæssigt leveres servicerapporter, at data analyseres, og at reviewmøder gennemføres i overensstemmelse med aftalte serviceniveauer.

  5. Sørg for, at outsourcing-partnere og underleverandører bliver revideret og adresserer eventuelle bekymringsområder.

  6. Foretag en gennemgang af sikkerhedshændelser baseret på standarden og praksis, som er aftalt af leverandøren og i overensstemmelse med hændelsesstyringsstandarderne.

  7. Der bør vedligeholdes registre over alle hændelser med informationssikkerhed, håndgribelige driftsproblemer, fejllogfiler og generelle barrierer for at opfylde de aftalte serviceleverancestandarder.

  8. Tag proaktiv handling som reaktion på hændelser vedrørende informationssikkerhed.

  9. Identificer eventuelle sårbarheder i informationssikkerheden og afhjælp dem i videst muligt omfang.

  10. Udfør en analyse af eventuelle relevante informationssikkerhedsfaktorer forbundet med leverandørens forhold til sine leverandører og underleverandører.

  11. I tilfælde af væsentlige afbrydelser fra leverandørens side, herunder en nødhjælpsindsats, skal du sikre dig, at serviceleverancen leveres til acceptable niveauer.

  12. Angiv en liste over nøglepersoner i leverandørens drift, der er ansvarlige for at opretholde overholdelse og overholde vilkårene i kontrakten.

  13. Sørg for, at en leverandør regelmæssigt opretholder en basisstandard for informationssikkerhed.

Understøttende kontrol i bilag A

  • ISO 27001:2022 Bilag A 5.29

  • ISO 27001:2022 Bilag A 5.30

  • ISO 27001:2022 Bilag A 5.35

  • ISO 27001:2022 Bilag A 5.36

  • ISO 27001:2022 Bilag A 8.14

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvad er fordelen ved at bruge ISMS.online til at administrere leverandørforhold?

Dette bilag A kontrolmål er blevet gjort meget let af ISMS.online. Dette skyldes, at ISMS.online giver bevis for, at dine relationer er nøje udvalgt, veladministreret og overvåget og gennemgået. Dette gøres i vores brugervenlige kontiforhold (f.eks. leverandør) område. Samarbejdsprojekter arbejdsrum giver revisor mulighed for nemt at se vigtig leverandør om boarding, fælles initiativer, off boarding mv.

Ud over at hjælpe din organisation med dette bilag A kontrolmål, ISMS.online giver dig også muligheden at fremlægge dokumentation for, at leverandøren formelt har accepteret kravene og har forstået sit ansvar for informationssikkerhed gennem vores politikpakker. Som et resultat af deres specifikke politikker og kontroller, Policy Packs forsikrer leverandører at deres medarbejdere har læst og forpligtet sig til at overholde organisationens politikker og kontroller.

Der kan være et bredere krav om at tilpasse sig bilag A.5.8 Informationssikkerhed i projektledelse, afhængigt af ændringens art (f.eks. ved flere materielle ændringer).

Det er nemmere at implementere ISO 27001 med vores trin-for-trin tjekliste, som guider dig fra at definere dit ISMS-omfang til at identificere risici og implementere kontroller.

ISMS.online tilbyder følgende fordele:

  • Platformen giver dig mulighed for at oprette en ISMS i overensstemmelse med ISO 27001 krav.

  • Brugere kan udføre opgaver og indsende bevis for at påvise overholdelse af standarden.

  • Processen med at uddelegere ansvar og overvåge fremskridt med overholdelse er let.

  • Som følge af den omfattende risikovurdering værktøjssæt er processen fremskyndet og tidsbesparende.

  • Et dedikeret team af konsulenter kan hjælpe dig gennem hele compliance-processen.

Kontakt os i dag for at planlæg en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere