ISO 27001:2022 Bilaga A Kontroll 5.22

Övervakning och granskning och förändringshantering av leverantörstjänster

Boka en demo

topp,vy,affärer,människor,arbete,hemifrån,använder,bärbar dator,på

Vad är syftet med ISO 27001:2022 bilaga A 5.22?

Bilaga A kontroll 5.22 syftar till att säkerställa att en överenskommen informationssäkerhetsnivå och serviceleveransen upprätthålls. Detta är i enlighet med leverantörskontrakt avseende utveckling av leverantörstjänster.

Leverantörernas tjänster övervakas och granskas

I bilaga A 5.22 beskrivs organisationer som regelbundet övervakar, granskar och granskar sina processer för leverans av leverantörstjänster. Att genomföra granskningar och övervakning görs bäst i enlighet med informationen i riskzonen eftersom en storlek inte passar alla situationer.

Genom att genomföra sina granskningar i enlighet med den föreslagna segmenteringen av leverantörer kan organisationen optimera sina resurser och säkerställa att deras insatser koncentreras till att övervaka och granska var den mest betydande effekten kan uppnås.

Precis som med bilaga A 5.19 är pragmatism ibland nödvändig – små organisationer kommer inte nödvändigtvis att få en revision, en personalgranskning eller dedikerade tjänsteförbättringar genom att använda AWS. För att säkerställa att de förblir lämpliga för ditt ändamål kan du kontrollera (till exempel) deras årligen publicerade SOC II-rapporter och säkerhetscertifieringar.

Övervakningen bör dokumenteras utifrån din makt, risker och värde, så att din revisor kan bekräfta att den har slutförts. Detta beror på att alla nödvändiga ändringar har hanterats genom en formell ändringskontrollprocedur.

Hantera förändringar av leverantörstjänster

Leverantörer måste underhålla och förbättra befintliga policyer, procedurer och kontroller för informationssäkerhet för att hantera eventuella förändringar av leverantörernas tillhandahållande av tjänster. Processen beaktar affärsinformationens kritiska karaktär, förändringens karaktär, vilka leverantörstyper som påverkas, processer och system som är involverade samt en omvärdering av risker.

Vid förändringar av leverantörernas tjänster är det också viktigt att ta hänsyn till intimiteten i relationen. Detta liksom organisationens förmåga att påverka eller kontrollera en förändring inom leverantören.

Kontroll 5.22 anger hur organisationer ska övervaka, granska och hantera ändringar av en leverantörs säkerhetspraxis och tjänster leveransstandarder. Den bedömer också hur de påverkar organisationens egen säkerhetspraxis.

I hanteringen av relationer med sina leverantörer bör en organisation sträva efter att upprätthålla en grundläggande nivå av informationssäkerhet som överensstämmer med alla avtal som de har undertecknat.

I enlighet med ISO 27001:2022 är bilaga A 5.22 en förebyggande kontroll utformad för att minimera risker genom att hjälpa leverantören att upprätthålla en "överenskommen nivå av informationssäkerhet och leverans av tjänster.

Äganderätt till kontroll av bilaga A 5.22

En medlem av högsta ledningen som övervakar en organisations kommersiella verksamhet och upprätthåller en direkt relation med organisationens leverantörer bör ansvara för Kontroll 5.22.

Hoppa till ämne

ISO 27001:2022 Bilaga A 5.22 Allmän vägledning

Enligt ISO 27001:2022 bilaga A Kontroll 5.22, 13 nyckelområden bör beaktas vid hantering av leverantörsrelationer och hur dessa faktorer påverkar deras egna informationssäkerhetsåtgärder.

En organisation måste säkerställa att anställda som ansvarar för att hantera servicenivåavtal och leverantörsrelationer besitter erforderlig kompetens och tekniska resurser. Detta för att säkerställa att de kan utvärdera leverantörernas prestanda på ett adekvat sätt och att informationssäkerhetsstandarden inte bryts.

En organisations policyer och procedurer bör utarbetas av:

  1. Övervaka kontinuerligt servicenivåer i enlighet med publicerade servicenivåavtal och åtgärda eventuella brister så snart de uppstår.

  2. Leverantören måste övervakas för eventuella ändringar i sin egen verksamhet, inklusive (men inte begränsat till): (1) Tjänsteförbättringar (2) Nya applikationer, system eller mjukvaruprocesser (3) Relevanta och meningsfulla ändringar av de interna styrdokumenten för leverantör, och (4) eventuella ändringar av incidenthanteringsprocedurer eller försök att förbättra informationssäkerhetsnivån.

  3. Alla ändringar som involverar tjänsten, inklusive (men inte begränsat till): a) Infrastrukturändringar b) Tillämpningar av framväxande teknologier c) Produktuppdateringar och versionsuppgraderingar d) Förändringar i utvecklingsmiljön e) Logistiska och fysiska förändringar av leverantörsanläggningar, inklusive nya platser f) Ändringar av outsourcingpartners eller underleverantörer g) Avsikter att lägga ut underleverantörer, där sådan praxis inte har praktiserats tidigare.

  4. Se till att servicerapporter levereras regelbundet, att data analyseras och att granskningsmöten genomförs i enlighet med överenskomna servicenivåer.

  5. Se till att outsourcingpartners och underleverantörer granskas och åtgärdar eventuella problemområden.

  6. Genomför en granskning av säkerhetsincidenter baserat på den standard och praxis som överenskommits av leverantören och i enlighet med incidenthanteringsstandarderna.

  7. Register bör föras över alla incidenter med informationssäkerhet, påtagliga driftsproblem, felloggar och allmänna hinder för att uppfylla de överenskomna servicestandarderna.

  8. Vidta proaktiva åtgärder som svar på incidenter som rör informationssäkerhet.

  9. Identifiera eventuella sårbarheter i informationssäkerhet och mildra dem i största möjliga utsträckning.

  10. Utför en analys av eventuella relevanta informationssäkerhetsfaktorer kopplade till leverantörens relation till sina leverantörer och underleverantörer.

  11. I händelse av betydande störningar från leverantörens sida, inklusive katastrofåterställning, se till att serviceleveransen levereras till acceptabla nivåer.

  12. Tillhandahåll en lista över nyckelpersoner i leverantörens verksamhet som ansvarar för att upprätthålla efterlevnad och följa villkoren i kontraktet.

  13. Se till att en leverantör upprätthåller en baslinjestandard för informationssäkerhet regelbundet.

Stödja kontroller i bilaga A

  • ISO 27001:2022 bilaga A 5.29

  • ISO 27001:2022 bilaga A 5.30

  • ISO 27001:2022 bilaga A 5.35

  • ISO 27001:2022 bilaga A 5.36

  • ISO 27001:2022 bilaga A 8.14

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Vad är fördelen med att använda ISMS.online för att hantera leverantörsrelationer?

Detta kontrollmål i bilaga A har gjorts mycket enkelt av ISMS.online. Detta beror på att ISMS.online ger bevis på att dina relationer är noggrant utvalda, välskötta och övervakade och granskade. Detta görs inom vårt lättanvända Kontorelationer (t.ex. leverantörer). Samarbetsprojekts arbetsutrymmen gör att revisorn enkelt kan se viktig leverantör vid boarding, gemensamma initiativ, off boarding, etc.

Förutom att hjälpa din organisation med detta bilaga A-kontrollmål, ISMS.online ger dig också möjligheten att tillhandahålla bevis på att leverantören formellt har accepterat kraven och har förstått sitt ansvar för informationssäkerhet genom våra policypaket. Som ett resultat av deras specifika policyer och kontroller, Policy Packs försäkrar leverantörer att deras personal har läst och åtagit sig att följa organisationens policyer och kontroller.

Det kan finnas ett bredare krav på att anpassa sig till bilaga A.5.8 Informationssäkerhet i projektledning, beroende på ändringens karaktär (t.ex. för mer materiella ändringar).

Det är lättare att implementera ISO 27001 med vår steg-för-steg-checklista, som guidar dig från att definiera ditt ISMS-omfång till att identifiera risker och implementera kontroller.

ISMS.online erbjuder följande fördelar:

  • Plattformen låter dig skapa en ISMS-kompatibel med ISO 27001 krav.

  • Användare kan slutföra uppgifter och skicka in bevis för att visa överensstämmelse med standarden.

  • Processen att delegera ansvar och övervaka efterlevnaden är enkel.

  • Som ett resultat av den omfattande riskbedömning verktygsuppsättning är processen snabbare och tidsbesparande.

  • Ett dedikerat team av konsulter kan hjälpa dig genom hela efterlevnadsprocessen.

Kontakta oss idag för att schema en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer