- Se ISO 27002:2022 Kontroll 5.19 för mer information.
- Se ISO 27001:2013 bilaga A 15.1.1 för mer information.
Stärka leverantörssäkerheten: en djupgående titt på ISO 27001 Annex A 5.19
ISO 27001:2022 bilaga A Kontroll 5.19 handlar om informationssäkerhet i leverantörsrelationer. Målet här är att skydda organisationens värdefulla tillgångar som är tillgängliga för eller påverkas av leverantörer.
Vi rekommenderar också att du även här överväger andra nyckelrelationer, till exempel partners om de inte är leverantörer men också har en inverkan på dina tillgångar som kanske inte bara täcks av ett kontrakt enbart.
Detta är en viktig del av ledningssystem för informationssäkerhet (ISMS) speciellt om du vill uppnå ISO 27001-certifiering. Låt oss förstå dessa krav och vad de betyder lite mer på djupet nu.
Leverantörer används av två huvudsakliga skäl; ett: du vill att de ska göra arbete som du har valt att inte göra internt själv, eller; två: du kan inte enkelt göra jobbet lika bra eller så kostnadseffektivt som leverantörerna.
Det finns många viktiga saker att tänka på när det gäller leverantörsval och hantering, men en storlek passar inte alla och vissa leverantörer kommer att vara viktigare än andra. Som sådan bör dina kontroller och policyer återspegla det också och a segmentering av försörjningskedjan är förnuftigt; vi förespråkar fyra kategorier av leverantörer utifrån värdet och risken i relationen. Dessa sträcker sig från de som är affärskritiska till andra leverantörer som inte har någon väsentlig inverkan på din organisation.
Syftet med ISO 27001:2022 bilaga A 5.19
ISO 27001:2002 bilaga A Kontroll 5.19 handlar om en organisations skyldighet att se till att, vid användning av produkter och tjänster på leverantörssidan (inklusive leverantörer av molntjänster), tillräcklig hänsyn tas till risknivån som är inneboende i att använda externa system, och följdeffekter som kan ha på deras egen efterlevnad av informationssäkerhet.
En bra policy beskriver leverantörssegmentering, urval, ledning, exit, hur informationstillgångar runt leverantörer kontrolleras för att mildra de associerade riskerna, men ändå möjliggöra att affärsmålen och målen uppnås. Smarta organisationer kommer att slå in sina informationssäkerhetspolicy för leverantörer in i ett bredare ramverk för relationer och undvik att bara koncentrera sig på säkerhet i sig, samtidigt som man ser till de andra aspekterna.
Bilaga A Kontroll 5.19 är en förebyggande kontroll som modifierar risker genom att upprätthålla procedurer som tar itu med inneboende säkerhetsrisker i samband med användningen av produkter och tjänster som tillhandahålls av tredje part.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vem har äganderätten till bilaga A 5.19?
Medan kontroll ISO 27001 Bilaga A 5.19 innehåller mycket vägledning om användningen av IKT-tjänster, den bredare omfattningen av kontrollen omfattar många andra aspekter av en organisations relation till sin leverantörsbas, inklusive leverantörstyper, logistik, verktyg, finansiella tjänster och infrastrukturkomponenter).
Som sådan bör ägandet av bilaga A Kontroll 5.19 ligga hos en medlem av den högsta ledningen som övervakar en organisations kommersiella verksamhet och upprätthåller en direkt relation med en organisations leverantörer, t.ex. Chief Operating Officer.
Allmän vägledning om ISO 27001:2022 bilaga A 5.19
Överensstämmelse med bilaga A Kontroll 5.19 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till informationssäkerhet i leverantörsrelationer.
En organisation kan vilja att leverantörer ska få tillgång till och bidra till vissa värdefulla informationstillgångar (t.ex. utveckling av mjukvarukod, redovisning av löneinformation). De skulle därför behöva ha tydliga avtal om exakt vilken åtkomst de tillåter dem, så att de kan kontrollera säkerheten runt det.
Detta är särskilt viktigt med allt fler informationshantering, bearbetning och tekniktjänster som läggs ut på entreprenad. Det betyder att ha ett ställe att visa att hanteringen av relationen sker; kontrakt, kontakter, incidenter, relationsaktivitet och riskhanterings etc. Där leverantören också är intimt involverad i organisationen, men kanske inte har sitt eget certifierade ISMS, då är det också värt att se till att leverantörspersonalen är utbildad och medveten om säkerhet, utbildad i dina policyer etc.
Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa leverantörsrelaterade policyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en övergripande leverantörshanteringspolicy som gäller för alla tredjepartsrelationer i en organisations kommersiella verksamhet.
Det är viktigt att notera att ISO 27001 Annex A Kontroll 5.19 ber organisationen att implementera policyer och procedurer som inte bara styr organisationens användning av leverantörsresurser och molnplattformar, utan också utgör grunden för hur de förväntar sig att deras leverantörer ska uppträda före och under hela den kommersiella relationens löptid.
Som sådan kan bilaga A Kontroll 5.19 ses som det väsentliga kvalifikationsdokumentet som dikterar hur informationssäkerhetsstyrningen hanteras under loppet av ett leverantörskontrakt.
ISO 27001 bilaga A Kontroll 5.19 innehåller 14 huvudriktlinjer som ska följas:
1) Upprätthålla ett korrekt register över leverantörstyper (t.ex. finansiella tjänster, IKT-hårdvara, telefoni) som har potential att påverka informationssäkerhetens integritet.
Compliance – Gör en lista över alla leverantörer som din organisation arbetar med, kategorisera dem efter deras affärsfunktion och lägg till kategorier till nämnda leverantörstyper när och när det behövs.
2) Förstå hur man vet leverantörer, baserat på risknivån för deras leverantörstyp.
Compliance – Olika leverantörstyper kommer att kräva olika due diligence-kontroller. Överväg att använda granskningsmetoder på leverantör-för-leverantör-basis (t.ex. branschreferenser, finansiella rapporter, bedömningar på plats, sektorspecifika certifieringar som Microsoft Partnerships).
3) Identifiera leverantörer som har befintliga informationssäkerhetskontroller på plats.
Compliance – Be att få se kopior av leverantörers relevanta rutiner för informationssäkerhetsstyrning, för att utvärdera risken för din egen organisation. Om de inte har några är det inte ett gott tecken.
4) Identifiera och definiera de specifika områden av din organisations IKT-infrastruktur som dina leverantörer kommer att antingen ha tillgång till, övervaka eller använda sig av.
Compliance – Det är viktigt att från början fastställa exakt hur dina leverantörer kommer att interagera med dina IKT-tillgångar – vare sig de är fysiska eller virtuella – och vilka nivåer av åtkomst de beviljas i enlighet med sina avtalsenliga skyldigheter.
5) Definiera hur leverantörernas egen IKT-infrastruktur kan påverka din egen data och dina kunders.
Compliance – En organisations första skyldighet är att uppfylla sin egen uppsättning informationssäkerhetsstandarder. Leverantörers IKT-tillgångar måste ses över i enlighet med deras potential att påverka drifttid och integritet i hela din organisation.
6) Identifiera och hantera de olika informationssäkerhetsrisker som är kopplade till:
a. Leverantörens användning av konfidentiell information eller skyddade tillgångar (t.ex. begränsad till uppsåtlig användning och/eller kriminella avsikter).
b. Felaktig leverantörshårdvara eller felaktig mjukvaruplattform associerad med lokala eller molnbaserade tjänster.
Compliance – Organisationer måste ständigt vara uppmärksamma på informationssäkerhetsriskerna som är förknippade med katastrofala händelser, såsom skändlig leverantörsaktivitet eller större oförutsedda programvaruincidenter, och deras inverkan på organisationens informationssäkerhet.
7) Övervaka efterlevnad av informationssäkerhet utifrån ämnesspecifik eller leverantörstyp.
Compliance – Organisationens behov av att uppskatta informationssäkerhet implikationer som är inneboende inom varje leverantörstyp, och justera deras övervakningsaktivitet för att tillgodose olika risknivåer.
8) Begränsa mängden skada och/eller avbrott som orsakas av bristande efterlevnad.
Compliance – Leverantörsverksamheten bör övervakas på lämpligt sätt och i varierande grad i enlighet med dess risknivå. Om bristande efterlevnad upptäcks, antingen proaktivt eller reaktivt, bör omedelbara åtgärder vidtas.
9) Behåll en robust incidenthantering förfarande som hanterar en rimlig mängd oförutsedda händelser.
Compliance – Organisationer bör förstå exakt hur de ska reagera när de ställs inför ett brett spektrum av händelser som rör leverans av tredjepartsprodukter och tjänster, och beskriva korrigerande åtgärder som omfattar både leverantören och organisationen.
10) Vidta åtgärder som tillgodoser tillgängligheten och behandlingen av leverantörens information, var den än används, och därigenom säkerställa integriteten hos organisationens egen information.
Compliance – Åtgärder bör vidtas för att säkerställa att leverantörssystem och data hanteras på ett sätt som inte kompromissar med tillgängligheten och säkerheten för organisationens egna system och information.
11) Utarbeta en grundlig utbildningsplan som ger vägledning om hur personalen ska interagera med leverantörspersonal och information leverantör för leverantör eller typ för typ.
Compliance – Utbildning bör täcka hela spektrumet av styrning mellan en organisation och dess leverantörer, inklusive engagemang, granulära riskhanteringskontroller och ämnesspecifika förfaranden.
12) Förstå och hantera risknivån vid överföring av information och fysiska och virtuella tillgångar mellan organisationen och deras leverantörer.
Compliance – Organisationer bör kartlägga varje steg i överföringsprocessen och utbilda personalen om riskerna med att flytta tillgångar och information från en källa till en annan.
13) Se till att leverantörsrelationer avslutas med informationssäkerhet i åtanke, inklusive att ta bort åtkomsträttigheter och möjligheten att få tillgång till organisationsinformation.
Compliance – Dina IKT-team bör ha en klar förståelse för hur man återkallar en leverantörs tillgång till information, inklusive:
- Granulär analys av alla associerade domäner och/eller molnbaserade konton.
- Distribution av immateriella rättigheter.
- Överföring av information mellan leverantörer eller tillbaka till din organisation.
- Dokumenthantering.
- Återlämna tillgångar till sin ursprungliga ägare.
- Tillräckligt omhändertagande av fysiska och virtuella tillgångar, inklusive information.
- Efterlevnad av eventuella avtalskrav, inklusive sekretessklausuler och/eller externa avtal.
14) Beskriv exakt hur du förväntar dig att leverantören ska uppträda när det gäller fysiska och virtuella säkerhetsåtgärder.
Compliance – Organisationer bör ställa tydliga förväntningar från början av alla kommersiella relationer, som specificerar hur personal på leverantörssidan förväntas uppträda när de interagerar med din personal eller andra relevanta tillgångar.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om bilaga A 5.19
ISO erkänner att det inte alltid är möjligt att införa en fullständig uppsättning policyer för en leverantör som uppfyller varje krav från listan ovan som ISO 27001 Annex A Control 5.19 avser, särskilt när det handlar om stela offentliga organisationer.
Med detta sagt anger bilaga A Kontroll 5.19 tydligt att organisationer bör använda ovanstående vägledning när de bildar relationer med leverantörer och överväga bristande efterlevnad från fall till fall.
Där full efterlevnad inte kan uppnås, ger bilaga A Kontroll 5.19 organisationer utrymme genom att rekommendera "kompenserande kontroller" som uppnår adekvata nivåer av riskhantering, baserat på en organisations unika omständigheter.
Vilka är ändringarna från ISO 27001:2013?
ISO 27001:2022 bilaga A 5.19 ersätter ISO 27001:2013 Bilaga A 15.1.1 (Informationssäkerhetspolicy för leverantörsrelationer).
ISO 27001:2022 Annex A 5.19 följer i stort sett samma underliggande koncept som ingår i 2013 års kontroll, men innehåller flera ytterligare vägledningsområden som antingen har utelämnats från ISO 27001:2013 Annex A 5.1.1, eller åtminstone inte omfattas av lika mycket detaljer, inklusive:
- Granskning av leverantörer baserat på deras leverantörstyp och risknivå.
- Behovet av att säkerställa integriteten hos leverantörsinformation för att säkra sin egen data och säkerställa kontinuitet i verksamheten.
- De olika steg som krävs för att avsluta ett leverantörsförhållande, inklusive avveckling av åtkomsträttigheter, IP-distribution, avtalsavtal etc.
ISO 27001:2022 bilaga A 5.19 är också explicit när det gäller att erkänna den mycket varierande karaktären hos leverantörsrelationer (baserat på typ, sektor och risknivå), och ger organisationer ett visst utrymme när de överväger möjligheten att bristande efterlevnad av en given vägledning punkt, baserat på förhållandets natur (se "Kompletterande vägledning" ovan).
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur hjälper ISMS.online med leverantörsrelationer?
ISMS.online har gjort detta kontrollmål mycket enkelt genom att tillhandahålla bevis på att dina relationer är noggrant utvalda, sköts väl i livet, inklusive att övervakas och granskas. Vårt lättanvända Kontorelationer (t.ex. leverantörer) område gör just det. Samarbetsprojektens arbetsplatser är utmärkta för viktiga leverantörsintroduktioner, gemensamma initiativ, off-boarding etc som revisorn också kan se med lätthet vid behov.
ISMS.online har också gjort detta kontrollmål lättare för din organisation genom att göra det möjligt för dig att tillhandahålla bevis på att leverantören formellt har åtagit sig att följa kraven och har förstått sitt ansvar för informationssäkerhet genom våra policypaket. Policypaket är idealiska där organisationen har specifika policyer och kontroller som den vill att leverantörspersonalen ska följa och lita på att de har läst dem och åtagit sig att följa dem – utöver de bredare avtalen mellan kund och leverantör.
Beroende på ändringens karaktär (dvs. för mer väsentliga ändringar) kan det finnas ett bredare krav på att anpassa sig till A.6.1.5 informationssäkerhet i projektledning.
Med ISMS.online kan du:
- Implementera snabbt ett Information Security Management System (ISMS).
- Hantera enkelt dokumentationen för ditt ISMS.
- Effektivisera efterlevnaden av alla relevanta standarder.
- Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
- Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.
Hör av dig idag för att boka en demo.
