ISO 27001:2022 Bilag A 5.20 Tjekliste

ISO 27001:2022 Bilag A 5.20 Tjeklistevejledning

Anvendelse af en omfattende tjekliste til A.5.20 sikrer systematisk overholdelse af informationssikkerhedskrav inden for leverandøraftaler, hvilket forbedrer den overordnede overholdelse og sikrer organisatoriske aktiver. Denne tilgang letter effektiv overvågning og styring og fremmer robust sikkerhedspraksis i hele forsyningskæden.

ISO 27001 A.5.20 Håndtering af informationssikkerhed inden for leverandøraftaler-tjekliste

A.5.20 Håndtering af informationssikkerhed inden for leverandøraftaler er en afgørende kontrol under ISO/IEC 27001:2022-standarden. Denne kontrol pålægger organisationer at sikre, at deres leverandører overholder strenge informationssikkerhedspolitikker og kontroller for at beskytte følsomme oplysninger i hele forsyningskæden.

I betragtning af den stigende kompleksitet af forsyningskæder og den udviklende karakter af cybersikkerhedstrusler, er effektiv implementering af denne kontrol afgørende for at opretholde robust informationssikkerhed.

Det primære formål med A.5.20 er at sikre, at krav til informationssikkerhed er eksplicit defineret, effektivt kommunikeret og strengt håndhævet inden for leverandøraftaler. Dette beskytter ikke kun organisationens informationsaktiver, men sikrer også, at leverandører opretholder høje standarder for informationssikkerhed.

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Hvorfor skal du overholde bilag A.5.20? Nøgleaspekter og fælles udfordringer

1. Leverandørvalg og evaluering

Risikovurdering

Formål: Identificere og vurdere potentielle risici forbundet med leverandører.

Udfordringer: Nøjagtig vurdering af risici, især for leverandører med komplekse operationer.

Løsninger: Udvikle en omfattende risikovurderingsramme, der omfatter både kvalitative og kvantitative metoder. Brug tredjeparts risikovurderingsværktøjer for at få yderligere indsigt.
ISMS.online funktioner: Brug Risk Management-modulet med Dynamic Risk Map og Risk Monitoring.
Overholdelsestjekliste:

Udfør en omfattende risikovurdering for hver leverandør.

Dokumenter identificerede risici og afhjælpningsstrategier.

Gennemgå og opdater risikovurderinger med jævne mellemrum.

Kriterier for udvælgelse

Formål: Etablere og anvende kriterier for udvælgelse af leverandører baseret på deres informationssikkerhedskapacitet.

Udfordringer: Sikring af kriterierne er omfattende og i overensstemmelse med sikkerhedspolitikkerne.

Løsninger: Udvikle en standardiseret leverandørevalueringstjekliste, der stemmer overens med organisationens sikkerhedspolitikker og krav.
ISMS.online funktioner: Brug Supplier Management-modulet til at vedligeholde leverandørvurderinger og præstationsmålinger.
Overholdelsestjekliste:

Definer og dokumenter kriterier for leverandørvalg.

Evaluer leverandører ud fra de definerede kriterier.

Vedligeholde registreringer af leverandørevalueringer.

2. Kontraktlige forpligtelser

Informationssikkerhedsklausuler

Formål: Inddrag specifikke informationssikkerhedsansvar i leverandørkontrakter.

Udfordringer: Sikre, at alle kontrakter er opdateret og indeholder relevante sikkerhedsklausuler.

Løsninger: Gennemgå og opdater regelmæssigt kontraktskabeloner for at inkludere de seneste sikkerhedskrav. Brug juridisk ekspertise til at sikre håndhævelse.
ISMS.online funktioner: Brug modulet Policy Management med Policy Templates og Policy Pack.
Overholdelsestjekliste:

Udkast til standard informationssikkerhedsklausuler for leverandørkontrakter.

Medtag disse klausuler i alle nye leverandørkontrakter.

Opdater eksisterende kontrakter for at inkorporere informationssikkerhedsklausuler.

Overensstemmelseskrav

Formål: Sørg for, at leverandører overholder relevante love, regler og standarder.

Udfordringer: Følge med ændrede regler og sikre leverandørens overholdelse.

Løsninger: Implementer et regulatorisk overvågningssystem for at holde dig opdateret om ændringer. Tilbyde træningssessioner for leverandører om nye overholdelseskrav.
ISMS.online funktioner: Brug Compliance Management-modulet med Regs Database og Alert System.
Overholdelsestjekliste:

Identificer relevante love, regler og standarder for hver leverandør.

Kommunikere overholdelseskrav til leverandører.

Overvåg leverandørens overholdelse af disse krav.

Ret til revision

Formål: Inkluder revisionsrettigheder i leverandørkontrakter for at sikre overholdelse af sikkerhedsforanstaltninger.

Udfordringer: Indhentning af aftale fra leverandører om revisionsrettigheder og planlægning af revisioner.

Løsninger: Forhandle revisionsklausuler i begyndelsen af forholdet. Planlæg revisioner på forhånd og giv klare retningslinjer for revisionsprocessen.
ISMS.online funktioner: Brug Audit Management-modulet til at planlægge, udføre og dokumentere revisioner.
Overholdelsestjekliste:

Inkluder revisionsrettigheder i leverandørkontrakter.

Planlæg regelmæssige revisioner af leverandører.

Dokumentere revisionsresultater og opfølgende handlinger.

3. Kommunikation og koordinering

Informationsudveksling

Formål: Definer sikre metoder til udveksling af information mellem organisationen og leverandører.

Udfordringer: Sikring af sikre kommunikationskanaler og konsistente protokoller.

Løsninger: Implementer kryptering og sikre kommunikationsværktøjer. Opdater og test regelmæssigt kommunikationsprotokoller.
ISMS.online funktioner: Brug kommunikationsværktøjer såsom notifikationssystem og samarbejdsværktøjer.
Overholdelsestjekliste:

Etabler sikre kommunikationskanaler med leverandører.

Definere og dokumentere informationsudvekslingsprotokoller.

Træn relevant personale i sikker kommunikationspraksis.

Incident Management

Formål: Etablere procedurer for rapportering og håndtering af informationssikkerhedshændelser, der involverer leverandører.

Udfordringer: Sikring af rettidig hændelsesrapportering og effektiv ledelseskoordinering.

Løsninger: Udvikle en detaljeret hændelsesresponsplan, der inkluderer leverandørkoordinering. Udfør regelmæssige øvelser til at reagere på hændelser.
ISMS.online funktioner: Implementer Incident Management-modulet med Incident Tracker og Workflow.
Overholdelsestjekliste:

Definer hændelsesrapportering og styringsprocedurer.

Kommuniker disse procedurer til leverandører.

Sikre rettidig rapportering og koordinering af hændelseshåndtering.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

4. Overvågning og gennemgang

Regelmæssige anmeldelser

Formål: Udfør regelmæssige gennemgange og vurderinger af leverandørens overholdelse af krav til informationssikkerhed.

Udfordringer: Konsekvent udførelse af grundige anmeldelser og styring af ressourcer til løbende overvågning.

Løsninger: Etabler en gennemgangsplan og brug automatiserede værktøjer til at strømline gennemgangsprocessen. Tildel tilstrækkelige ressourcer til regelmæssig overvågning.
ISMS.online funktioner: Brug Supplier Management-modulet til at planlægge og spore præstationsgennemgange.
Overholdelsestjekliste:

Planlæg regelmæssige overholdelsesgennemgange for leverandører.

Dokumenter resultaterne af hver anmeldelse.

Implementer opfølgende handlinger baseret på revisionsresultater.

Ydelsesmålinger

Formål: Implementer præstationsmålinger for at overvåge leverandørens overholdelse af kontraktlige forpligtelser.

Udfordringer: Definition af passende målinger og sikring af nøjagtig dataindsamling.

Løsninger: Udvikle nøglepræstationsindikatorer (KPI'er), der stemmer overens med kontraktlige forpligtelser. Brug dataanalyse til at overvåge og rapportere om leverandørens ydeevne.
ISMS.online funktioner: Performance Tracking-modulet med KPI-sporing og trendanalyse.
Overholdelsestjekliste:

Definer ydeevnemålinger for leverandøroverholdelse.

Indsaml og analyser præstationsdata regelmæssigt.

Brug præstationsdata til at skabe forbedringer i leverandørstyring.

5. Træning og bevidsthed

Leverandøruddannelse

Formål: Sikre, at leverandører får tilstrækkelig træning i organisationens informationssikkerhedspolitikker og -procedurer.

Udfordringer: Sikre uddannelsen er effektiv og når ud til alt relevant leverandørpersonale.

Løsninger: Udvikle omfattende træningsprogrammer skræddersyet til leverandørens behov. Brug e-læringsplatforme til at lette træning og spore fremskridt.
ISMS.online funktioner: Brug træningsmodulet med træningsmoduler og træningssporing.
Overholdelsestjekliste:

Udvikle undervisningsmateriale om informationssikkerhedspolitikker.

Uddannelse til leverandørpersonale.

Spor træningsdeltagelse og gennemførelse.

6. Opsigelse af aftale

Dataretur og sletning

Formål: Definer procedurer for sikker returnering eller sletning af organisationens oplysninger ved opsigelse af leverandøraftalen.

Udfordringer: Sikring af fuldstændig og sikker dataretur eller sletning.

Løsninger: Udvikle klare procedurer for returnering og sletning af data og inkludere dem i kontrakten. Brug verifikationsprocesser til at sikre overholdelse.
ISMS.online funktioner: Dokumentstyringsmodulet med versionskontrol og dokumentopbevaring.
Overholdelsestjekliste:

Definer procedurer for dataretur og sletning.

Kommuniker disse procedurer til leverandører.

Bekræft og dokumenter sikker returnering eller sletning af data.

Afslut strategi

Formål: Udvikl en exit-strategi for at styre overgangen af tjenester til en ny leverandør eller tilbage internt, og opretholde informationssikkerheden hele vejen igennem.

Udfordringer: Håndtering af overgange uden at gå på kompromis med informationssikkerheden.

Løsninger: Opret en detaljeret exitstrategi, der inkluderer roller og ansvar, tidslinjer og sikkerhedsforanstaltninger. Gennemfør overgangsøvelser for at teste strategien.
ISMS.online funktioner: Brug Business Continuity-modulet med kontinuitetsplaner.
Overholdelsestjekliste:

Udvikle en omfattende exitstrategi.

Kommuniker exitstrategien til relevante interessenter.

Implementer exitstrategien og overvåg dens effektivitet.

Beskyt din organisation

Ved at udnytte de omfattende funktioner i ISMS.online og løse disse fælles udfordringer, kan organisationer sikre robust overholdelse af A.5.20. Dette indebærer effektiv styring af informationssikkerhed inden for leverandøraftaler og sikring af deres informationsaktiver i hele forsyningskæden.

Implementering af disse praksisser sikrer ikke kun overholdelse af ISO 27001:2022, men styrker også den overordnede sikkerhedsposition i organisationen, hvilket fremmer en kultur med løbende forbedringer og årvågenhed i informationssikkerhedsstyring.

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Hvert bilag A Kontroltjeklistetabel

ISO 27001 Bilag A.5 Kontroltjeklistetabel

ISO 27001 kontrolnummer	ISO 27001 kontroltjekliste
Bilag A.5.1	Tjekliste for politikker for informationssikkerhed
Bilag A.5.2	Tjekliste for roller og ansvar for informationssikkerhed
Bilag A.5.3	Tjekliste for opgavefordeling
Bilag A.5.4	Tjekliste for ledelsesansvar
Bilag A.5.5	Tjekliste for kontakt med myndigheder
Bilag A.5.6	Kontakt med særlige interessegrupper Tjekliste
Bilag A.5.7	Trusselsefterretningstjekliste
Bilag A.5.8	Tjekliste for informationssikkerhed i projektledelse
Bilag A.5.9	Kontrolliste over oplysninger og andre tilknyttede aktiver
Bilag A.5.10	Tjekliste for acceptabel brug af oplysninger og andre tilknyttede aktiver
Bilag A.5.11	Tjekliste for returnering af aktiver
Bilag A.5.12	Tjekliste til klassificering af information
Bilag A.5.13	Mærkning af informationstjekliste
Bilag A.5.14	Tjekliste for informationsoverførsel
Bilag A.5.15	Tjekliste for adgangskontrol
Bilag A.5.16	Tjekliste for identitetsstyring
Bilag A.5.17	Tjekliste for godkendelsesoplysninger
Bilag A.5.18	Tjekliste for adgangsrettigheder
Bilag A.5.19	Tjekliste for informationssikkerhed i leverandørforhold
Bilag A.5.20	Håndtering af informationssikkerhed inden for leverandøraftaler-tjekliste
Bilag A.5.21	Håndtering af informationssikkerhed i IKT Supply Chain Checklist
Bilag A.5.22	Overvågning, gennemgang og ændringsstyring af leverandørtjenester Tjekliste
Bilag A.5.23	Tjekliste for informationssikkerhed for brug af cloudtjenester
Bilag A.5.24	Informationssikkerhed Incident Management Planlægning og forberedelse Tjekliste
Bilag A.5.25	Tjekliste for vurdering og beslutning om hændelser vedrørende informationssikkerhed
Bilag A.5.26	Svar på tjekliste for hændelser i informationssikkerhed
Bilag A.5.27	Tjekliste for hændelser ved informationssikkerhed
Bilag A.5.28	Tjekliste for indsamling af beviser
Bilag A.5.29	Tjekliste for informationssikkerhed under afbrydelser
Bilag A.5.30	Tjekliste for IKT-beredskab til forretningskontinuitet
Bilag A.5.31	Tjekliste for juridiske, lovpligtige, regulatoriske og kontraktlige krav
Bilag A.5.32	Tjekliste for intellektuelle ejendomsrettigheder
Bilag A.5.33	Tjekliste til beskyttelse af registre
Bilag A.5.34	Tjekliste for privatliv og beskyttelse af PII
Bilag A.5.35	Uafhængig gennemgang af informationssikkerhedstjekliste
Bilag A.5.36	Overholdelse af politikker, regler og standarder for informationssikkerhedstjekliste
Bilag A.5.37	Checkliste for dokumenterede driftsprocedurer

ISO 27001 Bilag A.6 Kontroltjeklistetabel

ISO 27001 kontrolnummer	ISO 27001 kontroltjekliste
Bilag A.6.1	Screeningstjekliste
Bilag A.6.2	Tjekliste for ansættelsesvilkår og -vilkår
Bilag A.6.3	Tjekliste for bevidsthed om informationssikkerhed, uddannelse og træning
Bilag A.6.4	Tjekliste for disciplinær proces
Bilag A.6.5	Ansvarsliste efter opsigelse eller ændring af ansættelse
Bilag A.6.6	Tjekliste for fortrolighed eller tavshedspligt
Bilag A.6.7	Tjekliste for fjernarbejde
Bilag A.6.8	Tjekliste til rapportering af hændelser vedrørende informationssikkerhed

ISO 27001 Bilag A.7 Kontroltjeklistetabel

ISO 27001 kontrolnummer	ISO 27001 kontroltjekliste
Bilag A.7.1	Tjekliste for fysisk sikkerhed perimeter
Bilag A.7.2	Tjekliste for fysisk adgang
Bilag A.7.3	Tjekliste til sikring af kontorer, værelser og faciliteter
Bilag A.7.4	Tjekliste til overvågning af fysisk sikkerhed
Bilag A.7.5	Tjekliste for beskyttelse mod fysiske og miljømæssige trusler
Bilag A.7.6	Tjekliste for arbejde i sikre områder
Bilag A.7.7	Clear Desk og Clear Screen Checkliste
Bilag A.7.8	Tjekliste for placering og beskyttelse af udstyr
Bilag A.7.9	Sikkerhed af aktiver Off-Premises Tjekliste
Bilag A.7.10	Tjekliste til lagermedier
Bilag A.7.11	Tjekliste for understøttende hjælpeprogrammer
Bilag A.7.12	Kabelsikkerhedstjekliste
Bilag A.7.13	Tjekliste til vedligeholdelse af udstyr
Bilag A.7.14	Tjekliste for sikker bortskaffelse eller genbrug af udstyr

ISO 27001 Bilag A.8 Kontroltjeklistetabel

ISO 27001 kontrolnummer	ISO 27001 kontroltjekliste
Bilag A.8.1	Tjekliste for brugerendepunktsenheder
Bilag A.8.2	Tjekliste for privilegerede adgangsrettigheder
Bilag A.8.3	Tjekliste for begrænsning af informationsadgang
Bilag A.8.4	Adgang til kildekodetjekliste
Bilag A.8.5	Tjekliste til sikker autentificering
Bilag A.8.6	Tjekliste for kapacitetsstyring
Bilag A.8.7	Tjekliste for beskyttelse mod malware
Bilag A.8.8	Håndtering af tekniske sårbarheder Tjekliste
Bilag A.8.9	Kontrolliste til konfigurationsstyring
Bilag A.8.10	Tjekliste til sletning af oplysninger
Bilag A.8.11	Tjekliste til datamaskering
Bilag A.8.12	Tjekliste til forebyggelse af datalækage
Bilag A.8.13	Tjekliste til sikkerhedskopiering af oplysninger
Bilag A.8.14	Tjekliste for redundans af informationsbehandlingsfaciliteter
Bilag A.8.15	Logningstjekliste
Bilag A.8.16	Tjekliste for overvågningsaktiviteter
Bilag A.8.17	Tjekliste til synkronisering af ur
Bilag A.8.18	Tjekliste for brug af Privileged Utility Programs
Bilag A.8.19	Installation af software på driftssystemer Tjekliste
Bilag A.8.20	Tjekliste for netværkssikkerhed
Bilag A.8.21	Tjekliste for sikkerhed for netværkstjenester
Bilag A.8.22	Tjekliste for opdeling af netværk
Bilag A.8.23	Tjekliste til webfiltrering
Bilag A.8.24	Brug af kryptografi-tjekliste
Bilag A.8.25	Tjekliste for livscyklus for sikker udvikling
Bilag A.8.26	Tjekliste for applikationssikkerhedskrav
Bilag A.8.27	Tjekliste for sikker systemarkitektur og tekniske principper
Bilag A.8.28	Tjekliste til sikker kodning
Bilag A.8.29	Sikkerhedstest i udvikling og acceptcheckliste
Bilag A.8.30	Tjekliste for outsourcet udvikling
Bilag A.8.31	Adskillelse af tjekliste for udviklings-, test- og produktionsmiljøer
Bilag A.8.32	Change Management Checkliste
Bilag A.8.33	Tjekliste for testinformation
Bilag A.8.34	Tjekliste til beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper med A.5.20

Klar til at forbedre din organisations informationssikkerhed og sikre overholdelse af ISO 27001:2022?

Opdag, hvordan ISMS.online kan strømline din overholdelsesindsats, administrere leverandørforhold og beskytte dine værdifulde informationsaktiver. Vores omfattende platform tilbyder alle de værktøjer og funktioner, du behøver for effektivt at implementere A.5.20 og andre kritiske kontroller.

Kontakt os nu for at planlægge en personlig demo og se, hvordan ISMS.online kan transformere din informationssikkerhedsstyring. Vores eksperter er her for at guide dig gennem hvert trin og sikre, at du får mest muligt ud af vores løsninger.

David Holloway

Chief Marketing Officer

David Holloway er Chief Marketing Officer hos ISMS.online med over fire års erfaring inden for compliance og informationssikkerhed. Som en del af lederteamet fokuserer David på at give organisationer mulighed for at navigere i komplekse regulatoriske landskaber med selvtillid og udvikle strategier, der afstemmer forretningsmål med effektive løsninger. Han er også medvært på podcasten Phishing For Trouble, hvor han dykker ned i højprofilerede cybersikkerhedshændelser og deler værdifulde erfaringer, der kan hjælpe virksomheder med at styrke deres sikkerheds- og compliancepraksis.

Vi er førende inden for vores felt