- nähdä ISO 27002:2022 Control 5.20 lisätietoja.
- nähdä ISO 27001:2013 Liite A 15.1.2 lisätietoja.
Mikä on ISO 27001:2022 liitteen A 5.20 tarkoitus?
ISO 27001 Liite A Ohjaus 5.20 ohjaa sitä, kuinka organisaatio tekee sopimuksen toimittajan kanssa heidän turvallisuusvaatimustensa perusteella. Tämä perustuu toimittajiin, joiden kanssa he työskentelevät.
Osana liitteen A valvontaa 5.20 organisaatioiden ja niiden toimittajien on sovittava keskenään hyväksyttävää tietoturvaa velvollisuudet ylläpitää riskiä.
Kenellä on liitteen A 5.20 omistusoikeus?
Liitteen Valvonta 5.20 tulee määräytyä sen mukaan, onko organisaatiolla oma lakiosasto, sekä allekirjoitetun sopimuksen luonne.
Toimitusketjun muutosten hallinta politiikkoja, menettelyjä ja valvontaa, mukaan lukien olemassa olevien tietoturvakäytäntöjen, -menettelyjen ja -valvontatoimenpiteiden ylläpito ja parantaminen, pidetään tehokkaana valvonnana.
Tämä määritetään ottamalla huomioon liiketoimintatiedon kriittisyys, muutoksen luonne, vaikuttavien toimittajien tyyppi/tyypit, mukana olevat järjestelmät ja prosessit sekä arvioimalla uudelleen riskitekijöitä. Toimittajan tarjoamia palveluita muutettaessa tulee ottaa huomioon myös suhteen läheisyys ja organisaation kyky vaikuttaa muutokseen tai hallita sitä.
5.20:n omistusoikeus kuuluu henkilölle, joka on vastuussa oikeudellisesti sitovista sopimuksista organisaation sisällä (sopimukset, yhteisymmärrysmuistiot, palvelutason sopimukset jne.), jos organisaatiolla on oikeuskelpoisuus laatia, muuttaa ja tallentaa sopimussopimuksiaan ilman osallistumista. kolmansilta osapuolilta.
Organisaation ylimmän johdon jäsenen, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoria suhteita sen toimittajiin, tulee ottaa vastuu liitteen A valvonnasta 5.20, jos organisaatio ulkoistaa tällaiset sopimukset.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27001:2022 Liite A 5.20 Yleiset ohjeet
Liitteen A ohjaus 5.20 sisältää 25 ohjekohtaa, jotka ISO-tilojen on "mahdollista harkita" (eli ei välttämättä kaikkia) organisaatioille täyttääkseen tietoturvavaatimukset.
Liite A Valvonta 5.20 määrittelee, että toteutetuista toimenpiteistä riippumatta molempien osapuolten on poistuttava prosessista "selkeästi" toistensa tietoturvavelvoitteista.
- On tärkeää antaa selkeä kuvaus tiedoista, joita on käytettävä, ja siitä, miten tietoihin päästään.
- Organisaatioiden tulee luokitella tiedot julkaistujen luokitusjärjestelmiensä mukaan (katso liitteen A kontrollit 5.10, 5.12 ja 5.13).
- Tietojen luokitus toimittajan puolella on otettava huomioon, miten se liittyy organisaation puoleen.
- Yleensä molempien osapuolten oikeudet voidaan jakaa neljään luokkaan: lakisääteiset, lakisääteiset, sääntelevät ja sopimusoikeudelliset. Kuten kaupallisissa sopimuksissa on tavanomaista, näillä neljällä alueella on määriteltävä selkeästi erilaisia velvoitteita, mukaan lukien pääsy henkilökohtaisiin tietoihin, immateriaalioikeudet ja tekijänoikeussäännökset. Sopimuksen tulee kattaa myös se, miten näitä avainalueita käsitellään erikseen.
- Osana liitteen A valvontajärjestelmää kutakin osapuolta olisi vaadittava toteuttamaan samanaikaisesti toimenpiteitä, jotka on suunniteltu tietoturvariskien seuraamiseksi, arvioimiseksi ja hallitsemiseksi (kuten pääsynvalvontakäytännöt, sopimusten tarkastelut, seuranta, raportointi ja määräajoin tapahtuva auditointi). Lisäksi sopimuksessa tulee selkeästi todeta, että toimittajahenkilöstön tulee noudattaa organisaation tietoturvastandardeja (ks. ISO 27001 Liite A Ohjaus 5.20).
- Molempien osapuolten on ymmärrettävä selkeästi, mitä tietojen sekä fyysisten ja virtuaalisten varojen käyttö on hyväksyttävää ja ei-hyväksyttävää.
- Jotta varmistetaan, että toimittajapuolen henkilöstö voi päästä käsiksi ja tarkastella organisaation tietoja, on otettava käyttöön menettelyt (esim. toimittajapuolen auditoinnit ja palvelimen pääsynvalvonta).
- Toimittajan ICT-infrastruktuurin huomioimisen lisäksi on tärkeää ymmärtää, miten se liittyy siihen tietoon, jota organisaatio saa käyttöönsä. Tämä on organisaation liiketoiminnan ydinvaatimusten lisäksi.
- Jos toimittaja rikkoo sopimusta tai ei noudata yksittäisiä ehtoja, organisaation tulee harkita, mihin toimenpiteisiin se voi ryhtyä.
- Erityisesti sopimuksessa tulee kuvata keskinäinen tapausten hallintamenettely, joka selventää, kuinka ongelmia tulee käsitellä niiden ilmaantuessa. Tämä sisältää sen, kuinka molempien osapuolten tulisi kommunikoida tapauksen sattuessa.
- Molempien osapuolten olisi järjestettävä riittävä tietoisuuskoulutus (jos vakiokoulutus ei ole riittävä) sopimuksen keskeisillä aloilla, erityisesti riskialoilla, kuten vaaratilanteiden hallinta ja tiedonjako.
- Alihankkijoiden käyttöön olisi kiinnitettävä riittävästi huomiota. Organisaatioiden tulee varmistaa, että mikäli toimittaja saa käyttää alihankkijoita, tällaiset henkilöt tai yritykset noudattavat samoja tietoturvastandardeja kuin toimittaja.
- Sikäli kuin se on laillisesti ja toiminnallisesti mahdollista, organisaatioiden tulee harkita, kuinka tavarantoimittajien henkilöstö seulotaan ennen kuin ne ovat vuorovaikutuksessa heidän tietojensa kanssa. Lisäksi heidän tulee harkita, miten seulonnat kirjataan ja niistä raportoidaan organisaatiolle, mukaan lukien turvatarkastuksen suorittamattomat henkilöt ja huolenaiheet.
- Kolmannen osapuolen todistus, kuten riippumaton raportit ja kolmannen osapuolen auditoinnit, organisaatioiden tulee vaatia toimittajilta, jotka noudattavat tietoturvavaatimuksiaan.
- ISO 27001:2022 liite A Valvonta 5.20 edellyttää, että organisaatioilla on oikeus arvioida ja auditoida toimittajiensa toimintatapoja.
- Toimittajaa tulee vaatia toimittamaan säännöllisin väliajoin raportteja (vaihtelevin väliajoin), joissa esitetään yhteenveto prosessien ja menettelyjen tehokkuudesta ja siitä, kuinka se aikoo käsitellä esiin tulleita ongelmia.
- Suhteen aikana sopimukseen tulee sisältyä toimenpiteitä sen varmistamiseksi, että mahdolliset puutteet tai ristiriidat ratkaistaan ajoissa ja perusteellisesti.
- Toimittajan tulee ottaa käyttöön asianmukainen BUDR-käytäntö, joka on räätälöity vastaamaan organisaation tarpeita ja jossa otetaan huomioon kolme keskeistä näkökohtaa: a) Varmuuskopiointityyppi (täysi palvelin, tiedosto ja kansio, inkrementaalinen), b) Varmuuskopiointitiheys (päivittäin, viikoittain jne.). ) C) Varmuuskopiointipaikka ja lähdemedia (paikan päällä, muualla).
- Tietojen sietokyvyn varmistaminen on tärkeää toimimalla toimittajan päätoimipisteestä erillään olevasta katastrofipalautuslaitoksesta. Tämä laitos ei ole saman riskitason alainen kuin pääasiallinen ICT-paikka.
- Toimittajien tulee ylläpitää kattavaa muutoksenhallintapolitiikkaa, jonka avulla organisaatio voi hylätä tietoturvaan mahdollisesti vaikuttavat muutokset etukäteen.
- Fyysiset turvatarkastukset tulee toteuttaa sen mukaan, mihin tietoihin heillä on pääsy (rakennukseen pääsy, vierailijoiden pääsy, huoneiden pääsy, työpöydän turvallisuus).
- Aina kun tietoja siirretään omaisuuden, sivustojen, palvelimien tai tallennuspaikkojen välillä, toimittajien tulee varmistaa, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai korruptiolta.
- Osana sopimusta kumpikin osapuoli tulee velvoittaa toteuttamaan kattava luettelo toimenpiteistä irtisanomisen yhteydessä (katso liite A Valvonta 5.20). Näitä toimia ovat (mutta eivät rajoitu): a) omaisuuden luovuttaminen ja/tai siirto, b) tietojen poistaminen, c) IP:n palauttaminen, d) käyttöoikeuksien poistaminen e) jatkuvat luottamuksellisuusvelvoitteet.
- Kohdan 23 lisäksi toimittajan tulee keskustella yksityiskohtaisesti siitä, miten se aikoo tuhota/pysyvästi poistaa organisaation tiedot, kun niitä ei enää tarvita (ts. sopimuksen päätyttyä).
- Aina kun sopimus päättyy ja ilmenee tarve siirtää tukea ja/tai palveluita toiselle palveluntarjoajalle, jota ei ole listattu sopimuksessa, pyritään varmistamaan, että liiketoiminta ei keskeydy.
Mukana olevat liitteen A valvontalaitteet
- ISO 27001:2022 Liite A 5.10
- ISO 27001:2022 Liite A 5.12
- ISO 27001:2022 Liite A 5.13
- ISO 27001:2022 Liite A 5.20
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Liitettä A koskevat lisäohjeet 5.20
Liite A Valvonta 5.20 suosittelee, että organisaatiot pitävät sopimusrekisteriä, joka auttaa niitä hallitsemaan toimittajasuhteitaan.
Kirjaa kaikista muiden organisaatioiden kanssa tehdyistä sopimuksista tulee säilyttää suhteiden luonteen mukaan luokiteltuna. Tämä sisältää sopimukset, yhteisymmärryspöytäkirjat ja tiedon jakamiseen liittyvät sopimukset.
Mitkä ovat muutokset ISO 27001:2013:sta?
Muutos ISO 27001:2013 liitteeseen A 15.1.2 (Turvallisuus toimittajasopimuksissa) on tehty ISO 27001: 2022 Liite A Valvonta 5.20.
Useita lisäohjeita on ISO 5.20:27001:n liitteen A Control 2022, jotka koskevat monia teknisiä, oikeudellisia ja vaatimustenmukaisuuteen liittyviä kysymyksiä, mukaan lukien:
- Luovutusmenettely.
- Tiedon tuhoaminen.
- Irtisanomista koskevat säännökset.
- Säätimet fyysistä turvallisuutta varten.
- Muutoksen hallinta.
- Tietojen redundanssi ja varmuuskopiot.
Yleissääntönä on, että ISO 27001:2022 Liite A 5.20 korostaa, kuinka toimittaja saavuttaa redundanssin ja tietojen eheyden koko sopimuksen ajan.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
[case_study_slider ids=”88859,101932,92016″ automaattinen toisto=”true” automaattisen toiston nopeus=”5000″]
Mitä hyötyä on ISMS.onlinen käyttämisestä toimittajasuhteissa?
Vaiheittainen tarkistuslista opastaa sinut läpi koko ISO 27001 käyttöönottoprosessiISMS:n laajuuden määrittämisestä riskien tunnistamiseen ja valvontatoimien toteuttamiseen.
ISMS.onlinen helppokäyttöisen Accounts-suhteet (esim. toimittaja) -alueen avulla voit varmistaa, että suhteesi valitaan huolellisesti, hoidetaan hyvin elämässä sekä seurataan ja tarkistetaan. ISMS.onlinen yhteistyöprojektien työtilat ovat helposti saavuttaneet tämän ohjaustavoitteen. Nämä työtilat ovat hyödyllisiä toimittajalle koneeseen nousemisessa, yhteisissä aloitteissa, offboardissa jne., joita myös tarkastaja voi tarvittaessa tarkastella helposti.
Olemme myös helpottaneet tätä valvontatavoitetta organisaatiollesi mahdollistamalla sen, että voit osoittaa, että toimittaja on virallisesti sitoutunut noudattamaan vaatimuksia. Tämä tehdään meidän kauttamme Käytäntöpaketit. Nämä käytäntöpaketit ovat erityisen hyödyllisiä organisaatioille, joilla on erityisiä käytäntöjä ja valvontatoimia, joita ne haluavat toimittajiensa noudattavan, jotta he voivat luottaa siihen, että heidän toimittajansa ovat lukeneet nämä käytännöt ja sitoutuneet noudattamaan niitä.
Muutoksen luonteesta riippuen (esim. oleellisemmissa muutoksissa) muutos saattaa olla tarpeen mukauttaa A.6.1.5:n tietoturva projektinhallinnassa.
