Kontrol 5.22 fastlægger de metoder, organisationer bør anvende, når de overvåger, gennemgår og administrerer ændringer i en leverandørs informationssikkerhedspraksis og serviceleveringsstandarder og vurderer indvirkningen på organisationens egne niveauer af informationssikkerhed.
Når du administrerer forhold til deres leverandører, bør en organisation søge at opretholde et basisniveau for informationssikkerhed, der overholder eventuelle aftaler, der er indgået.
5.22 er en forebyggende kontrol at ændrer risikoen ved at opretholde et ”aftalt niveau for informationssikkerhed og servicelevering” fra leverandørens side.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse #Forsvar #Informationssikkerhedsgaranti |
Ejerskab af kontrol 5.22 bør ligge hos et medlem af senior ledelse, der fører tilsyn med en organisations kommercielle drift, og opretholder et direkte forhold til en organisations leverandører, såsom en Chief Operating Officer.
Kontrol 5.22 indeholder 13 hovedområder, der organisationer har brug for at overveje, når de håndterer leverandørforhold, og hvilken effekt de har på deres egne informationssikkerhedsstandarder.
Organisationer skal tage skridt til at sikre, at medarbejdere, der er ansvarlige for at administrere SLA'er og leverandørrelationer, har de nødvendige niveauer af færdigheder og tekniske ressourcer til at kunne vurdere leverandørens ydeevne tilstrækkeligt, og at informationssikkerhedsstandarderne ikke bliver overtrådt.
Organisationer bør udarbejde politikker og procedurer, som:
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Nogle af de vigtigste fordele ved at bruge ISMS.online inkluderer:
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |