Vad är syftet med ISO 27001:2022 bilaga A 5.22?
Bilaga A kontroll 5.22 syftar till att säkerställa att en överenskommen informationssäkerhetsnivå och serviceleveransen upprätthålls. Detta är i enlighet med leverantörskontrakt avseende utveckling av leverantörstjänster.
Leverantörernas tjänster övervakas och granskas
I bilaga A 5.22 beskrivs organisationer som regelbundet övervakar, granskar och granskar sina processer för leverans av leverantörstjänster. Att genomföra granskningar och övervakning görs bäst i enlighet med informationen i riskzonen eftersom en storlek inte passar alla situationer.
Genom att genomföra sina granskningar i enlighet med den föreslagna segmenteringen av leverantörer kan organisationen optimera sina resurser och säkerställa att deras insatser koncentreras till att övervaka och granska var den mest betydande effekten kan uppnås.
Precis som med bilaga A 5.19 är pragmatism ibland nödvändig – små organisationer kommer inte nödvändigtvis att få en revision, en personalgranskning eller dedikerade tjänsteförbättringar genom att använda AWS. För att säkerställa att de förblir lämpliga för ditt ändamål kan du kontrollera (till exempel) deras årligen publicerade SOC II-rapporter och säkerhetscertifieringar.
Övervakningen bör dokumenteras utifrån din makt, risker och värde, så att din revisor kan bekräfta att den har slutförts. Detta beror på att alla nödvändiga ändringar har hanterats genom en formell ändringskontrollprocedur.
Hantera förändringar av leverantörstjänster
Leverantörer måste underhålla och förbättra befintliga policyer, procedurer och kontroller för informationssäkerhet för att hantera eventuella förändringar av leverantörernas tillhandahållande av tjänster. Processen beaktar affärsinformationens kritiska karaktär, förändringens karaktär, vilka leverantörstyper som påverkas, processer och system som är involverade samt en omvärdering av risker.
Vid förändringar av leverantörernas tjänster är det också viktigt att ta hänsyn till intimiteten i relationen. Detta liksom organisationens förmåga att påverka eller kontrollera en förändring inom leverantören.
Kontroll 5.22 anger hur organisationer ska övervaka, granska och hantera ändringar av en leverantörs säkerhetspraxis och tjänster leveransstandarder. Den bedömer också hur de påverkar organisationens egen säkerhetspraxis.
I hanteringen av relationer med sina leverantörer bör en organisation sträva efter att upprätthålla en grundläggande nivå av informationssäkerhet som överensstämmer med alla avtal som de har undertecknat.
I enlighet med ISO 27001:2022 är bilaga A 5.22 en förebyggande kontroll utformad för att minimera risker genom att hjälpa leverantören att upprätthålla en "överenskommen nivå av informationssäkerhet och leverans av tjänster.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll av bilaga A 5.22
En medlem av högsta ledningen som övervakar en organisations kommersiella verksamhet och upprätthåller en direkt relation med organisationens leverantörer bör ansvara för Kontroll 5.22.
ISO 27001:2022 Bilaga A 5.22 Allmän vägledning
Enligt ISO 27001:2022 bilaga A Kontroll 5.22, 13 nyckelområden bör beaktas vid hantering av leverantörsrelationer och hur dessa faktorer påverkar deras egna informationssäkerhetsåtgärder.
En organisation måste säkerställa att anställda som ansvarar för att hantera servicenivåavtal och leverantörsrelationer besitter erforderlig kompetens och tekniska resurser. Detta för att säkerställa att de kan utvärdera leverantörernas prestanda på ett adekvat sätt och att informationssäkerhetsstandarden inte bryts.
En organisations policyer och procedurer bör utarbetas av:
- Övervaka kontinuerligt servicenivåer i enlighet med publicerade servicenivåavtal och åtgärda eventuella brister så snart de uppstår.
- Leverantören måste övervakas för eventuella ändringar i sin egen verksamhet, inklusive (men inte begränsat till): (1) Tjänsteförbättringar (2) Nya applikationer, system eller mjukvaruprocesser (3) Relevanta och meningsfulla ändringar av de interna styrdokumenten för leverantör, och (4) eventuella ändringar av incidenthanteringsprocedurer eller försök att förbättra informationssäkerhetsnivån.
- Alla ändringar som involverar tjänsten, inklusive (men inte begränsat till): a) Infrastrukturändringar b) Tillämpningar av framväxande teknologier c) Produktuppdateringar och versionsuppgraderingar d) Förändringar i utvecklingsmiljön e) Logistiska och fysiska förändringar av leverantörsanläggningar, inklusive nya platser f) Ändringar av outsourcingpartners eller underleverantörer g) Avsikter att lägga ut underleverantörer, där sådan praxis inte har praktiserats tidigare.
- Se till att servicerapporter levereras regelbundet, att data analyseras och att granskningsmöten genomförs i enlighet med överenskomna servicenivåer.
- Se till att outsourcingpartners och underleverantörer granskas och åtgärdar eventuella problemområden.
- Genomför en granskning av säkerhetsincidenter baserat på den standard och praxis som överenskommits av leverantören och i enlighet med incidenthanteringsstandarderna.
- Register bör föras över alla incidenter med informationssäkerhet, påtagliga driftsproblem, felloggar och allmänna hinder för att uppfylla de överenskomna servicestandarderna.
- Vidta proaktiva åtgärder som svar på incidenter som rör informationssäkerhet.
- Identifiera eventuella sårbarheter i informationssäkerhet och mildra dem i största möjliga utsträckning.
- Utför en analys av eventuella relevanta informationssäkerhetsfaktorer kopplade till leverantörens relation till sina leverantörer och underleverantörer.
- I händelse av betydande störningar från leverantörens sida, inklusive katastrofåterställning, se till att serviceleveransen levereras till acceptabla nivåer.
- Tillhandahåll en lista över nyckelpersoner i leverantörens verksamhet som ansvarar för att upprätthålla efterlevnad och följa villkoren i kontraktet.
- Se till att en leverantör upprätthåller en baslinjestandard för informationssäkerhet regelbundet.
Stödja kontroller i bilaga A
- ISO 27001:2022 bilaga A 5.29
- ISO 27001:2022 bilaga A 5.30
- ISO 27001:2022 bilaga A 5.35
- ISO 27001:2022 bilaga A 5.36
- ISO 27001:2022 bilaga A 8.14
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
ISO 27001:2022 Organisationskontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
ISO 27001:2022 Personkontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
ISO 27001:2022 Fysiska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
ISO 27001:2022 Tekniska kontroller
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Fallstudier
MIRACL förvandlar förtroende till en konkurrensfördel med ISO 27001-certifiering
Läs fallstudie
Fallstudier
Xergys verktyg Proteus genererar tillväxt genom ISO 27001-efterlevnad med hjälp av ISMS.online
Läs fallstudieVad är fördelen med att använda ISMS.online för att hantera leverantörsrelationer?
Detta kontrollmål i bilaga A har gjorts mycket enkelt av ISMS.online. Detta beror på att ISMS.online ger bevis på att dina relationer är noggrant utvalda, välskötta och övervakade och granskade. Detta görs inom vårt lättanvända Kontorelationer (t.ex. leverantörer). Samarbetsprojekts arbetsutrymmen gör att revisorn enkelt kan se viktig leverantör vid boarding, gemensamma initiativ, off boarding, etc.
Förutom att hjälpa din organisation med detta bilaga A-kontrollmål, ISMS.online ger dig också möjligheten att tillhandahålla bevis på att leverantören formellt har accepterat kraven och har förstått sitt ansvar för informationssäkerhet genom våra policypaket. Som ett resultat av deras specifika policyer och kontroller, Policy Packs försäkrar leverantörer att deras personal har läst och åtagit sig att följa organisationens policyer och kontroller.
Det kan finnas ett bredare krav på att anpassa sig till bilaga A.5.8 Informationssäkerhet i projektledning, beroende på ändringens karaktär (t.ex. för mer materiella ändringar).
Det är lättare att implementera ISO 27001 med vår steg-för-steg-checklista, som guidar dig från att definiera ditt ISMS-omfång till att identifiera risker och implementera kontroller.
ISMS.online erbjuder följande fördelar:
- Plattformen låter dig skapa en ISMS-kompatibel med ISO 27001 krav.
- Användare kan slutföra uppgifter och skicka in bevis för att visa överensstämmelse med standarden.
- Processen att delegera ansvar och övervaka efterlevnaden är enkel.
- Som ett resultat av den omfattande riskbedömning verktygsuppsättning är processen snabbare och tidsbesparande.
- Ett dedikerat team av konsulter kan hjälpa dig genom hela efterlevnadsprocessen.
Kontakta oss idag för att BOKA EN DEMO.
Hoppa till ämnet
