ISO 27001:2022 Liite A Control 5.19 on noin tietoturva toimittajasuhteissa. Tavoitteena on suojella organisaation arvokasta omaisuutta, johon tavarantoimittajat pääsevät tai joihin tavarantoimittajat vaikuttavat.
Suosittelemme myös, että harkitset tässä myös muita keskeisiä suhteita, esimerkiksi kumppaneita, jos he eivät ole tavarantoimittajia, mutta heillä on myös vaikutus omaisuuteesi, joka ei välttämättä kuulu pelkästään sopimuksen piiriin.
Tämä on tärkeä osa tietoturvan hallintajärjestelmä (ISMS) varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin. Ymmärrämme nämä vaatimukset ja mitä ne tarkoittavat nyt hieman tarkemmin.
Toimittajia käytetään kahdesta pääasiallisesta syystä; yksi: haluat heidän tekevän työtä, jota olet päättänyt olla tekemättä sisäisesti itse, tai; kaksi: et voi helposti tehdä työtä yhtä hyvin tai kustannustehokkaasti kuin tavarantoimittajat.
Toimittajien valinnassa ja hallinnassa on otettava huomioon monia tärkeitä asioita, mutta yksi koko ei sovi kaikille ja jotkut toimittajat ovat tärkeämpiä kuin toiset. Näin ollen myös valvonta- ja käytäntöjesi tulee heijastaa tätä ja a toimitusketjun segmentointi on järkevä; kannatamme neljää toimittajaluokkaa suhteen arvon ja riskin perusteella. Ne vaihtelevat liiketoimintakriittisistä toimittajista muihin toimittajiin, joilla ei ole merkittävää vaikutusta organisaatioosi.
ISO 27001:2002 liitteen A valvonta 5.19 koskee organisaation velvollisuutta varmistaa, että toimittajapuolen tuotteita ja palveluita käytettäessä (mukaan lukien pilvipalveluntarjoajat) otetaan riittävästi huomioon ulkoisten järjestelmien käyttöön liittyvä riskitaso. seurannaisvaikutuksia, joilla voi olla heidän omaan tietoturvan noudattamiseen.
Hyvä politiikka kuvaa toimittajien segmentointia, valintaa, hallintaa, poistumista, miten tietovarat toimittajien ympärillä valvotaan niihin liittyvien riskien pienentämiseksi, mutta silti mahdollistaa liiketoiminnan päämäärien ja tavoitteiden saavuttamisen. Älykkäät organisaatiot käärivät itsensä tietoturvapolitiikka toimittajille laajempiin suhteisiin ja vältä keskittymästä pelkästään turvallisuuteen sinänsä, katsomalla myös muita näkökohtia.
Liite A Valvonta 5.19 on ennaltaehkäisevä valvonta, joka muuttaa riskiä ylläpitämällä menettelyjä, jotka käsittelevät kolmansien osapuolten tarjoamien tuotteiden ja palvelujen käyttöön liittyviä luontaisia turvallisuusriskejä.
Vaikka Control ISO 27001 Liite A 5.19 sisältää paljon ohjeita ICT-palvelujen käytöstä. Valvonnan laajempi kattavuus kattaa monia muita näkökohtia organisaation suhteesta sen toimittajakuntaan, mukaan lukien toimittajatyypit, logistiikka, apuohjelmat, rahoituspalvelut ja infrastruktuurikomponentit).
Sellaisenaan liitteen A ohjausobjektin 5.19 omistusoikeus pitäisi olla ylimmän johdon jäsenellä, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoraa suhdetta organisaation tavarantoimittajiin, kuten Chief Operating Officer.
Liitteen A valvonnan 5.19 noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa tietoturvaan toimittajasuhteissa.
Organisaatio saattaa haluta toimittajien pääsyn tiettyihin arvokkaisiin tietoresursseihin (esim. ohjelmistokoodin kehittämiseen, kirjanpidon palkkatietoihin) ja osallistuvan niihin. Heillä olisi siksi oltava selkeät sopimukset siitä, mitä käyttöoikeuksia he sallivat, jotta he voivat valvoa sen ympärillä olevaa turvallisuutta.
Tämä on erityisen tärkeää, kun yhä enemmän tiedonhallinta-, käsittely- ja teknologiapalveluita ulkoistetaan. Tämä tarkoittaa, että meillä on paikka näyttää suhteen hallintaa tapahtuu; sopimukset, kontaktit, tapaukset, suhdetoiminta ja riskienhallinta jne. Jos toimittaja on myös läheisesti mukana organisaatiossa, mutta hänellä ei ehkä ole omaa sertifioitua ISMS:ään, on myös syytä osoittaa, että toimittajan henkilökunta on koulutettu ja tietoinen turvallisuudesta, koulutettu käytäntöihisi jne.
Aihekohtaiset lähestymistavat rohkaisevat organisaatioita luomaan toimittajiin liittyviä käytäntöjä, jotka on räätälöity yksittäisiin liiketoimintatoimintoihin sen sijaan, että noudatettaisiin yleistä toimittajien hallintapolitiikkaa, joka koskee kaikkia organisaation kaupallisen toiminnan ulkopuolisia suhteita.
On tärkeää huomata, että ISO 27001 liitteen A ohjaus 5.19 pyytää organisaatiota ottamaan käyttöön politiikkoja ja menettelyjä, jotka eivät ainoastaan ohjaa organisaation toimittajaresurssien ja pilvialustojen käyttöä, vaan muodostavat myös perustan sille, kuinka he odottavat toimittajiensa käyttäytyvän ennen koko kauppasuhteen ajan.
Sellaisenaan liitteen A valvontaa 5.19 voidaan pitää olennaisena ehdot täyttävänä asiakirjana, joka määrää, kuinka tietoturvan hallintaa käsitellään toimittajasopimuksen aikana.
ISO 27001 liitteen A ohjaus 5.19 sisältää 14 pääohjetta, joita on noudatettava:
1) Pidä tarkkaa kirjaa toimittajatyypeistä (esim. rahoituspalvelut, ICT-laitteet, puhelin), jotka voivat vaikuttaa tietoturvan eheyteen.
Noudattaminen – Laadi luettelo kaikista toimittajista, joiden kanssa organisaatiosi työskentelee, luokittele ne liiketoimintatehtäviensä mukaan ja lisää luokkia mainittuihin toimittajatyyppeihin tarpeen mukaan.
2) Ymmärrä, kuinka toimittajat testataan heidän toimittajatyypinsä riskitason perusteella.
Noudattaminen – Eri toimittajatyypit vaativat erilaisia due diligence -tarkastuksia. Harkitse toimittajakohtaisten tarkistusmenetelmien käyttöä (esim. toimialaviitteet, tilinpäätökset, paikan päällä tehdyt arvioinnit, alakohtaiset sertifioinnit, kuten Microsoft-kumppanuudet).
3) Tunnista toimittajat, joilla on jo olemassa olevia tietoturvavalvontatoimenpiteitä.
Noudattaminen – Pyydä nähdäksesi kopiot toimittajien asiaankuuluvista tietoturvan hallintomenettelyistä, jotta voit arvioida omalle organisaatiollesi aiheutuvan riskin. Jos heillä ei ole niitä, se ei ole hyvä merkki.
4) Tunnista ja määrittele organisaatiosi ICT-infrastruktuurin erityisalueet, joita toimittajasi voivat joko käyttää, valvoa tai käyttää itse.
Noudattaminen – On tärkeää selvittää alusta alkaen tarkasti, kuinka toimittajasi aikovat olla vuorovaikutuksessa tieto- ja viestintätekniikan omaisuutesi kanssa – olivatpa ne fyysisiä tai virtuaalisia – ja minkä tasoisia käyttöoikeuksia heille myönnetään sopimusvelvoitteidensa mukaisesti.
5) Määritä, miten toimittajien oma ICT-infrastruktuuri voi vaikuttaa omiin tietoihisi ja asiakkaidesi tietoihin.
Noudattaminen – Organisaation ensimmäinen velvollisuus on oma tietoturvastandardinsa. Toimittajan ICT-resurssit on arvioitava sen mukaan, miten ne voivat vaikuttaa käytettävyyteen ja eheyteen koko organisaatiossasi.
6) Tunnista ja hallitse erilaisia tietoturvariskejä, jotka liittyvät:
a. Toimittaja käyttää luottamuksellisia tietoja tai suojattua omaisuutta (esim. rajoitettu haitalliseen käyttöön ja/tai rikolliseen tarkoitukseen).
b. Viallinen toimittajalaitteisto tai viallinen ohjelmistoalusta, joka liittyy paikallisiin tai pilvipohjaisiin palveluihin.
Noudattaminen – Organisaatioiden on jatkuvasti oltava tietoisia katastrofeihin liittyvistä tietoturvariskeistä, kuten toimittajapuolen ilkeästä käyttäjien toiminnasta tai suurista odottamattomista ohjelmistotapauksista, ja niiden vaikutukset organisaation tietoturvaan.
7) Valvo tietoturvan noudattamista aihekohtaisesti tai toimittajatyyppisesti.
Noudattaminen – Organisaation tarve arvostaa tietoturva kullekin toimittajatyypille sisältyviä seurauksia ja mukauttaa seurantatoimintaansa erilaisten riskien huomioon ottamiseksi.
8) Rajoita noudattamatta jättämisestä aiheutuneiden vahinkojen ja/tai häiriöiden määrää.
Noudattaminen – Toimittajatoimintaa tulee seurata tarkoituksenmukaisella tavalla ja vaihtelevassa määrin sen riskitason mukaisesti. Jos vaatimustenvastaisuutta havaitaan joko ennakoivasti tai uudelleen, on ryhdyttävä välittömiin toimiin.
9) Säilytä tukeva vaaratilanteiden hallinta menettely, joka kattaa kohtuullisen määrän ennakoimattomia tapauksia.
Noudattaminen – Organisaatioiden tulee ymmärtää tarkasti, miten niiden tulee reagoida, kun ne kohtaavat monenlaisia tapahtumia, jotka liittyvät kolmannen osapuolen tuotteiden ja palvelujen toimittamiseen, ja hahmotella korjaavia toimia, jotka koskevat sekä toimittajaa että organisaatiota.
10) Toteuttaa toimenpiteitä, jotka huolehtivat toimittajan tiedon saatavuudesta ja käsittelystä riippumatta siitä, missä niitä käytetään, millä varmistetaan organisaation oman tiedon eheys.
Noudattaminen – On pyrittävä varmistamaan, että toimittajajärjestelmiä ja tietoja käsitellään tavalla, joka ei vaaranna organisaation omien järjestelmien ja tietojen saatavuutta ja turvallisuutta.
11) Laadi perusteellinen koulutussuunnitelma, joka tarjoaa ohjeita siitä, miten henkilöstön tulee olla vuorovaikutuksessa tavarantoimittajien henkilöstön kanssa, ja tietoa toimittajakohtaisesti tai tyyppikohtaisesti.
Noudattaminen – Koulutuksen tulisi kattaa koko organisaation ja sen toimittajien välinen hallinto, mukaan lukien toimeksiannot, yksityiskohtaiset riskienhallinnan tarkastukset ja aihekohtaiset menettelyt.
12) Ymmärtää ja hallita riskitasoa, joka liittyy tiedon ja fyysisen ja virtuaalisen omaisuuden siirtämiseen organisaation ja niiden toimittajien välillä.
Noudattaminen – Organisaatioiden tulee kartoittaa jokainen siirtoprosessin vaihe ja kouluttaa henkilöstöä riskeistä, jotka liittyvät omaisuuden ja tiedon siirtämiseen lähteestä toiseen.
13) Varmista, että toimittajasuhteet päätetään tietoturvallisuutta ajatellen, mukaan lukien pääsyoikeuksien ja organisaatiotietojen käyttömahdollisuuksien poistaminen.
Noudattaminen – ICT-tiimeilläsi tulee olla selkeä käsitys siitä, kuinka toimittajan pääsy tietoihin voidaan peruuttaa, mukaan lukien:
14) Kuvaa tarkasti, miten odotat toimittajan käyttäytyvän fyysisten ja virtuaalisten turvatoimien suhteen.
Noudattaminen – Organisaatioiden tulee asettaa selkeät odotukset kaupallisten suhteiden alusta alkaen, ja ne määrittelevät, kuinka toimittajapuolen henkilöstön odotetaan käyttäytyvän ollessaan vuorovaikutuksessa henkilöstösi tai minkä tahansa asiaankuuluvan omaisuuden kanssa.
ISO myöntää, että ei aina ole mahdollista määrätä toimittajalle kaikkia käytäntöjä, jotka täyttävät kaikki yllä olevan luettelon vaatimukset, kuten ISO 27001 Liite A Control 5.19 tarkoittaa, varsinkin kun on kyse jäykistä julkisen sektorin organisaatioista.
Tästä huolimatta liitteen A valvonta 5.19 sanoo selvästi, että organisaatioiden tulee käyttää yllä olevia ohjeita luodessaan suhteita tavarantoimittajien kanssa ja harkita noudattamatta jättämistä tapauskohtaisesti.
Jos täydellistä vaatimustenmukaisuutta ei voida saavuttaa, liitteen A valvonta 5.19 antaa organisaatioille liikkumavaraa suosittelemalla "kompensoivia valvontatoimia", joilla saavutetaan riittävä riskinhallintataso organisaation ainutlaatuisten olosuhteiden perusteella.
ISO 27001:2022 Liite A 5.19 korvaa standardin ISO 27001:2013 Liite A 15.1.1 (Tietoturvapolitiikka toimittajasuhteita varten).
ISO 27001:2022 liite A 5.19 noudattaa pääpiirteissään samoja peruskäsitteitä, jotka sisältyvät vuoden 2013 valvontaan, mutta sisältää useita lisäohjeita, jotka joko on jätetty pois ISO 27001:2013 liitteen A kohdasta 5.1.1 tai joita ei ainakaan käsitellä niin paljon yksityiskohtia, mukaan lukien:
ISO 27001:2022 liite A 5.19 tunnustaa myös toimittajasuhteiden erittäin vaihtelevan luonteen (tyypistä, toimialasta ja riskitasosta) ja antaa organisaatioille jonkin verran liikkumavaraa harkitessaan mahdollisuutta, että jokin tietty ohje ei noudateta. kohta, joka perustuu suhteen luonteeseen (katso "Lisäohjeet" yllä).
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 -standardista Liite A Ohjaus.
Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
---|---|---|---|
Organisaation valvonta | Liite A 5.1 | Liite A 5.1.1 Liite A 5.1.2 | Tietoturvakäytännöt |
Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
Organisaation valvonta | Liite A 5.8 | Liite A 6.1.5 Liite A 14.1.1 | Tietoturva projektinhallinnassa |
Organisaation valvonta | Liite A 5.9 | Liite A 8.1.1 Liite A 8.1.2 | Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
Organisaation valvonta | Liite A 5.10 | Liite A 8.1.3 Liite A 8.2.3 | Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
Organisaation valvonta | Liite A 5.14 | Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 | Tietojen siirto |
Organisaation valvonta | Liite A 5.15 | Liite A 9.1.1 Liite A 9.1.2 | Kulunvalvonta |
Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
Organisaation valvonta | Liite A 5.17 | Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 | Todennustiedot |
Organisaation valvonta | Liite A 5.18 | Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 | Käyttöoikeudet |
Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
Organisaation valvonta | Liite A 5.22 | Liite A 15.2.1 Liite A 15.2.2 | Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
Organisaation valvonta | Liite A 5.29 | Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 | Tietoturva häiriön aikana |
Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
Organisaation valvonta | Liite A 5.31 | Liite A 18.1.1 Liite A 18.1.5 | Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
Organisaation valvonta | Liite A 5.36 | Liite A 18.2.2 Liite A 18.2.3 | Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
---|---|---|---|
Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
Ihmisten ohjaukset | Liite A 6.8 | Liite A 16.1.2 Liite A 16.1.3 | Tietoturvatapahtumien raportointi |
Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
---|---|---|---|
Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
Fyysiset säätimet | Liite A 7.2 | Liite A 11.1.2 Liite A 11.1.6 | Fyysinen sisäänpääsy |
Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
Fyysiset säätimet | Liite A 7.10 | Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 | Tallennusväline |
Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
---|---|---|---|
Tekniset säädöt | Liite A 8.1 | Liite A 6.2.1 Liite A 11.2.8 | Käyttäjän päätelaitteet |
Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
Tekniset säädöt | Liite A 8.8 | Liite A 12.6.1 Liite A 18.2.3 | Teknisten haavoittuvuuksien hallinta |
Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
Tekniset säädöt | Liite A 8.15 | Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 | Hakkuu |
Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttö |
Tekniset säädöt | Liite A 8.19 | Liite A 12.5.1 Liite A 12.6.2 | Ohjelmistojen asennus käyttöjärjestelmiin |
Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
Tekniset säädöt | Liite A 8.24 | Liite A 10.1.1 Liite A 10.1.2 | Kryptografian käyttö |
Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
Tekniset säädöt | Liite A 8.26 | Liite A 14.1.2 Liite A 14.1.3 | Sovelluksen suojausvaatimukset |
Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet |
Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
Tekniset säädöt | Liite A 8.29 | Liite A 14.2.8 Liite A 14.2.9 | Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
Tekniset säädöt | Liite A 8.31 | Liite A 12.1.4 Liite A 14.2.6 | Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
Tekniset säädöt | Liite A 8.32 | Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 | Muutoksen hallinta |
Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
ISMS.online on tehnyt tämän valvontatavoitteen erittäin helpoksi tarjoamalla todisteita siitä, että suhteesi on valittu huolellisesti, hoidettu hyvin elämässä, mukaan lukien seurannan ja arvioinnin. Helppokäyttöinen Accounts (esim. toimittaja) -alueemme tekee juuri tämän. Yhteistyöprojektien työtilat sopivat mainiosti tärkeiden toimittajien mukaantuloon, yhteisiin aloitteisiin, offboardingiin jne., jotka kaikki tarkastaja voi myös tarvittaessa tarkastella helposti.
ISMS.online on myös helpottanut tätä valvontatavoitetta organisaatiollesi antamalla todisteet siitä, että toimittaja on virallisesti sitoutunut noudattamaan vaatimuksia ja ymmärtänyt tietoturvavastuunsa käytäntöpakettimme kautta. Käytäntöpaketit ovat ihanteellisia kohteisiin, joissa organisaatiolla on erityisiä käytäntöjä ja valvontaa, joita se haluaa toimittajahenkilöstön noudattavan ja luottavansa lukeneensa ne ja sitoutuneensa noudattamaan – laajempien asiakkaiden ja toimittajan välisten sopimusten lisäksi.
Muutoksen luonteesta riippuen (eli oleellisten muutosten osalta) voi olla laajempi yhdenmukaistamisvaatimus A.6.1.5 Tietoturva projektinhallinnassa.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi