Wat is het doel van ISO 27001:2022 bijlage A 5.22?
Bijlage A controle 5.22 heeft tot doel ervoor te zorgen dat er overeenstemming wordt bereikt niveau van informatiebeveiliging en de dienstverlening blijft gehandhaafd. Dit is in overeenstemming met leverancierscontracten met betrekking tot de ontwikkeling van leveranciersdiensten.
De diensten van leveranciers worden gecontroleerd en beoordeeld
In bijlage A 5.22 wordt beschreven dat organisaties de dienstverleningsprocessen van hun leveranciers regelmatig monitoren, beoordelen en auditen. Het uitvoeren van beoordelingen en monitoring kan het beste worden gedaan in overeenstemming met de informatie die risico loopt, aangezien één maat niet voor alle situaties geschikt is.
Door haar beoordelingen uit te voeren in overeenstemming met de voorgestelde segmentatie van leveranciers, kan de organisatie haar middelen optimaliseren en ervoor zorgen dat hun inspanningen zich concentreren op het monitoren en beoordelen waar de grootste impact kan worden bereikt.
Net als bij bijlage A 5.19 is pragmatisme soms noodzakelijk: kleine organisaties krijgen niet noodzakelijkerwijs een audit, een personeelsbeoordeling of gerichte serviceverbeteringen als ze AWS gebruiken. Om er zeker van te zijn dat ze geschikt blijven voor uw doel, kunt u bijvoorbeeld hun jaarlijks gepubliceerde SOC II-rapporten en beveiligingscertificeringen controleren.
De monitoring moet worden gedocumenteerd op basis van uw kracht, risico's en waarde, zodat uw auditor kan bevestigen dat deze is voltooid. Dit komt omdat alle noodzakelijke wijzigingen zijn beheerd via een formele wijzigingscontroleprocedure.
Wijzigingen in de dienstverlening van leveranciers beheren
Leveranciers moeten het bestaande informatiebeveiligingsbeleid, de procedures en de controles handhaven en verbeteren om eventuele wijzigingen in de dienstverlening door leveranciers te beheren. Het proces houdt rekening met de kriticiteit van de bedrijfsinformatie, de aard van de verandering, de getroffen typen leveranciers, de betrokken processen en systemen, en een herbeoordeling van de risico's.
Bij het aanbrengen van wijzigingen in de dienstverlening van leveranciers is het ook belangrijk om rekening te houden met de intimiteit van de relatie. Dit geldt ook voor het vermogen van de organisatie om een verandering binnen de leverancier te beïnvloeden of te beheersen.
Controle 5.22 specificeert hoe organisaties moeten monitoren, beoordelen en het beheren van wijzigingen in de beveiligingspraktijken en -service van een leverancier leveringsnormen. Het beoordeelt ook hoe deze de eigen beveiligingspraktijken van de organisatie beïnvloeden.
Bij het beheren van de relaties met hun leveranciers moet een organisatie ernaar streven een basisniveau van informatiebeveiliging te handhaven dat voldoet aan de overeenkomsten die zij hebben ondertekend.
In overeenstemming met ISO 27001:2022 is bijlage A 5.22 een preventieve controle die is ontworpen om risico's te minimaliseren door de leverancier te helpen een 'overeengekomen niveau van informatiebeveiliging en dienstverlening te handhaven.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Eigendom van bijlage A Controle 5.22
Een lid van het senior management dat toezicht houdt op de commerciële activiteiten van een organisatie en een directe relatie onderhoudt met de leveranciers van de organisatie, moet verantwoordelijk zijn voor Controle 5.22.
ISO 27001:2022 Bijlage A 5.22 Algemene richtlijnen
Think ISO 27001:2022 bijlage A Controle 5.22: 13 sleutelgebieden moeten in overweging worden genomen bij het beheren van leveranciersrelaties en hoe deze factoren hun eigen informatiebeveiligingsmaatregelen beïnvloeden.
Een organisatie moet ervoor zorgen dat werknemers die verantwoordelijk zijn voor het beheer van serviceniveauovereenkomsten en leveranciersrelaties over de vereiste vaardigheden en technische middelen beschikken. Dit is om ervoor te zorgen dat zij de prestaties van leveranciers adequaat kunnen beoordelen en dat de informatiebeveiligingsnorm niet wordt geschonden.
Het beleid en de procedures van een organisatie moeten worden opgesteld door:
- Bewaak voortdurend de serviceniveaus in overeenstemming met de gepubliceerde serviceniveauovereenkomsten en pak eventuele tekortkomingen aan zodra deze zich voordoen.
- De leverancier moet worden gemonitord op eventuele wijzigingen in zijn eigen bedrijfsvoering, inclusief (maar niet beperkt tot): (1) Serviceverbeteringen (2) Nieuwe applicaties, systemen of softwareprocessen (3) Relevante en betekenisvolle herzieningen van de interne governancedocumenten van de leverancier, en (4) eventuele wijzigingen in procedures voor incidentbeheer of pogingen om het niveau van informatiebeveiliging te verbeteren.
- Eventuele wijzigingen met betrekking tot de dienst, inclusief (maar niet beperkt tot): a) Infrastructuurwijzigingen b) Toepassingen van opkomende technologieën c) Productupdates en versie-upgrades d) Veranderingen in de ontwikkelomgeving e) Logistieke en fysieke wijzigingen in faciliteiten van leveranciers, inclusief nieuwe locaties f) Wijzigingen in outsourcingpartners of onderaannemers g) Intenties om uit te besteden, indien een dergelijke praktijk nog niet eerder is toegepast.
- Zorg ervoor dat er regelmatig servicerapporten worden opgeleverd, dat gegevens worden geanalyseerd en dat beoordelingsgesprekken plaatsvinden volgens afgesproken serviceniveaus.
- Zorg ervoor dat outsourcingpartners en onderaannemers worden gecontroleerd en pak eventuele aandachtspunten aan.
- Voer een beoordeling uit van beveiligingsincidenten op basis van de standaard en praktijken die zijn overeengekomen door de leverancier en in overeenstemming met de normen voor incidentbeheer.
- Er moeten gegevens worden bijgehouden over alle incidenten op het gebied van informatiebeveiliging, tastbare operationele problemen, foutlogboeken en algemene belemmeringen voor het voldoen aan de overeengekomen normen voor dienstverlening.
- Neem proactief actie als reactie op incidenten op het gebied van informatiebeveiliging.
- Identificeer eventuele kwetsbaarheden in de informatiebeveiliging en verhelp deze zoveel mogelijk.
- Voer een analyse uit van alle relevante informatiebeveiligingsfactoren die verband houden met de relatie van de leverancier met zijn leveranciers en onderaannemers.
- In het geval van een aanzienlijke verstoring aan de kant van de leverancier, inclusief een inspanning voor noodherstel, zorg ervoor dat de dienstverlening op een aanvaardbaar niveau wordt geleverd.
- Geef een lijst op van de belangrijkste personeelsleden in de activiteiten van de leverancier die verantwoordelijk zijn voor het handhaven van de naleving en het naleven van de voorwaarden van het contract.
- Zorg ervoor dat een leverancier regelmatig een basisnorm voor informatiebeveiliging handhaaft.
Ondersteuning van bijlage A-controles
- ISO 27001:2022 Bijlage A 5.29
- ISO 27001:2022 Bijlage A 5.30
- ISO 27001:2022 Bijlage A 5.35
- ISO 27001:2022 Bijlage A 5.36
- ISO 27001:2022 Bijlage A 8.14
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wat is het voordeel van het gebruik van ISMS.online om leveranciersrelaties te beheren?
Deze Annex A controledoelstelling is door ISMS.online zeer eenvoudig gemaakt. Dit komt omdat ISMS.online het bewijs levert dat uw relaties zorgvuldig zijn geselecteerd, goed worden beheerd en gecontroleerd en beoordeeld. Dit doet u in ons gebruiksvriendelijke gedeelte Accountrelaties (bijvoorbeeld leverancier). Werkruimtes voor samenwerkingsprojecten stellen de auditor in staat om eenvoudig belangrijke leveranciers on boarding, gezamenlijke initiatieven, off boarding, enz. te bekijken.
Naast het assisteren van uw organisatie bij deze Annex A-beheersingsdoelstelling, ISMS.online biedt u ook de mogelijkheid om bewijs te leveren dat de leverancier de vereisten formeel heeft aanvaard en zijn verantwoordelijkheden voor informatiebeveiliging via onze Policy Packs heeft begrepen. Als resultaat van hun specifieke beleid en controles, Beleidspakketten verzekeren leveranciers dat hun medewerkers het beleid en de controles van de organisatie hebben gelezen en zich ertoe hebben verbonden deze na te leven.
Er kan een bredere vereiste zijn om aan te sluiten bij bijlage A.5.8 Informatiebeveiliging in projectmanagement, afhankelijk van de aard van de verandering (bijvoorbeeld voor meer materiële veranderingen).
ISO 27001 implementeren is eenvoudiger met onze stapsgewijze checklist, die u begeleidt vanaf het definiëren van uw ISMS-scope tot het identificeren van risico's en het implementeren van controles.
ISMS.online biedt de volgende voordelen:
- Met het platform kunt u een ISMS-compatibel met ISO 27001 vereisten.
- Gebruikers kunnen taken voltooien en bewijsmateriaal indienen om naleving van de norm aan te tonen.
- Het proces van het delegeren van verantwoordelijkheden en het monitoren van de voortgang op het gebied van compliance is eenvoudig.
- Als resultaat van de alomvattende risico-evaluatie gereedschapset, het proces wordt versneld en tijdbesparend.
- Een toegewijd team van consultants kan u bijstaan tijdens het gehele complianceproces.
Neem vandaag nog contact met ons op een demo plannen.
