ISO 27001:2022 Bijlage A Controle 5.22

Monitoring en beoordeling en wijzigingsbeheer van leveranciersdiensten

Boek een demo

top,weergave,bedrijf,mensen,werk,vanuit,thuis,met behulp van,laptop,aan

Wat is het doel van ISO 27001:2022 bijlage A 5.22?

Bijlage A controle 5.22 heeft tot doel ervoor te zorgen dat er overeenstemming wordt bereikt niveau van informatiebeveiliging en de dienstverlening blijft gehandhaafd. Dit is in overeenstemming met leverancierscontracten met betrekking tot de ontwikkeling van leveranciersdiensten.

De diensten van leveranciers worden gecontroleerd en beoordeeld

In bijlage A 5.22 wordt beschreven dat organisaties de dienstverleningsprocessen van hun leveranciers regelmatig monitoren, beoordelen en auditen. Het uitvoeren van beoordelingen en monitoring kan het beste worden gedaan in overeenstemming met de informatie die risico loopt, aangezien één maat niet voor alle situaties geschikt is.

Door haar beoordelingen uit te voeren in overeenstemming met de voorgestelde segmentatie van leveranciers, kan de organisatie haar middelen optimaliseren en ervoor zorgen dat hun inspanningen zich concentreren op het monitoren en beoordelen waar de grootste impact kan worden bereikt.

Net als bij bijlage A 5.19 is pragmatisme soms noodzakelijk: kleine organisaties krijgen niet noodzakelijkerwijs een audit, een personeelsbeoordeling of gerichte serviceverbeteringen als ze AWS gebruiken. Om er zeker van te zijn dat ze geschikt blijven voor uw doel, kunt u bijvoorbeeld hun jaarlijks gepubliceerde SOC II-rapporten en beveiligingscertificeringen controleren.

De monitoring moet worden gedocumenteerd op basis van uw kracht, risico's en waarde, zodat uw auditor kan bevestigen dat deze is voltooid. Dit komt omdat alle noodzakelijke wijzigingen zijn beheerd via een formele wijzigingscontroleprocedure.

Wijzigingen in de dienstverlening van leveranciers beheren

Leveranciers moeten het bestaande informatiebeveiligingsbeleid, de procedures en de controles handhaven en verbeteren om eventuele wijzigingen in de dienstverlening door leveranciers te beheren. Het proces houdt rekening met de kriticiteit van de bedrijfsinformatie, de aard van de verandering, de getroffen typen leveranciers, de betrokken processen en systemen, en een herbeoordeling van de risico's.

Bij het aanbrengen van wijzigingen in de dienstverlening van leveranciers is het ook belangrijk om rekening te houden met de intimiteit van de relatie. Dit geldt ook voor het vermogen van de organisatie om een ​​verandering binnen de leverancier te beïnvloeden of te beheersen.

Controle 5.22 specificeert hoe organisaties moeten monitoren, beoordelen en het beheren van wijzigingen in de beveiligingspraktijken en -service van een leverancier leveringsnormen. Het beoordeelt ook hoe deze de eigen beveiligingspraktijken van de organisatie beïnvloeden.

Bij het beheren van de relaties met hun leveranciers moet een organisatie ernaar streven een basisniveau van informatiebeveiliging te handhaven dat voldoet aan de overeenkomsten die zij hebben ondertekend.

In overeenstemming met ISO 27001:2022 is bijlage A 5.22 een preventieve controle die is ontworpen om risico's te minimaliseren door de leverancier te helpen een 'overeengekomen niveau van informatiebeveiliging en dienstverlening te handhaven.

Eigendom van bijlage A Controle 5.22

Een lid van het senior management dat toezicht houdt op de commerciële activiteiten van een organisatie en een directe relatie onderhoudt met de leveranciers van de organisatie, moet verantwoordelijk zijn voor Controle 5.22.

ISO 27001:2022 Bijlage A 5.22 Algemene richtlijnen

Think ISO 27001:2022 bijlage A Controle 5.22: 13 sleutelgebieden moeten in overweging worden genomen bij het beheren van leveranciersrelaties en hoe deze factoren hun eigen informatiebeveiligingsmaatregelen beïnvloeden.

Een organisatie moet ervoor zorgen dat werknemers die verantwoordelijk zijn voor het beheer van serviceniveauovereenkomsten en leveranciersrelaties over de vereiste vaardigheden en technische middelen beschikken. Dit is om ervoor te zorgen dat zij de prestaties van leveranciers adequaat kunnen beoordelen en dat de informatiebeveiligingsnorm niet wordt geschonden.

Het beleid en de procedures van een organisatie moeten worden opgesteld door:

  1. Bewaak voortdurend de serviceniveaus in overeenstemming met de gepubliceerde serviceniveauovereenkomsten en pak eventuele tekortkomingen aan zodra deze zich voordoen.
  2. De leverancier moet worden gemonitord op eventuele wijzigingen in zijn eigen bedrijfsvoering, inclusief (maar niet beperkt tot): (1) Serviceverbeteringen (2) Nieuwe applicaties, systemen of softwareprocessen (3) Relevante en betekenisvolle herzieningen van de interne governancedocumenten van de leverancier, en (4) eventuele wijzigingen in procedures voor incidentbeheer of pogingen om het niveau van informatiebeveiliging te verbeteren.
  3. Eventuele wijzigingen met betrekking tot de dienst, inclusief (maar niet beperkt tot): a) Infrastructuurwijzigingen b) Toepassingen van opkomende technologieën c) Productupdates en versie-upgrades d) Veranderingen in de ontwikkelomgeving e) Logistieke en fysieke wijzigingen in faciliteiten van leveranciers, inclusief nieuwe locaties f) Wijzigingen in outsourcingpartners of onderaannemers g) Intenties om uit te besteden, indien een dergelijke praktijk nog niet eerder is toegepast.
  4. Zorg ervoor dat er regelmatig servicerapporten worden opgeleverd, dat gegevens worden geanalyseerd en dat beoordelingsgesprekken plaatsvinden volgens afgesproken serviceniveaus.
  5. Zorg ervoor dat outsourcingpartners en onderaannemers worden gecontroleerd en pak eventuele aandachtspunten aan.
  6. Voer een beoordeling uit van beveiligingsincidenten op basis van de standaard en praktijken die zijn overeengekomen door de leverancier en in overeenstemming met de normen voor incidentbeheer.
  7. Er moeten gegevens worden bijgehouden over alle incidenten op het gebied van informatiebeveiliging, tastbare operationele problemen, foutlogboeken en algemene belemmeringen voor het voldoen aan de overeengekomen normen voor dienstverlening.
  8. Neem proactief actie als reactie op incidenten op het gebied van informatiebeveiliging.
  9. Identificeer eventuele kwetsbaarheden in de informatiebeveiliging en verhelp deze zoveel mogelijk.
  10. Voer een analyse uit van alle relevante informatiebeveiligingsfactoren die verband houden met de relatie van de leverancier met zijn leveranciers en onderaannemers.
  11. In het geval van een aanzienlijke verstoring aan de kant van de leverancier, inclusief een inspanning voor noodherstel, zorg ervoor dat de dienstverlening op een aanvaardbaar niveau wordt geleverd.
  12. Geef een lijst op van de belangrijkste personeelsleden in de activiteiten van de leverancier die verantwoordelijk zijn voor het handhaven van de naleving en het naleven van de voorwaarden van het contract.
  13. Zorg ervoor dat een leverancier regelmatig een basisnorm voor informatiebeveiliging handhaaft.

Ondersteuning van bijlage A-controles

  • ISO 27001:2022 Bijlage A 5.29
  • ISO 27001:2022 Bijlage A 5.30
  • ISO 27001:2022 Bijlage A 5.35
  • ISO 27001:2022 Bijlage A 5.36
  • ISO 27001:2022 Bijlage A 8.14

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wat is het voordeel van het gebruik van ISMS.online om leveranciersrelaties te beheren?

Deze Annex A controledoelstelling is door ISMS.online zeer eenvoudig gemaakt. Dit komt omdat ISMS.online het bewijs levert dat uw relaties zorgvuldig zijn geselecteerd, goed worden beheerd en gecontroleerd en beoordeeld. Dit doet u in ons gebruiksvriendelijke gedeelte Accountrelaties (bijvoorbeeld leverancier). Werkruimtes voor samenwerkingsprojecten stellen de auditor in staat om eenvoudig belangrijke leveranciers on boarding, gezamenlijke initiatieven, off boarding, enz. te bekijken.

Naast het assisteren van uw organisatie bij deze Annex A-beheersingsdoelstelling, ISMS.online biedt u ook de mogelijkheid om bewijs te leveren dat de leverancier de vereisten formeel heeft aanvaard en zijn verantwoordelijkheden voor informatiebeveiliging via onze Policy Packs heeft begrepen. Als resultaat van hun specifieke beleid en controles, Beleidspakketten verzekeren leveranciers dat hun medewerkers het beleid en de controles van de organisatie hebben gelezen en zich ertoe hebben verbonden deze na te leven.

Er kan een bredere vereiste zijn om aan te sluiten bij bijlage A.5.8 Informatiebeveiliging in projectmanagement, afhankelijk van de aard van de verandering (bijvoorbeeld voor meer materiële veranderingen).

ISO 27001 implementeren is eenvoudiger met onze stapsgewijze checklist, die u begeleidt vanaf het definiëren van uw ISMS-scope tot het identificeren van risico's en het implementeren van controles.

ISMS.online biedt de volgende voordelen:

  • Met het platform kunt u een ISMS-compatibel met ISO 27001 vereisten.
  • Gebruikers kunnen taken voltooien en bewijsmateriaal indienen om naleving van de norm aan te tonen.
  • Het proces van het delegeren van verantwoordelijkheden en het monitoren van de voortgang op het gebied van compliance is eenvoudig.
  • Als resultaat van de alomvattende risico-evaluatie gereedschapset, het proces wordt versneld en tijdbesparend.
  • Een toegewijd team van consultants kan u bijstaan ​​tijdens het gehele complianceproces.

Neem vandaag nog contact met ons op een demo plannen.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu