ISO 27001:2022 Liite A Valvonta 5.22

Toimittajapalveluiden seuranta ja tarkistus ja muutosten hallinta

Varaa demo

ylhäältä,näkymä,yritys,ihmiset,työ,kotoa,käyttäen,kannettavaa,on

Mikä on ISO 27001:2022 liitteen A 5.22 tarkoitus?

Liitteen A valvonnan 5.22 tavoitteena on varmistaa, että sovittu tietoturvan taso ja palvelun toimitus säilyy. Tämä on toimittajapalvelujen kehittämistä koskevien toimittajasopimusten mukaista.

Toimittajien palveluita valvotaan ja tarkistetaan

Liitteessä A 5.22 organisaatiot kuvataan säännöllisesti valvovan, tarkastavan ja auditoivan toimittajapalvelun toimitusprosessejaan. Katselmukset ja seuranta on parasta tehdä riskitietojen mukaan, koska yksi koko ei sovi kaikkiin tilanteisiin.

Suorittamalla tarkastuksensa ehdotetun toimittajien segmentoinnin mukaisesti organisaatio voi optimoida resurssejaan ja varmistaa, että ponnistelut keskittyvät seurantaan ja arvioimiseen, missä merkittävin vaikutus voidaan saavuttaa.

Kuten liitteen A 5.19 kohdalla, käytännönläheisyys on joskus välttämätöntä – pienet organisaatiot eivät välttämättä saa auditointia, henkilöstöarviointia tai erityisiä palveluparannuksia AWS:n avulla. Varmistaaksesi, että ne pysyvät tarkoitukseesi sopivina, voit tarkistaa (esimerkiksi) heidän vuosittain julkaistavat SOC II -raportit ja turvallisuussertifikaatit.

Valvonta tulee dokumentoida voimasi, riskiesi ja arvosi perusteella, jotta tarkastajasi voi varmistaa, että se on suoritettu. Tämä johtuu siitä, että tarvittavat muutokset on hallittu muodollisen muutoksenvalvontamenettelyn kautta.

Toimittajapalvelun muutosten hallinta

Toimittajien on ylläpidettävä ja parannettava olemassa olevia tietoturvakäytäntöjä, -menettelyjä ja -valvontaa voidakseen hallita kaikkia toimittajien palvelutarjontaan liittyviä muutoksia. Prosessi ottaa huomioon liiketoimintatiedon kriittisyyden, muutoksen luonteen, toimittajatyypit, joihin se vaikuttaa, niihin liittyvät prosessit ja järjestelmät sekä riskien uudelleenarvioinnin.

Toimittajien palveluihin tehtäessä muutoksia on tärkeää ottaa huomioon myös suhteen läheisyys. Tämä on myös organisaation kyky vaikuttaa toimittajan sisällä tapahtuvaan muutokseen tai hallita sitä.

Ohjaus 5.22 määrittelee, miten organisaatioiden tulee valvoa, tarkistaa ja hallita toimittajan turvallisuuskäytäntöjen ja -palvelun muutoksia toimitusstandardit. Siinä myös arvioidaan, miten ne vaikuttavat organisaation omiin turvallisuuskäytäntöihin.

Hoidessaan suhteita tavarantoimittajiensa kanssa organisaation tulee pyrkiä ylläpitämään tietoturvan perustasoa, joka noudattaa heidän allekirjoittamiaan sopimuksia.

Standardin ISO 27001:2022 mukaisesti liite A 5.22 on ennaltaehkäisevä valvonta, joka on suunniteltu minimoimaan riskit auttamalla toimittajaa ylläpitämään "sovittua tietoturvan ja palvelutoimituksen tasoa.

Liitteen A määräysvallan omistus 5.22

Ylimmän johdon jäsenen, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoraa suhdetta organisaation tavarantoimittajiin, tulee olla vastuussa Valvonta 5.22.

Siirry aiheeseen

ISO 27001:2022 Liite A 5.22 Yleiset ohjeet

Mukaan ISO 27001:2022 liite A Ohjaus 5.22, 13 avainaluetta tulee ottaa huomioon toimittajasuhteiden hallinnassa ja miten nämä tekijät vaikuttavat heidän omiin tietoturvatoimiinsa.

Organisaation tulee varmistaa, että palvelutason sopimusten ja toimittajasuhteiden hallinnasta vastaavilla työntekijöillä on tarvittavat taidot ja tekniset resurssit. Tällä varmistetaan, että he pystyvät arvioimaan toimittajan suorituskykyä riittävästi ja että tietoturvastandardeja ei rikota.

Organisaation politiikat ja menettelytavat tulee laatia:

  1. Seuraa jatkuvasti palvelutasoja julkaistujen palvelutasosopimusten mukaisesti ja korjaa mahdolliset puutteet heti niiden ilmaantuessa.

  2. Toimittajaa on seurattava mahdollisten muutosten varalta hänen omassa toiminnassaan, mukaan lukien (mutta ei rajoittuen): (1) Palvelun parannukset (2) Uudet sovellukset, järjestelmät tai ohjelmistoprosessit (3) Asianmukaiset ja merkitykselliset muutokset yrityksen sisäisiin hallintoasiakirjoihin. toimittaja ja (4) mahdolliset muutokset tapahtumanhallintamenetelmiin tai yritykset parantaa tietoturvan tasoa.

  3. Palveluun liittyvät muutokset, mukaan lukien (mutta ei rajoittuen): a) infrastruktuurimuutokset b) kehittyvien teknologioiden sovellukset c) tuotepäivitykset ja versiopäivitykset d) muutokset kehitysympäristössä e) logistiset ja fyysiset muutokset toimittajatiloihin, mukaan lukien uudet toimipaikat f) Muutokset ulkoistuskumppaneissa tai alihankkijoissa g) Aikomukset tehdä alihankintaa, jos tällaista käytäntöä ei ole aiemmin harjoitettu.

  4. Huolehdi siitä, että palveluraportit toimitetaan säännöllisesti, että tiedot analysoidaan ja että arviointikokoukset pidetään sovittujen palvelutasojen mukaisesti.

  5. Varmista, että ulkoistavat yhteistyökumppanit ja alihankkijat auditoidaan ja huomioi kaikki huolenaiheet.

  6. Suorittaa turvallisuuspoikkeamien tarkastelu toimittajan sopiman standardin ja käytäntöjen perusteella sekä tapaustenhallintastandardien mukaisesti.

  7. Kirjaa tulee säilyttää kaikista tietoturvatapauksista, konkreettisista toimintaongelmista, vikalokeista ja yleisistä esteistä sovittujen palvelustandardien noudattamiselle.

  8. Ryhdy ennakoiviin toimiin vastauksena tietoturvaan liittyvät tapahtumat.

  9. Tunnista tietoturvan haavoittuvuudet ja vähennä niitä mahdollisimman laajasti.

  10. Suorita analyysi kaikista asiaankuuluvista tietoturvatekijöistä, jotka liittyvät toimittajan suhteeseen sen tavarantoimittajien ja alihankkijoiden kanssa.

  11. Jos toimittajalla on merkittävä häiriö, mukaan lukien katastrofipalautus, varmista, että palvelu toimitetaan hyväksyttävälle tasolle.

  12. Anna luettelo toimittajan toiminnan avainhenkilöistä, jotka ovat vastuussa sopimusehtojen noudattamisesta ja noudattamisesta.

  13. Varmista, että toimittaja ylläpitää tietoturvan perusstandardia säännöllisesti.

Liitteen A valvonnan tukeminen

  • ISO 27001:2022 Liite A 5.29

  • ISO 27001:2022 Liite A 5.30

  • ISO 27001:2022 Liite A 5.35

  • ISO 27001:2022 Liite A 5.36

  • ISO 27001:2022 Liite A 8.14

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Mitä hyötyä on ISMS.onlinen käyttämisestä toimittajasuhteiden hallintaan?

ISMS.online on tehnyt tämän liitteen A ohjaustavoitteen erittäin helpoksi. Tämä johtuu siitä, että ISMS.online tarjoaa todisteita siitä, että suhteesi on valittu huolellisesti, hyvin hoidettu ja valvottu ja tarkistettu. Tämä tehdään helppokäyttöisellä Accounts-suhteemme (esim. toimittaja) alueella. Yhteistyöprojektien työtilojen avulla tarkastaja näkee helposti tärkeän toimittajan koneeseen nousussa, yhteisissä aloitteissa, poistumisesta jne.

Sen lisäksi, että autat organisaatiotasi tämän liitteen A valvontatavoitteen saavuttamisessa, ISMS.online tarjoaa myös mahdollisuuden toimittamaan todisteet siitä, että toimittaja on muodollisesti hyväksynyt vaatimukset ja ymmärtänyt vastuunsa tietoturvasta käytäntöpakettiemme kautta. Heidän erityisten käytäntöjensä ja hallintatoimintojensa ansiosta Käytäntöpaketit vakuuttavat toimittajat että heidän henkilöstönsä on lukenut ja sitoutunut noudattamaan organisaation politiikkaa ja valvontaa.

Saattaa olla laajempi vaatimus yhdenmukaistamiseksi liitteen A.5.8 kanssa Tietoturva projektinhallinnassa, riippuen muutoksen luonteesta (esim. enemmän olennaisia ​​muutoksia varten).

ISO 27001:n käyttöönotto on helpompaa vaiheittaisella tarkistuslistallamme, joka opastaa sinua ISMS-laajuuden määrittämisestä riskien tunnistamiseen ja valvontatoimien toteuttamiseen.

ISMS.online tarjoaa seuraavat edut:

  • Alustan avulla voit luoda ISO 27001 -standardin mukainen ISMS vaatimukset.

  • Käyttäjät voivat suorittaa tehtäviä ja toimittaa todisteita standardin noudattamisesta.

  • Vastuun delegointi ja vaatimustenmukaisuuden seuranta on helppoa.

  • Kokonaisvaltaisen tuloksena riskinarviointi työkalusarja, prosessi on nopea ja aikaa säästävä.

  • Omistautunut konsulttitiimi voi auttaa sinua koko vaatimustenmukaisuusprosessin ajan.

Ota meihin yhteyttä jo tänään aikataulun esittely.

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Yritykset luottavat kaikkialla
  • Yksinkertainen ja helppokäyttöinen
  • Suunniteltu ISO 27001 -menestykseen
  • Säästät aikaa ja rahaa
Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja