Mikä on ISO 27001:2022 liitteen A 5.22 tarkoitus?
Liitteen A valvonnan 5.22 tavoitteena on varmistaa, että sovittu tietoturvan taso ja palvelun toimitus säilyy. Tämä on toimittajapalvelujen kehittämistä koskevien toimittajasopimusten mukaista.
Toimittajien palveluita valvotaan ja tarkistetaan
Liitteessä A 5.22 organisaatiot kuvataan säännöllisesti valvovan, tarkastavan ja auditoivan toimittajapalvelun toimitusprosessejaan. Katselmukset ja seuranta on parasta tehdä riskitietojen mukaan, koska yksi koko ei sovi kaikkiin tilanteisiin.
Suorittamalla tarkastuksensa ehdotetun toimittajien segmentoinnin mukaisesti organisaatio voi optimoida resurssejaan ja varmistaa, että ponnistelut keskittyvät seurantaan ja arvioimiseen, missä merkittävin vaikutus voidaan saavuttaa.
Kuten liitteen A 5.19 kohdalla, käytännönläheisyys on joskus välttämätöntä – pienet organisaatiot eivät välttämättä saa auditointia, henkilöstöarviointia tai erityisiä palveluparannuksia AWS:n avulla. Varmistaaksesi, että ne pysyvät tarkoitukseesi sopivina, voit tarkistaa (esimerkiksi) heidän vuosittain julkaistavat SOC II -raportit ja turvallisuussertifikaatit.
Valvonta tulee dokumentoida voimasi, riskiesi ja arvosi perusteella, jotta tarkastajasi voi varmistaa, että se on suoritettu. Tämä johtuu siitä, että tarvittavat muutokset on hallittu muodollisen muutoksenvalvontamenettelyn kautta.
Toimittajapalvelun muutosten hallinta
Toimittajien on ylläpidettävä ja parannettava olemassa olevia tietoturvakäytäntöjä, -menettelyjä ja -valvontaa voidakseen hallita kaikkia toimittajien palvelutarjontaan liittyviä muutoksia. Prosessi ottaa huomioon liiketoimintatiedon kriittisyyden, muutoksen luonteen, toimittajatyypit, joihin se vaikuttaa, niihin liittyvät prosessit ja järjestelmät sekä riskien uudelleenarvioinnin.
Toimittajien palveluihin tehtäessä muutoksia on tärkeää ottaa huomioon myös suhteen läheisyys. Tämä on myös organisaation kyky vaikuttaa toimittajan sisällä tapahtuvaan muutokseen tai hallita sitä.
Ohjaus 5.22 määrittelee, miten organisaatioiden tulee valvoa, tarkistaa ja hallita toimittajan turvallisuuskäytäntöjen ja -palvelun muutoksia toimitusstandardit. Siinä myös arvioidaan, miten ne vaikuttavat organisaation omiin turvallisuuskäytäntöihin.
Hoidessaan suhteita tavarantoimittajiensa kanssa organisaation tulee pyrkiä ylläpitämään tietoturvan perustasoa, joka noudattaa heidän allekirjoittamiaan sopimuksia.
Standardin ISO 27001:2022 mukaisesti liite A 5.22 on ennaltaehkäisevä valvonta, joka on suunniteltu minimoimaan riskit auttamalla toimittajaa ylläpitämään "sovittua tietoturvan ja palvelutoimituksen tasoa.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Liitteen A määräysvallan omistus 5.22
Ylimmän johdon jäsenen, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoraa suhdetta organisaation tavarantoimittajiin, tulee olla vastuussa Valvonta 5.22.
ISO 27001:2022 Liite A 5.22 Yleiset ohjeet
Mukaan ISO 27001:2022 liite A Ohjaus 5.22, 13 avainaluetta tulee ottaa huomioon toimittajasuhteiden hallinnassa ja miten nämä tekijät vaikuttavat heidän omiin tietoturvatoimiinsa.
Organisaation tulee varmistaa, että palvelutason sopimusten ja toimittajasuhteiden hallinnasta vastaavilla työntekijöillä on tarvittavat taidot ja tekniset resurssit. Tällä varmistetaan, että he pystyvät arvioimaan toimittajan suorituskykyä riittävästi ja että tietoturvastandardeja ei rikota.
Organisaation politiikat ja menettelytavat tulee laatia:
- Seuraa jatkuvasti palvelutasoja julkaistujen palvelutasosopimusten mukaisesti ja korjaa mahdolliset puutteet heti niiden ilmaantuessa.
- Toimittajaa on seurattava mahdollisten muutosten varalta hänen omassa toiminnassaan, mukaan lukien (mutta ei rajoittuen): (1) Palvelun parannukset (2) Uudet sovellukset, järjestelmät tai ohjelmistoprosessit (3) Asianmukaiset ja merkitykselliset muutokset yrityksen sisäisiin hallintoasiakirjoihin. toimittaja ja (4) mahdolliset muutokset tapahtumanhallintamenetelmiin tai yritykset parantaa tietoturvan tasoa.
- Palveluun liittyvät muutokset, mukaan lukien (mutta ei rajoittuen): a) infrastruktuurimuutokset b) kehittyvien teknologioiden sovellukset c) tuotepäivitykset ja versiopäivitykset d) muutokset kehitysympäristössä e) logistiset ja fyysiset muutokset toimittajatiloihin, mukaan lukien uudet toimipaikat f) Muutokset ulkoistuskumppaneissa tai alihankkijoissa g) Aikomukset tehdä alihankintaa, jos tällaista käytäntöä ei ole aiemmin harjoitettu.
- Huolehdi siitä, että palveluraportit toimitetaan säännöllisesti, että tiedot analysoidaan ja että arviointikokoukset pidetään sovittujen palvelutasojen mukaisesti.
- Varmista, että ulkoistavat yhteistyökumppanit ja alihankkijat auditoidaan ja huomioi kaikki huolenaiheet.
- Suorittaa turvallisuuspoikkeamien tarkastelu toimittajan sopiman standardin ja käytäntöjen perusteella sekä tapaustenhallintastandardien mukaisesti.
- Kirjaa tulee säilyttää kaikista tietoturvatapauksista, konkreettisista toimintaongelmista, vikalokeista ja yleisistä esteistä sovittujen palvelustandardien noudattamiselle.
- Ryhdy ennakoiviin toimiin vastauksena tietoturvaan liittyvät tapahtumat.
- Tunnista tietoturvan haavoittuvuudet ja vähennä niitä mahdollisimman laajasti.
- Suorita analyysi kaikista asiaankuuluvista tietoturvatekijöistä, jotka liittyvät toimittajan suhteeseen sen tavarantoimittajien ja alihankkijoiden kanssa.
- Jos toimittajalla on merkittävä häiriö, mukaan lukien katastrofipalautus, varmista, että palvelu toimitetaan hyväksyttävälle tasolle.
- Anna luettelo toimittajan toiminnan avainhenkilöistä, jotka ovat vastuussa sopimusehtojen noudattamisesta ja noudattamisesta.
- Varmista, että toimittaja ylläpitää tietoturvan perusstandardia säännöllisesti.
Liitteen A valvonnan tukeminen
- ISO 27001:2022 Liite A 5.29
- ISO 27001:2022 Liite A 5.30
- ISO 27001:2022 Liite A 5.35
- ISO 27001:2022 Liite A 5.36
- ISO 27001:2022 Liite A 8.14
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
[case_study_slider ids=”88859,101932,92016″ automaattinen toisto=”true” automaattisen toiston nopeus=”5000″]
Mitä hyötyä on ISMS.onlinen käyttämisestä toimittajasuhteiden hallintaan?
ISMS.online on tehnyt tämän liitteen A ohjaustavoitteen erittäin helpoksi. Tämä johtuu siitä, että ISMS.online tarjoaa todisteita siitä, että suhteesi on valittu huolellisesti, hyvin hoidettu ja valvottu ja tarkistettu. Tämä tehdään helppokäyttöisellä Accounts-suhteemme (esim. toimittaja) alueella. Yhteistyöprojektien työtilojen avulla tarkastaja näkee helposti tärkeän toimittajan koneeseen nousussa, yhteisissä aloitteissa, poistumisesta jne.
Sen lisäksi, että autat organisaatiotasi tämän liitteen A valvontatavoitteen saavuttamisessa, ISMS.online tarjoaa myös mahdollisuuden toimittamaan todisteet siitä, että toimittaja on muodollisesti hyväksynyt vaatimukset ja ymmärtänyt vastuunsa tietoturvasta käytäntöpakettiemme kautta. Heidän erityisten käytäntöjensä ja hallintatoimintojensa ansiosta Käytäntöpaketit vakuuttavat toimittajat että heidän henkilöstönsä on lukenut ja sitoutunut noudattamaan organisaation politiikkaa ja valvontaa.
Saattaa olla laajempi vaatimus yhdenmukaistamiseksi liitteen A.5.8 kanssa Tietoturva projektinhallinnassa, riippuen muutoksen luonteesta (esim. enemmän olennaisia muutoksia varten).
ISO 27001:n käyttöönotto on helpompaa vaiheittaisella tarkistuslistallamme, joka opastaa sinua ISMS-laajuuden määrittämisestä riskien tunnistamiseen ja valvontatoimien toteuttamiseen.
ISMS.online tarjoaa seuraavat edut:
- Alustan avulla voit luoda ISO 27001 -standardin mukainen ISMS vaatimukset.
- Käyttäjät voivat suorittaa tehtäviä ja toimittaa todisteita standardin noudattamisesta.
- Vastuun delegointi ja vaatimustenmukaisuuden seuranta on helppoa.
- Kokonaisvaltaisen tuloksena riskinarviointi työkalusarja, prosessi on nopea ja aikaa säästävä.
- Omistautunut konsulttitiimi voi auttaa sinua koko vaatimustenmukaisuusprosessin ajan.
Ota meihin yhteyttä jo tänään aikataulun esittely.
