- Se ISO 27002:2022 Kontroll 5.20 för mer information.
- Se ISO 27001:2013 bilaga A 15.1.2 för mer information.
Vad är syftet med ISO 27001:2022 bilaga A 5.20?
ISO 27001 Annex A Kontroll 5.20 styr hur en organisation bildar ett avtal med en leverantör utifrån deras krav på säkerhet. Detta är baserat på vilka typer av leverantörer de arbetar med.
Som en del av bilaga A Kontroll 5.20 måste organisationer och deras leverantörer komma överens om ömsesidigt godtagbar informationssäkerhet skyldigheter att upprätthålla risk.
Vem har äganderätten till bilaga A 5.20?
Bilaga Kontroll 5.20 bör bestämmas av huruvida organisationen driver sin egen juridiska avdelning, samt arten av det avtal som har undertecknats.
Hantera eventuella förändringar i försörjningskedjan policyer, procedurer och kontroller, inklusive underhåll och förbättring av befintliga policyer, procedurer och kontroller för informationssäkerhet, anses vara effektiv kontroll.
Detta bestäms genom att ta hänsyn till affärsinformationens kritiska karaktär, förändringens karaktär, vilken typ av leverantörer som berörs, vilka system och processer som är involverade och att omvärdera riskfaktorer. Att förändra de tjänster en leverantör tillhandahåller bör också ta hänsyn till relationens intimitet och organisationens förmåga att påverka eller kontrollera förändringen.
Äganderätten till 5.20 bör ligga hos den person som är ansvarig för juridiskt bindande avtal inom organisationen (kontrakt, samförståndsavtal, servicenivåavtal etc.) om organisationen har rättskapacitet att utarbeta, ändra och lagra sina avtalsavtal utan inblandning av tredje parter.
En medlem av högsta ledningen i organisationen som övervakar den kommersiella verksamheten i organisationen och upprätthåller direkta relationer med dess leverantörer bör ta ansvar för bilaga A Kontroll 5.20 om organisationen lägger ut sådana avtal på entreprenad.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27001:2022 Bilaga A 5.20 Allmän vägledning
Kontroll 5.20 i bilaga A innehåller 25 vägledningspunkter som ISO anger är "möjliga att överväga" (dvs inte nödvändigtvis alla) för att organisationer ska kunna uppfylla sina krav på informationssäkerhet.
Bilaga A Kontroll 5.20 specificerar att oavsett vidtagna åtgärder måste båda parter komma ut ur processen med en "tydlig förståelse" av varandras informationssäkerhetsskyldigheter.
- Det är viktigt att tillhandahålla en tydlig beskrivning av den information som behöver kommas åt och hur den informationen kommer att nås.
- Organisationer bör klassificera information enligt sina publicerade klassificeringssystem (se bilaga A, kontroller 5.10, 5.12 och 5.13).
- Informationsklassificering på leverantörens sida bör övervägas tillsammans med hur det förhåller sig till det på organisationens sida.
- Generellt kan båda parters rättigheter delas in i fyra kategorier: juridiska, lagstadgade, regulatoriska och avtalsenliga. Som standard med kommersiella avtal bör olika skyldigheter tydligt anges inom dessa fyra områden, inklusive tillgång till personlig information, immateriella rättigheter och upphovsrättsliga bestämmelser. Kontraktet bör också omfatta hur dessa nyckelområden kommer att behandlas separat.
- Som en del av kontrollsystemet i bilaga A bör varje part åläggas att genomföra samtidiga åtgärder utformade för att övervaka, bedöma och hantera informationssäkerhetsrisker (såsom policyer för åtkomstkontroll, avtalsgranskningar, övervakning, rapportering och periodisk revision). Vidare bör avtalet tydligt ange att leverantörspersonal ska följa organisationens informationssäkerhetsstandarder (se ISO 27001 bilaga A Kontroll 5.20).
- Båda parter måste tydligt förstå vad som utgör acceptabel och oacceptabel användning av information, såväl som fysiska och virtuella tillgångar.
- För att säkerställa att personal på leverantörssidan kan komma åt och se en organisations information bör rutiner införas (t.ex. granskningar på leverantörssidan och kontroll av serveråtkomst).
- Förutom att ta hänsyn till leverantörens IKT-infrastruktur är det viktigt att förstå hur det relaterar till vilken typ av information organisationen kommer att få tillgång till. Detta är ett tillägg till organisationens kärnuppsättning affärskrav.
- Om leverantören bryter mot avtalet eller inte följer individuella villkor bör organisationen överväga vilka åtgärder den kan vidta.
- Konkret ska avtalet beskriva ett förfarande för ömsesidig incidenthantering som klargör hur problem ska hanteras när de uppstår. Detta inkluderar hur båda parter ska kommunicera när en incident inträffar.
- Båda parter bör tillhandahålla adekvat medvetenhetsutbildning (där standardutbildning inte är tillräcklig) inom nyckelområden i avtalet, särskilt inom riskområden som incidenthantering och informationsdelning.
- Användningen av underleverantörer bör behandlas på lämpligt sätt. Organisationer bör säkerställa att, om leverantören tillåts använda underleverantörer, sådana individer eller företag följer samma informationssäkerhetsstandarder som leverantören.
- Så långt det är juridiskt och operativt möjligt bör organisationer överväga hur leverantörspersonal kontrolleras innan de interagerar med deras information. Dessutom bör de överväga hur screeningarna registreras och rapporteras till organisationen, inklusive icke-screenad personal och problemområden.
- Tredjepartsintyg, till exempel oberoende rapporter och tredjepartsrevisioner, bör krävas av organisationer för leverantörer som uppfyller deras krav på informationssäkerhet.
- ISO 27001:2022 bilaga A Kontroll 5.20 kräver att organisationer har rätt att utvärdera och granska sina leverantörers rutiner.
- En leverantör bör åläggas att tillhandahålla periodiska rapporter (med varierande intervall) som sammanfattar effektiviteten av deras processer och procedurer och hur de avser att ta itu med eventuella problem.
- Under förhållandet bör avtalet innehålla åtgärder för att säkerställa att eventuella defekter eller konflikter löses i tid och grundligt.
- En lämplig BUDR-policy bör implementeras av leverantören, skräddarsydd för att möta organisationens behov, som tar upp tre viktiga överväganden: a) Säkerhetskopieringstyp (fullständig server, fil och mapp, inkrementell), b) Säkerhetskopieringsfrekvens (dagligen, veckovis, etc.). ) C) Säkerhetskopieringsplats och källmedia (på plats, utanför platsen).
- Det är viktigt att säkerställa datamotståndskraft genom att arbeta från en katastrofåterställningsanläggning skild från leverantörens huvudsakliga IKT-plats. Denna anläggning är inte föremål för samma risknivå som den huvudsakliga IKT-platsen.
- Leverantörer bör upprätthålla en omfattande policy för förändringshantering som gör det möjligt för organisationen att avvisa alla ändringar som kan påverka informationssäkerheten i förväg.
- Fysiska säkerhetskontroller bör implementeras beroende på vilken information de får tillgång till (tillträde till byggnader, besökstillträde, rumstillträde, skrivbordssäkerhet).
- Närhelst data överförs mellan tillgångar, webbplatser, servrar eller lagringsplatser bör leverantörer se till att data och tillgångar är skyddade mot förlust, skada eller korruption.
- Som en del av avtalet bör varje part åläggas att vidta en omfattande lista över åtgärder i händelse av uppsägning (se bilaga A Kontroll 5.20). Dessa åtgärder inkluderar (men är inte begränsade till): a) avyttring av tillgångar och/eller omlokalisering, b) radering av information, c) returnering av IP, d) borttagande av åtkomsträttigheter e) fortsatta sekretessskyldigheter.
- Utöver punkt 23 bör leverantören i detalj diskutera hur den avser att förstöra/permanent radera organisationens information när den inte längre behövs (dvs. vid avtalets upphörande).
- Närhelst ett kontrakt upphör och behov uppstår att överföra support och/eller tjänster till en annan leverantör som inte är listad i kontraktet, vidtas åtgärder för att säkerställa att affärsverksamheten inte avbryts.
Bifogade kontroller i bilaga A
- ISO 27001:2022 bilaga A 5.10
- ISO 27001:2022 bilaga A 5.12
- ISO 27001:2022 bilaga A 5.13
- ISO 27001:2022 bilaga A 5.20
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om bilaga A 5.20
Bilaga A Kontroll 5.20 rekommenderar att organisationer för ett register över avtal för att hjälpa dem att hantera sina leverantörsrelationer.
Register över alla avtal som hålls med andra organisationer bör föras, kategoriserade efter relationens karaktär. Detta inkluderar kontrakt, samförståndsavtal och avtal som rör informationsdelning.
Vilka är ändringarna från ISO 27001:2013?
En ändring av ISO 27001:2013 Annex A 15.1.2 (Adressering av säkerhet inom leverantörsavtal) har gjorts för att ISO 27001: 2022 Bilaga A Kontroll 5.20.
Flera ytterligare riktlinjer finns i bilaga A Kontroll 5.20 i ISO 27001:2022 som tar upp ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade frågor, inklusive:
- Överlämningsförfarandet.
- Förstörelse av information.
- Bestämmelser för uppsägning.
- Kontroller för fysisk säkerhet.
- Ändra hanteringen.
- Informationsredundans och backuper.
Som en allmän regel betonar ISO 27001:2022 Annex A 5.20 hur en leverantör uppnår redundans och dataintegritet genom hela ett kontrakt.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vilka är fördelarna med att använda ISMS.online för leverantörsrelationer?
En checklista steg för steg guidar dig genom det hela ISO 27001 implementeringsprocess, från att definiera omfattningen av ditt ISMS till att identifiera risker och implementera kontroller.
Genom ISMS.onlines lättanvända Kontorelationer (t.ex. leverantörer) område kan du säkerställa att dina relationer är noggrant utvalda, hanteras väl i livet och övervakas och granskas. ISMS.onlines arbetsplatser för samarbetsprojekt har lätt uppfyllt detta kontrollmål. Dessa arbetsytor är användbara för leverantörer ombordstigning, gemensamma initiativ, offboarding etc., som revisorn också enkelt kan se vid behov.
Vi har också gjort detta kontrollmål lättare för din organisation genom att göra det möjligt för dig att visa att leverantören formellt har förbundit sig att följa kraven. Detta görs genom vår Policypaket. Dessa policypaket är särskilt användbara för organisationer med specifika policyer och kontroller som de vill att deras leverantörer ska följa så att de kan lita på att deras leverantörer har läst dessa policyer och har åtagit sig att följa dem.
Det kan vara nödvändigt att anpassa ändringen till A.6.1.5 Informationssäkerhet i projektledning beroende på ändringens karaktär (t.ex. för mer omfattande ändringar).
