- Bekijk ISO 27002:2022 Controle 5.20 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 15.1.2 voor meer informatie.
Wat is het doel van ISO 27001:2022 bijlage A 5.20?
ISO 27001 Annex A Controle 5.20 regelt hoe een organisatie een contract aangaat met een leverancier op basis van hun veiligheidseisen. Dit is gebaseerd op het soort leveranciers waarmee ze samenwerken.
Als onderdeel van Bijlage A Controle 5.20 moeten organisaties en hun leveranciers onderling overeenstemming bereiken aanvaardbare informatiebeveiliging verplichtingen om het risico te behouden.
Wie is eigenaar van bijlage A 5.20?
Bijlage Controle 5.20 moet worden bepaald door de vraag of de organisatie een eigen juridische afdeling heeft, en door de aard van de overeenkomst die is ondertekend.
Het beheren van eventuele wijzigingen in de supply chain beleid, procedures en controles, inclusief het onderhouden en verbeteren van bestaand beleid, procedures en controles op het gebied van informatiebeveiliging, wordt als effectieve controle beschouwd.
Dit wordt bepaald door rekening te houden met de kriticiteit van bedrijfsinformatie, de aard van de verandering, het type/de leveranciers die hierdoor worden beïnvloed, de betrokken systemen en processen, en het opnieuw beoordelen van risicofactoren. Bij het veranderen van de diensten die een leverancier levert, moet ook rekening worden gehouden met de intimiteit van de relatie en het vermogen van de organisatie om de verandering te beïnvloeden of te beheersen.
Het eigendom van 5.20 moet berusten bij de persoon die verantwoordelijk is voor juridisch bindende overeenkomsten binnen de organisatie (contracten, memo's van overeenstemming, dienstverleningsovereenkomsten, enz.) als de organisatie de wettelijke bevoegdheid heeft om haar contractovereenkomsten op te stellen, te wijzigen en op te slaan zonder tussenkomst van de organisatie. van derden.
Een lid van het senior management van de organisatie dat toezicht houdt op de commerciële activiteiten van de organisatie en directe relaties onderhoudt met haar leveranciers, moet de verantwoordelijkheid op zich nemen voor Bijlage A Controle 5.20 als de organisatie dergelijke overeenkomsten uitbesteedt.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27001:2022 Bijlage A 5.20 Algemene richtlijnen
Controle 5.20 van bijlage A bevat 25 richtlijnen die volgens ISO “mogelijk in overweging kunnen worden genomen” (dat wil zeggen niet noodzakelijkerwijs allemaal) voor organisaties om aan hun informatiebeveiligingseisen te voldoen.
Bijlage A Controle 5.20 specificeert dat, ongeacht de genomen maatregelen, beide partijen uit het proces moeten komen met een “duidelijk begrip” van elkaars verplichtingen op het gebied van informatiebeveiliging.
- Het is van essentieel belang dat er een duidelijke beschrijving wordt gegeven van de informatie waartoe toegang moet worden verkregen en hoe deze informatie zal worden verkregen.
- Organisaties moeten informatie classificeren aan de hand van hun gepubliceerde classificatieschema's (zie Bijlage A Controles 5.10, 5.12 en 5.13).
- Informatie classificatie aan de kant van de leverancier moet worden bekeken, samen met hoe dit zich verhoudt tot die aan de kant van de organisatie.
- Over het algemeen kunnen de rechten van beide partijen worden onderverdeeld in vier categorieën: juridisch, statutair, regelgevend en contractueel. Zoals standaard is bij commerciële overeenkomsten, moeten binnen deze vier gebieden verschillende verplichtingen duidelijk worden omschreven, waaronder toegang tot persoonlijke informatie, intellectuele eigendomsrechten en auteursrechtbepalingen. Het contract moet ook bepalen hoe deze belangrijke gebieden afzonderlijk zullen worden aangepakt.
- Als onderdeel van het controlesysteem van bijlage A zou van elke partij moeten worden geëist dat zij gelijktijdige maatregelen implementeren die zijn ontworpen om informatiebeveiligingsrisico's te monitoren, beoordelen en beheren (zoals beleid voor toegangscontrole, contractuele beoordelingen, monitoring, rapportage en periodieke audits). Bovendien moet in de overeenkomst duidelijk worden vastgelegd dat het personeel van de leverancier moet voldoen aan de informatiebeveiligingsnormen van de organisatie (zie ISO 27001 Annex A Controle 5.20).
- Beide partijen moeten duidelijk begrijpen wat aanvaardbaar en onaanvaardbaar gebruik van informatie is, evenals van fysieke en virtuele activa.
- Om ervoor te zorgen dat personeel aan de leverancierskant toegang heeft tot de informatie van een organisatie en deze kan bekijken, moeten er procedures worden ingevoerd (bijvoorbeeld audits aan de leverancierskant en controles op de servertoegang).
- Naast het kijken naar de ICT-infrastructuur van de leverancier, is het belangrijk om te begrijpen hoe deze zich verhoudt tot het soort informatie waartoe de organisatie toegang krijgt. Dit is een aanvulling op de kernbehoeften van de organisatie.
- Als de leverancier het contract schendt of individuele voorwaarden niet naleeft, moet de organisatie overwegen welke stappen zij kan ondernemen.
- Concreet moet de overeenkomst een procedure voor wederzijds incidentbeheer beschrijven die verduidelijkt hoe problemen moeten worden aangepakt wanneer deze zich voordoen. Dit omvat ook de manier waarop beide partijen moeten communiceren wanneer zich een incident voordoet.
- Beide partijen moeten zorgen voor adequate bewustwordingstraining (waar standaardtraining niet voldoende is) op belangrijke gebieden van de overeenkomst, met name op risicogebieden zoals incidentbeheer en het delen van informatie.
- Het gebruik van onderaannemers moet adequaat worden aangepakt. Organisaties moeten ervoor zorgen dat, als de leverancier gebruik mag maken van onderaannemers, deze personen of bedrijven zich aan dezelfde informatiebeveiligingsnormen houden als de leverancier.
- Voor zover dit juridisch en operationeel mogelijk is, moeten organisaties overwegen hoe personeel van leveranciers wordt gescreend voordat er met hun informatie wordt gewerkt. Bovendien moeten ze overwegen hoe screenings worden geregistreerd en gerapporteerd aan de organisatie, inclusief niet-gescreend personeel en aandachtspunten.
- Attest van derden, zoals onafhankelijk rapporten en audits door derden, zou door organisaties verplicht moeten zijn voor leveranciers die voldoen aan hun informatiebeveiligingseisen.
- ISO 27001:2022 bijlage A Controle 5.20 vereist dat organisaties het recht hebben om de procedures van hun leveranciers te evalueren en te controleren.
- Van een leverancier moet worden verlangd dat hij periodieke rapporten verstrekt (met variërende tussenpozen) waarin de effectiviteit van zijn processen en procedures wordt samengevat en hoe hij van plan is eventuele problemen aan te pakken.
- Tijdens de relatie moet de overeenkomst maatregelen omvatten om ervoor te zorgen dat eventuele gebreken of conflicten tijdig en grondig worden opgelost.
- De leverancier moet een passend BUDR-beleid implementeren, afgestemd op de behoeften van de organisatie, dat rekening houdt met drie belangrijke overwegingen: a) Back-uptype (volledige server, bestand en map, incrementeel), b) Back-upfrequentie (dagelijks, wekelijks, enz.). ) C) Back-uplocatie en bronmedia (onsite, offsite).
- Het is van essentieel belang om de veerkracht van de gegevens te garanderen door te opereren vanuit een noodherstelfaciliteit die gescheiden is van de belangrijkste ICT-locatie van de leverancier. Deze faciliteit is niet onderhevig aan hetzelfde risiconiveau als de hoofd-ICT-locatie.
- Leveranciers moeten een alomvattend verandermanagementbeleid voeren dat de organisatie in staat stelt om eventuele wijzigingen die van invloed kunnen zijn op de informatiebeveiliging vooraf te verwerpen.
- Fysieke beveiligingscontroles moeten worden geïmplementeerd afhankelijk van de informatie waartoe zij toegang hebben (toegang tot gebouwen, bezoekerstoegang, toegang tot kamers, bureaubeveiliging).
- Telkens wanneer gegevens worden overgedragen tussen activa, sites, servers of opslaglocaties, moeten leveranciers ervoor zorgen dat de gegevens en activa worden beschermd tegen verlies, schade of corruptie.
- Als onderdeel van de overeenkomst zou elke partij verplicht moeten worden een uitgebreide lijst met maatregelen te nemen in geval van beëindiging (zie Bijlage A Controle 5.20). Deze acties omvatten (maar zijn niet beperkt tot): a) het weggooien van activa en/of verhuizing, b) het verwijderen van informatie, c) het retourneren van IP, d) het verwijderen van toegangsrechten e) het voortzetten van vertrouwelijkheidsverplichtingen.
- In aanvulling op punt 23 moet de leverancier in detail bespreken hoe hij van plan is de informatie van de organisatie te vernietigen/permanent te verwijderen wanneer deze niet langer nodig is (dat wil zeggen bij de beëindiging van het contract).
- Wanneer een contract afloopt en de noodzaak ontstaat om ondersteuning en/of diensten over te dragen aan een andere aanbieder die niet op het contract staat vermeld, worden er stappen ondernomen om ervoor te zorgen dat de bedrijfsactiviteiten niet worden onderbroken.
Bijbehorende bijlage A-controles
- ISO 27001:2022 Bijlage A 5.10
- ISO 27001:2022 Bijlage A 5.12
- ISO 27001:2022 Bijlage A 5.13
- ISO 27001:2022 Bijlage A 5.20
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Aanvullend richtsnoer bij bijlage A 5.20
Bijlage A Controle 5.20 beveelt aan dat organisaties een register van overeenkomsten bijhouden om hen te helpen bij het beheren van hun leveranciersrelaties.
Er moeten gegevens worden bijgehouden van alle overeenkomsten met andere organisaties, ingedeeld naar de aard van de relatie. Dit omvat contracten, memoranda van overeenstemming en overeenkomsten met betrekking tot het delen van informatie.
Wat zijn de veranderingen ten opzichte van ISO 27001:2013?
Er is een wijziging aangebracht in ISO 27001:2013 bijlage A 15.1.2 (De beveiliging aanpakken binnen leveranciersovereenkomsten) ISO 27001:2022 Bijlage A Controle 5.20.
In bijlage A Controle 5.20 van ISO 27001:2022 zijn verschillende aanvullende richtlijnen opgenomen die een breed scala aan technische, juridische en compliance-gerelateerde kwesties behandelen, waaronder:
- De overdrachtsprocedure.
- Vernietiging van informatie.
- Bepalingen voor beëindiging.
- Controles voor fysieke veiligheid.
- Verandermanagement.
- Informatieredundantie en back-ups.
Als algemene regel benadrukt ISO 27001:2022 bijlage A 5.20 hoe een leverancier redundantie en gegevensintegriteit gedurende een contract bereikt.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wat zijn de voordelen van het gebruik van ISMS.online voor leveranciersrelaties?
Een stap-voor-stap checklist begeleidt u door het geheel Implementatieproces ISO 27001, van het definiëren van de reikwijdte van uw ISMS tot het identificeren van risico’s en het implementeren van controles.
Via het eenvoudig te gebruiken accountrelaties (bijvoorbeeld leverancier)-gedeelte van ISMS.online kunt u ervoor zorgen dat uw relaties zorgvuldig worden geselecteerd, goed worden beheerd en gecontroleerd en beoordeeld. De collaboratieve projectwerkruimtes van ISMS.online hebben deze controledoelstelling gemakkelijk bereikt. Deze werkruimtes zijn handig voor onboarding van leveranciers, gezamenlijke initiatieven, offboarding etc., waar de auditor indien nodig ook gemakkelijk zicht op heeft.
Ook voor uw organisatie hebben wij deze beheersingsdoelstelling eenvoudiger gemaakt, doordat u kunt aantonen dat de leverancier zich formeel heeft gecommitteerd aan het naleven van de eisen. Dit gebeurt via onze Beleidspakketten. Deze beleidspakketten zijn vooral nuttig voor organisaties met specifieke beleidsregels en controles waarvan zij willen dat hun leveranciers zich hieraan houden, zodat zij erop kunnen vertrouwen dat hun leveranciers dit beleid hebben gelezen en zich ertoe hebben verbonden deze na te leven.
Het kan nodig zijn om de wijziging af te stemmen op A.6.1.5 Informatiebeveiliging in projectmanagement, afhankelijk van de aard van de wijziging (bijvoorbeeld voor meer substantiële wijzigingen).
