ISO 27001:2022 Bijlage A Controle 5.19 gaat over informatiebeveiliging in leveranciersrelaties. Het doel hierbij is de bescherming van de waardevolle activa van de organisatie die toegankelijk zijn voor of beïnvloed worden door leveranciers.
We raden u ook aan om ook hier rekening te houden met andere belangrijke relaties, bijvoorbeeld partners als zij geen leverancier zijn, maar ook een impact hebben op uw vermogen die mogelijk niet alleen door een contract alleen wordt gedekt.
Dit is een belangrijk onderdeel van de managementsysteem voor informatiebeveiliging (ISMS), vooral als u de ISO 27001-certificering wilt behalen. Laten we deze vereisten en wat ze betekenen nu wat dieper begrijpen.
Leveranciers worden om twee belangrijke redenen gebruikt; één: je wilt dat ze werk doen waar je intern zelf voor hebt gekozen om het niet te doen, of; twee: je kunt het werk niet zo goed of zo kosteneffectief doen als de leveranciers.
Er zijn veel belangrijke zaken waarmee rekening moet worden gehouden bij de aanpak van de selectie en het beheer van leveranciers, maar er is niet één maatstaf voor iedereen en sommige leveranciers zullen belangrijker zijn dan andere. Als zodanig moeten uw controles en beleid dat ook weerspiegelen en a segmentatie van de toeleveringsketen is verstandig; wij pleiten voor vier categorieën leveranciers op basis van de waarde en het risico in de relatie. Deze variëren van leveranciers die bedrijfskritisch zijn tot andere leveranciers die geen materiële impact hebben op uw organisatie.
ISO 27001:2002 Annex A Controle 5.19 houdt zich bezig met de verplichting van een organisatie om ervoor te zorgen dat bij het gebruik van producten en diensten aan de leverancierszijde (waaronder aanbieders van clouddiensten) voldoende aandacht wordt besteed aan het risiconiveau dat inherent is aan het gebruik van externe systemen, en aan de gevolgen die dit kan hebben voor hun eigen informatiebeveiligingsnaleving.
Een goed beleid beschrijft de leverancierssegmentatie, selectie, management, exit, hoe informatie-activa rondom leveranciers worden gecontroleerd om de daarmee samenhangende risico's te beperken en toch de bedrijfsdoelstellingen te kunnen verwezenlijken. Slimme organisaties zullen hun inpakpapier inpakken informatiebeveiligingsbeleid voor leveranciers in een breder relatiekader en vermijd dat u zich alleen maar op de veiligheid concentreert en ook naar de andere aspecten kijkt.
Bijlage A Controle 5.19 is een preventieve controle die risico's wijzigt door procedures te handhaven die de inherente veiligheidsrisico's aanpakken die verband houden met het gebruik van producten en diensten die door derden worden geleverd.
Terwijl Controle ISO 27001 Bijlage A 5.19 bevat veel richtlijnen over het gebruik van ICT-diensten; de bredere reikwijdte van de controle omvat vele andere aspecten van de relatie van een organisatie met haar leveranciersbestand, inclusief soorten leveranciers, logistiek, nutsvoorzieningen, financiële diensten en infrastructuurcomponenten).
Als zodanig moet het eigendom van Bijlage A Controle 5.19 berusten bij een lid van het senior management dat toezicht houdt op de commerciële activiteiten van een organisatie en een directe relatie onderhoudt met de leveranciers van een organisatie, zoals een Chief Operating Officer.
Naleving van Bijlage A Controle 5.19 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot informatiebeveiliging in leveranciersrelaties.
Een organisatie wil misschien dat leveranciers toegang krijgen tot en bijdragen aan bepaalde waardevolle informatiemiddelen (bijvoorbeeld de ontwikkeling van softwarecodes, boekhoudkundige salarisinformatie). Ze zouden daarom duidelijke afspraken moeten hebben over welke toegang ze hen precies verlenen, zodat ze de beveiliging eromheen kunnen controleren.
Dit is vooral belangrijk nu steeds meer informatiebeheer-, verwerkings- en technologiediensten worden uitbesteed. Dat betekent dat er een plek is waar je kunt laten zien dat het beheer van de relatie plaatsvindt; contracten, contacten, incidenten, relatieactiviteiten en risicobeheer enz. Als de leverancier ook nauw betrokken is bij de organisatie, maar mogelijk niet over een eigen gecertificeerd ISMS beschikt, is het ook de moeite waard om ervoor te zorgen dat het personeel van de leverancier is opgeleid en zich bewust is van de beveiliging, getraind in uw beleid, enz., om de naleving ervan aan te tonen.
Themaspecifieke benaderingen moedigen organisaties aan om leveranciersgerelateerd beleid te creëren dat is toegesneden op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen leveranciersbeheerbeleid dat van toepassing is op alle relaties met derden binnen de commerciële activiteiten van een organisatie.
Het is belangrijk op te merken dat ISO 27001 Annex A Control 5.19 de organisatie vraagt om beleid en procedures te implementeren die niet alleen het gebruik van leveranciersbronnen en cloudplatforms door de organisatie regelen, maar ook de basis vormen van hoe zij van hun leveranciers verwachten dat zij zich gedragen voorafgaand aan en gedurende de gehele looptijd van de commerciële relatie.
Als zodanig kan Bijlage A Controle 5.19 worden gezien als het essentiële kwalificerende document dat bepaalt hoe informatiebeveiligingsbeheer wordt afgehandeld in de loop van een leverancierscontract.
ISO 27001 Bijlage A Controle 5.19 bevat 14 belangrijke richtlijnen waaraan moet worden voldaan:
1) Zorg voor een nauwkeurige registratie van de typen leveranciers (bijvoorbeeld financiële diensten, ICT-hardware, telefonie) die de potentie hebben om de integriteit van de informatiebeveiliging te beïnvloeden.
Conformiteit – Stel een lijst op van alle leveranciers waarmee uw organisatie samenwerkt, categoriseer ze op basis van hun bedrijfsfunctie en voeg indien nodig categorieën toe aan de genoemde soorten leveranciers.
2) Begrijp hoe u leveranciers kunt onderzoeken, op basis van het risiconiveau dat inherent is aan hun leverancierstype.
Conformiteit – Verschillende typen leveranciers vereisen verschillende due diligence-onderzoeken. Overweeg het gebruik van controlemethoden per leverancier (bijvoorbeeld sectorreferenties, financiële overzichten, beoordelingen op locatie, sectorspecifieke certificeringen zoals Microsoft Partnerships).
3) Identificeer leveranciers die reeds bestaande informatiebeveiligingscontroles hebben ingevoerd.
Conformiteit – Vraag om kopieën van de relevante procedures voor het beheer van informatiebeveiliging van leveranciers, om het risico voor uw eigen organisatie te evalueren. Als ze er geen hebben, is dat geen goed teken.
4) Identificeer en definieer de specifieke gebieden van de ICT-infrastructuur van uw organisatie waartoe uw leveranciers toegang kunnen krijgen, deze kunnen monitoren of waar zij zelf gebruik van kunnen maken.
Conformiteit – Het is belangrijk om vanaf het begin precies vast te stellen hoe uw leveranciers zullen omgaan met uw ICT-middelen – of deze nu fysiek of virtueel zijn – en welke toegangsniveaus hun worden verleend in overeenstemming met hun contractuele verplichtingen.
5) Definieer hoe de eigen ICT-infrastructuur van de leverancier invloed kan hebben op uw eigen data en die van uw klanten.
Conformiteit – De eerste verplichting van een organisatie is het voldoen aan haar eigen set informatiebeveiligingsnormen. ICT-middelen van leveranciers moeten worden beoordeeld op hun potentieel om de uptime en integriteit in uw hele organisatie te beïnvloeden.
6) Identificeer en beheer de verschillende informatiebeveiligingsrisico’s die verbonden zijn aan:
A. Gebruik door leveranciers van vertrouwelijke informatie of beschermde activa (bijvoorbeeld beperkt tot kwaadwillig gebruik en/of criminele bedoelingen).
B. Defecte hardware van de leverancier of een defect softwareplatform geassocieerd met on-premise of cloudgebaseerde services.
Conformiteit – Organisaties moeten zich voortdurend bewust zijn van de informatiebeveiligingsrisico’s die gepaard gaan met catastrofale gebeurtenissen, zoals snode gebruikersactiviteiten aan de kant van de leverancier of grote onvoorziene software-incidenten, en de impact daarvan op de informatiebeveiliging van de organisatie.
7) Bewaak de naleving van de informatiebeveiliging op basis van een onderwerp of leveranciertype.
Conformiteit – De behoefte van de organisatie om de informatiebeveiliging implicaties die inherent zijn aan elk type leverancier, en pas hun monitoringactiviteiten aan om tegemoet te komen aan verschillende risiconiveaus.
8) Beperk de hoeveelheid schade en/of verstoring veroorzaakt door niet-naleving.
Conformiteit – De activiteiten van leveranciers moeten op passende wijze en in verschillende mate worden gemonitord, in overeenstemming met het risiconiveau ervan. Wanneer niet-naleving wordt ontdekt, proactief of reactief, moet onmiddellijk actie worden ondernomen.
9) Zorg voor een robuust karakter probleembehandeling procedure die een redelijk aantal onvoorziene gebeurtenissen aanpakt.
Conformiteit – Organisaties moeten precies begrijpen hoe ze moeten reageren wanneer ze worden geconfronteerd met een breed scala aan gebeurtenissen met betrekking tot de levering van producten en diensten van derden, en herstelmaatregelen moeten schetsen waarbij zowel de leverancier als de organisatie betrokken zijn.
10) Maatregelen treffen die inspelen op de beschikbaarheid en verwerking van de informatie van de leverancier, waar deze ook wordt gebruikt, waardoor de integriteit van de eigen informatie van de organisatie wordt gewaarborgd.
Conformiteit – Er moeten stappen worden ondernomen om ervoor te zorgen dat de systemen en gegevens van leveranciers worden behandeld op een manier die geen afbreuk doet aan de beschikbaarheid en veiligheid van de eigen systemen en informatie van de organisatie.
11) Stel een gedegen trainingsplan op dat richtlijnen biedt voor de manier waarop het personeel moet omgaan met het personeel van de leverancier en informatie verstrekt per leverancier, of per type.
Conformiteit – De training moet het volledige spectrum van het bestuur tussen een organisatie en haar leveranciers bestrijken, inclusief betrokkenheid, gedetailleerde risicobeheercontroles en onderwerpspecifieke procedures.
12) Begrijp en beheer het risiconiveau dat inherent is aan de overdracht van informatie en fysieke en virtuele activa tussen de organisatie en hun leveranciers.
Conformiteit – Organisaties moeten elke fase van het overdrachtsproces in kaart brengen en het personeel informeren over de risico's die gepaard gaan met het verplaatsen van activa en informatie van de ene bron naar de andere.
13) Zorg ervoor dat leveranciersrelaties worden beëindigd met het oog op informatiebeveiliging, inclusief het intrekken van toegangsrechten en de mogelijkheid om toegang te krijgen tot organisatie-informatie.
Conformiteit – Uw ICT-teams moeten duidelijk begrijpen hoe ze de toegang van een leverancier tot informatie kunnen intrekken, waaronder:
14) Geef precies aan hoe u van de leverancier verwacht dat hij zich gedraagt op het gebied van fysieke en virtuele beveiligingsmaatregelen.
Conformiteit – Organisaties moeten vanaf het begin van elke commerciële relatie duidelijke verwachtingen scheppen, waarin wordt gespecificeerd hoe personeel aan de leverancierskant zich moet gedragen in de omgang met uw personeel of andere relevante activa.
ISO erkent dat het niet altijd mogelijk is om een volledige set beleid op te leggen aan een leverancier die voldoet aan alle vereisten uit de bovenstaande lijst, zoals ISO 27001 Annex A Control 5.19 bedoelt, vooral als het gaat om rigide organisaties in de publieke sector.
Dat gezegd hebbende, stelt Bijlage A Controle 5.19 duidelijk dat organisaties de bovenstaande richtlijnen moeten gebruiken bij het aangaan van relaties met leveranciers, en niet-naleving van geval tot geval moeten overwegen.
Waar volledige naleving niet haalbaar is, geeft Bijlage A Controle 5.19 organisaties speelruimte door “compenserende controles” aan te bevelen die adequate niveaus van risicobeheer bereiken, gebaseerd op de unieke omstandigheden van een organisatie.
ISO 27001:2022 bijlage A 5.19 vervangt ISO 27001:2013 Bijlage A 15.1.1 (Informatiebeveiligingsbeleid voor leveranciersrelaties).
ISO 27001:2022 bijlage A 5.19 houdt zich in grote lijnen aan dezelfde onderliggende concepten als opgenomen in de controle van 2013, maar bevat wel een aantal aanvullende richtlijnen die ofwel zijn weggelaten uit ISO 27001:2013 bijlage A 5.1.1, of op zijn minst niet worden behandeld in zoveel details, waaronder:
ISO 27001:2022 bijlage A 5.19 erkent ook expliciet de zeer variabele aard van leveranciersrelaties (op basis van type, sector en risiconiveau), en geeft organisaties een zekere mate van speelruimte bij het overwegen van de mogelijkheid van niet-naleving van bepaalde richtlijnen. op basis van de aard van de relatie (zie 'Aanvullende richtlijnen' hierboven).
In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
ISMS.online heeft dit controledoel zeer eenvoudig gemaakt door het bewijs te leveren dat uw relaties zorgvuldig zijn gekozen, goed worden beheerd in het leven, inclusief gecontroleerd en beoordeeld. Dat is precies wat ons gebruiksvriendelijke gebied Accountrelaties (bijvoorbeeld leveranciers) doet. De werkruimtes voor samenwerkingsprojecten zijn ideaal voor belangrijke on-boarding van leveranciers, gezamenlijke initiatieven, off-boarding enz., die de auditor indien nodig ook gemakkelijk kan bekijken.
ISMS.online heeft dit controledoel ook voor uw organisatie eenvoudiger gemaakt door u in staat te stellen bewijs te leveren dat de leverancier zich formeel heeft gecommitteerd aan het naleven van de vereisten en zijn verantwoordelijkheden voor informatiebeveiliging heeft begrepen via onze Policy Packs. Beleidspakketten zijn ideaal als de organisatie specifieke beleidsregels en controles heeft die de medewerkers van leveranciers moeten volgen en er vertrouwen in moeten hebben dat ze deze hebben gelezen en zich ertoe hebben verbonden deze na te leven – buiten de bredere overeenkomsten tussen klant en leverancier.
Afhankelijk van de aard van de verandering (dwz voor meer materiële veranderingen) kan er een bredere vereiste zijn om aan te sluiten A.6.1.5 informatiebeveiliging in projectmanagement.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
