ISO 27001 A.8.30 Ulkoistetun kehityksen tarkistuslista
A.8.30 Ulkoistettu kehitys on ISO/IEC 27001:2022:n kriittinen ohjausobjekti, joka on suunniteltu hallitsemaan ja vähentämään tietoturvariskejä, jotka liittyvät ohjelmistokehitystoimintojen ulkoistamiseen kolmansille osapuolille.
Organisaatioiden turvautuessa yhä enemmän ulkopuolisiin kehittäjiin ohjelmistotarpeidensa täyttämisessä tietoturvaan, immateriaalioikeuksiin sekä lakisääteisten ja säännösten vaatimusten noudattamiseen liittyvät riskit korostuvat.
A.8.30-valvonta varmistaa, että organisaatiot säilyttävät tietojärjestelmiensä eheyden, luottamuksellisuuden ja käytettävyyden myös silloin, kun kehitystyö on ulkoistettu. Tämä kattava ohjaus kattaa ulkoistetun kehityksen koko elinkaaren toimittajan valinnasta ja sopimusten hallinnasta seurantaan, testaukseen ja vaatimustenmukaisuuteen.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Miksi sinun pitäisi noudattaa liitettä A.8.30? Keskeiset näkökohdat ja yleiset haasteet
1. Toimittajan valinta ja hallinta:
haasteet: Oikean toimittajan valinta on kriittinen, mutta monimutkainen. Toimittajat voivat vaihdella merkittävästi tietoturvakysymyksensä suhteen, ja globaaliin ulkoistamiseen liittyy usein erilaisia lainkäyttöalueita ja vaihtelevia sääntelyvaatimuksia. Tämän monimuotoisuuden vuoksi on haastavaa varmistaa yhdenmukaiset turvallisuusstandardit kaikissa ulkoistetuissa projekteissa.
Ratkaisu: Suorita perusteellinen toimittajan valintaprosessi. Arvioi toimittajia niiden suojauskäytäntöjen, aiemman suorituskyvyn ja kykynsä täyttää erityiset tietoturvavaatimukset perusteella. Ota huomioon maantieteelliset ja lainkäyttöalueet kattavan vaatimustenmukaisuuden varmistamiseksi. Hallitse ja seuraa jatkuvasti toimittajia varmistaaksesi, että he noudattavat sovittuja turvallisuusstandardeja.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 6.1.3 (Riskien käsittely) ja lausekkeessa 8.1 (toiminnan suunnittelu ja valvonta) määrätään ulkoistettujen toimintojen turvavalvonnan luomisesta ja seurannasta.
2. Suojausvaatimukset:
haasteet: Turvallisuusvaatimusten määrittäminen ja täytäntöönpano sopimuksissa voi olla monimutkaista. Toimittajat voivat vastustaa tiukkoja vaatimuksia kustannusten tai kyvyttömyyden vuoksi, mikä voi johtaa mahdollisiin tietoturvapuutteisiin. Näiden vaatimusten johdonmukaisen soveltamisen varmistaminen useiden toimittajien kesken vaikeuttaa tehtävää entisestään.
Ratkaisu: Määritä sopimuksissa selkeästi turvallisuusvaatimukset, mukaan lukien suojatut koodauskäytännöt, haavoittuvuuksien hallinta ja tietosuojatoimenpiteet. Varmista, että nämä vaatimukset vastaavat organisaatiosi tietoturva-arkkitehtuuria. Käytä yhteistyöhön perustuvaa lähestymistapaa auttamaan toimittajia ymmärtämään näiden toimenpiteiden tärkeyttä ja tukemaan niitä vaatimustenmukaisuuden saavuttamisessa.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 7.5 (Dokumentoitu tieto) ja Kohdassa 8.2 (Tietojärjestelmien turvallisuus) korostetaan selkeästi dokumentoitujen turvallisuusvaatimusten ja tietojen suojaamisen merkitystä.
3. Seuranta ja tarkistus:
haasteet: Toimittajien toimintojen jatkuva seuranta vaatimustenmukaisuuden varmistamiseksi voi olla resurssivaltaista ja monimutkaista. Oikea-aikaisten ja läpinäkyvien raporttien saaminen toimittajilta on usein haastavaa, mikä vaikeuttaa turvavalvonnan tehokkuuden arvioimista.
Ratkaisu: Toteuttaa säännöllistä ja järjestelmällistä ulkoistettujen kehitystoimintojen seurantaa. Ajoita turvatarkastuksia, auditointeja ja arviointeja tunnistaaksesi poikkeamat sovituista standardeista. Käytä mahdollisuuksien mukaan automaattisia työkaluja vähentääksesi resurssitaakkaa ja varmistaaksesi kattavan kattavuuden.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 9.1 (seuranta, mittaaminen, analyysi ja arviointi) ja lausekkeessa 9.2 (sisäinen tarkastus) vaaditaan, että organisaatiot valvovat ja arvioivat valvonnan tehokkuutta, mukaan lukien ulkoistettujen toimintojen tehokkuutta.
4. Kulunvalvonta:
haasteet: Toimittajien pääsyn hallinta arkaluonteisiin järjestelmiin ja tietoihin on kriittistä, mutta haastavaa. CISO:n on varmistettava, että pääsyä rajoitetaan asianmukaisesti, valvotaan ja peruutetaan tarvittaessa. Turvallisuustarpeet ja toiminnan tehokkuus tasapainotetaan.
Ratkaisu: Ota käyttöön tiukat pääsynvalvontatoimenpiteet varmistaaksesi, että toimittajilla on pääsy vain tarpeellisiin järjestelmiin ja tietoihin. Ota käyttöön roolipohjainen kulunvalvonta ja vähiten etuoikeusperiaatteet. Tarkista ja säädä käyttöoikeuksia säännöllisesti ja varmista, että käyttöoikeudet peruutetaan välittömästi, kun kehitystyö on saatu päätökseen tai jos sopimusta on rikottu.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 9.4 (Pääsynvalvonta) keskitytään varmistamaan, että pääsyä tietoihin valvotaan ja että se perustuu liiketoiminnan tarpeisiin.
5. Turvatestaus:
haasteet: Voi olla vaikeaa varmistaa, että ulkoistetuille ohjelmistoille tehdään tiukka tietoturvatestaus ennen käyttöönottoa. Toimittajilta saattaa puuttua resursseja tai asiantuntemusta kattavaan testaukseen, ja sisäisten ja ulkoisten tiimien välinen koordinointi voi olla monimutkaista.
Ratkaisu: Vaadi, että kaikille ulkoistetuille ohjelmistoille tehdään perusteellinen tietoturvatestaus, mukaan lukien kooditarkistukset, penetraatiotestaukset ja haavoittuvuusarvioinnit, ennen kuin ne integroidaan järjestelmiisi. Tee yhteistyötä toimittajien kanssa parantaaksesi heidän testauskykyään ja varmistaaksesi, että he ymmärtävät näiden testien tärkeyden.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 8.3 (Kehitys ja käyttöönotto) vaaditaan, että turvatoimenpiteitä, mukaan lukien testaus, sovelletaan koko kehitystyön elinkaaren ajan.
6. Vaatimustenmukaisuus ja lailliset vaatimukset:
haasteet: Navigointi monimutkaisessa laki- ja sääntelyympäristössä, etenkin ulkoistamalla kehitystyötä eri lainkäyttöalueilla toimiville toimittajille, voi olla haastavaa. CISO:n on varmistettava, että kaikki ulkoistetut toiminnot ovat asiaankuuluvien laki-, säädös- ja sopimusvelvoitteiden mukaisia toiminnan tehokkuutta vaarantamatta.
Ratkaisu: Ylläpidä vankkaa vaatimustenmukaisuuskehystä, joka seuraa kaikkia asiaankuuluvia laki- ja säädösvaatimuksia. Varmista, että toimittajat ovat täysin tietoisia näistä velvoitteista ja valvovat niiden noudattamista koko kehitysprosessin ajan. Tarkista ja päivitä sopimuksia ja käytäntöjä säännöllisesti vastaamaan sääntelyympäristön muutoksia.
Asiaan liittyvät ISO 27001 -lausekkeet: Kohdassa 4.2 (Kiinnostunneiden osapuolten tarpeiden ja odotusten ymmärtäminen) ja lausekkeessa 6.1.3 (Riskikäsittely) korostetaan lakien, säännösten ja sopimusten vaatimusten noudattamisen tärkeyttä.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISMS.online-ominaisuudet A.8.30:n noudattamisen osoittamiseen
A.8.30:n noudattamisen osoittamiseksi tehokkaasti organisaatiot voivat hyödyntää seuraavia ISMS.online-ominaisuuksia:
1. Toimittajan hallinta:
- Toimittajatietokanta: Säilytä kattavat tiedot kaikista kolmannen osapuolen toimittajista, mukaan lukien niiden suojauskäytännöt, vaatimustenmukaisuussertifikaatit ja aikaisempi suorituskyky. Tämä auttaa sekä myyjien valinnassa että jatkuvien suhteiden hallinnassa.
- Arviointimallit: Käytä ISMS.onlinen muokattavia arviointimalleja arvioidaksesi ja valvoaksesi, että toimittajat noudattavat turvallisuusvaatimuksia ja varmistavat, että kaikki tarvittavat hallintalaitteet ovat käytössä.
2. Sopimusten hallinta:
- Sopimusmallit: Kehitä ja hallitse sopimuksia, joissa määritellään selkeästi ulkoistetun kehityksen turvallisuusvaatimukset. Varmista johdonmukaisuus ja perusteellisuus kaikissa toimittajasopimuksissa.
- Allekirjoituksen seuranta: Seuraa sopimusten ja sopimusten allekirjoitusprosessia toimittajien kanssa ja varmista, että kaikki turvallisuusehdot hyväksytään virallisesti ennen työn aloittamista.
3. Tarkastuksen hallinta:
- Tarkastusmallit: Suunnittele ja suorita auditointeja käyttämällä standardoituja malleja arvioidaksesi toimittajan turvallisuusvaatimusten noudattamista, sopimusten noudattamista ja turvavalvonnan tehokkuutta.
- Korjaavat toimenpiteet: Dokumentoi ja seuraa mahdollisia korjaavia toimenpiteitä, joita tarvitaan vastauksena tarkastushavaintoihin, mikä varmistaa nopean ja tehokkaan ratkaisun.
4. Käytäntöjen hallinta:
- Käytäntömallit: Luo ja ylläpidä ulkoistettuun kehittämiseen liittyviä käytäntöjä, mukaan lukien toimittajien pääsynhallinta, tietoturvatestaus ja tapaturmaraportointi. Kerro näistä käytännöistä kaikille asianomaisille sidosryhmille.
- Version hallinta: Seuraa käytäntöjen ja sopimusten muutoksia ja varmista, että uusimmat versiot ovat käytössä ja että päivitykset välitetään kaikille osapuolille.
5. Tapahtumanhallinta:
- Tapahtumaseuranta: Tarkkaile ja hallitse ulkoistettuun kehittämiseen liittyviä tietoturvahäiriöitä, dokumentoi tapauksia, koordinoi vastauksia ja seuraa ratkaisutoimia ennakoivan tapausten hallinnan osoittamiseksi.
6. Dokumentaatio:
- Asiakirjojen hallinta: Keskitä kaikki ulkoistettuun kehittämiseen liittyvä dokumentaatio, mukaan lukien sopimukset, tarkastusraportit ja vaatimustenmukaisuustodistus. Varmista helppo pääsy ja haku auditointien tai johdon katselmusten aikana.
- Yhteistyötyökalut: Helpottaa viestintää ja yhteistyötä sisäisten tiimien ja toimittajien välillä, mikä varmistaa turvallisuusvaatimusten ja odotusten mukaisuuden.
Yksityiskohtainen liite A.8.30 Vaatimustenmukaisuuden tarkistuslista
Käytä seuraavaa yksityiskohtaista tarkistuslistaa varmistaaksesi A.8.30:n täydellisen noudattamisen:
Toimittajan valinta ja hallinta:
- Arvioi toimittajan suojauskäytännöt: Tarkista ja arvioi mahdollisten toimittajien suojauskäytännöt varmistaaksesi, että ne ovat yhdenmukaisia organisaation standardien kanssa.
- Arvioi toimittajan vaatimustenmukaisuushistoria: Tarkista toimittajan historia asiaankuuluvien turvallisuusstandardien ja määräysten noudattamisesta.
- Dokumentoi toimittajan valintakriteerit: dokumentoi selkeästi kriteerit, joita käytetään toimittajien valintaan perustuen heidän kykyinsä täyttää tietoturvavaatimukset.
- Ylläpidä ajan tasalla olevaa toimittajatietokantaa: Päivitä säännöllisesti toimittajatietokanta uusilla tiedoilla toimittajan tietoturvaominaisuuksista ja vaatimustenmukaisuussertifikaateista.
Turvallisuusvaatimukset:
- Määritä turvallisuusvaatimukset sopimuksissa: Määritä selkeästi kaikki turvallisuusvaatimukset, mukaan lukien turvalliset koodauskäytännöt ja tietosuojatoimenpiteet, toimittajien kanssa tehtävissä sopimuksissa.
- Varmista toimittajan vahvistus: Varmista, että toimittajat ovat hyväksyneet määritellyt suojausvaatimukset ja hyväksyneet ne.
- Käytä sopimusmalleja: Käytä ISMS.onlinen sopimusmalleja varmistaaksesi sopimusehtojen johdonmukaisuuden ja täydellisyyden.
- Seuraa sopimusten allekirjoituksia: Varmista, että kaikki asiaankuuluvat osapuolet ovat allekirjoittaneet sopimukset ennen kehitystoiminnan aloittamista.
Valvonta ja tarkistus:
- Suunnittele säännölliset tarkastukset: Suunnittele ja ajoita ulkoistettujen kehitystoimintojen säännölliset auditoinnit turvallisuusvaatimusten noudattamisen valvomiseksi.
- Suorita vaatimustenmukaisuustarkastuksia: Suorita tarkastuksia käyttämällä ISMS.onlinen tarkastusmalleja arvioidaksesi toimittajan turvallisuuskäytäntöjen ja sopimusehtojen noudattamista.
- Dokumentoi tarkastuksen havainnot: Kirjaa kaikki tarkastuksen havainnot, mukaan lukien mahdolliset noudattamatta jättämiset, myöhempää tarvetta varten ja korjaavia toimia varten.
- Korjaavien toimenpiteiden toteuttaminen: Seuraa ja dokumentoi korjaustoimenpiteet, jotka on toteutettu tarkastuksen havaintojen perusteella, ja varmista, että kaikki ongelmat ratkaistaan ajoissa.
Kulunvalvonta:
- Rajoita toimittajan pääsyä: Rajoita toimittajan pääsyä järjestelmiin ja tietoihin vähiten etuoikeuksien periaatteen mukaisesti.
- Tarkista käyttöoikeudet säännöllisesti: Tarkista ja säädä käyttöoikeuksia ajoittain varmistaaksesi, että ne pysyvät asianmukaisina kehitystoiminnan edetessä.
- Peruuta käyttöoikeus projektin päätyttyä: Peruuta välittömästi toimittajan käyttöoikeudet järjestelmiin ja tietoihin ulkoistetun kehitystyön päätyttyä tai sopimusrikkomuksesta.
- Dokumentoi pääsynvalvontakäytännöt: Säilytä yksityiskohtaista dokumentaatiota kulunvalvontakäytännöistä ja -menettelyistä, mikä varmistaa helpon pääsyn tarkastuksiin ja tarkastuksiin.
Suojaustestaus:
- Määritä testausvaatimukset: Määritä selkeästi tietoturvatestausvaatimukset, jotka toimittajien on täytettävä ennen ohjelmiston integrointia.
- Suunnittele tietoturvatestaus: Suunnittele ja ajoita tietoturvatestaustoimintaa, mukaan lukien kooditarkistukset ja haavoittuvuusarvioinnit.
- Suorita kattava testaus: Varmista, että kaikille ulkoistetuille ohjelmistoille tehdään perusteellinen tietoturvatestaus, mukaan lukien läpäisytestaus, ennen käyttöönottoa.
- Dokumentoi testitulokset ja -toimet: Tallenna kaikkien tietoturvatestien tulokset ja kaikki havaittujen haavoittuvuuksien johdosta tehdyt toimet.
Vaatimustenmukaisuus ja lailliset vaatimukset:
- Valvo lakien ja säädösten noudattamista: Varmista, että ulkoistetut kehitystoiminnot ovat asiaankuuluvien lakien ja säädösten mukaisia.
- Seuraa toimittajan vaatimustenmukaisuutta: Käytä ISMS.onlinen vaatimustenmukaisuuden seurantaominaisuuksia valvoaksesi toimittajan lakien, säädösten ja sopimusvelvoitteiden noudattamista.
- Säilytä vaatimustenmukaisuusdokumentaatio: Säilytä kaikki vaatimustenmukaisuuteen liittyvät asiakirjat keskeiseen paikkaan, jotta ne ovat helposti saatavilla ja haettavissa tarkastusten tai viranomaistarkastusten aikana.
- Päivitä vaatimustenmukaisuusvaatimukset: Tarkista ja päivitä säännöllisesti sopimusten ja käytäntöjen vaatimustenmukaisuusvaatimukset vastaamaan sääntelyympäristön muutoksia.
Noudattamalla toimitettua yksityiskohtaista vaatimustenmukaisuuden tarkistuslistaa organisaatiot voivat käsitellä järjestelmällisesti jokaisen kohdan A.8.30 näkökohtaa ja varmistaa kattavan ja tehokkaan lähestymistavan ulkoistettujen kehitysriskien hallintaan.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Jokainen liitteen A tarkistuslistataulukko
ISO 27001 Liite A.5 Valvontatarkistuslistataulukko
ISO 27001 Liite A.6 Valvontatarkistuslistataulukko
| ISO 27001 -valvontanumero | ISO 27001 -valvonnan tarkistuslista |
|---|---|
| Liite A.6.1 | Seulontatarkistuslista |
| Liite A.6.2 | Työehtojen tarkistuslista |
| Liite A.6.3 | Tietoturvatietoisuuden, koulutuksen ja koulutuksen tarkistuslista |
| Liite A.6.4 | Kurinpitoprosessin tarkistuslista |
| Liite A.6.5 | Työsuhteen päättymisen tai muutoksen jälkeiset vastuut - tarkistuslista |
| Liite A.6.6 | Luottamuksellisuuden tai salassapitosopimusten tarkistuslista |
| Liite A.6.7 | Etätyöskentelyn tarkistuslista |
| Liite A.6.8 | Tietoturvatapahtumaraportoinnin tarkistuslista |
ISO 27001 Liite A.7 Valvontatarkistuslistataulukko
| ISO 27001 -valvontanumero | ISO 27001 -valvonnan tarkistuslista |
|---|---|
| Liite A.7.1 | Fyysisen turvallisuuden kehän tarkistuslista |
| Liite A.7.2 | Fyysisen sisäänpääsyn tarkistuslista |
| Liite A.7.3 | Toimistojen, huoneiden ja tilojen turvallisuuden tarkistuslista |
| Liite A.7.4 | Fyysisen turvallisuuden valvonnan tarkistuslista |
| Liite A.7.5 | Fyysisiltä ja ympäristöuhkilta suojaamisen tarkistuslista |
| Liite A.7.6 | Työskentely suojatuilla alueilla tarkistuslista |
| Liite A.7.7 | Tyhjennä työpöytä ja tyhjennä näyttö |
| Liite A.7.8 | Varusteiden sijoittamisen ja suojauksen tarkistuslista |
| Liite A.7.9 | Omaisuuden turvallisuuden tarkistuslista muualla kuin toimitiloissa |
| Liite A.7.10 | Tallennusvälineiden tarkistuslista |
| Liite A.7.11 | Tukien apuohjelmien tarkistuslista |
| Liite A.7.12 | Kaapeloinnin suojauksen tarkistuslista |
| Liite A.7.13 | Laitteen huollon tarkistuslista |
| Liite A.7.14 | Laitteiden turvallisen hävittämisen tai uudelleenkäytön tarkistuslista |
ISO 27001 Liite A.8 Valvontatarkistuslistataulukko
Kuinka ISMS.online auttaa A.8.30:ssä
Ymmärrämme ISMS.onlinessa ulkoistetun kehitystyön hallinnan monimutkaisuudet ja haasteet noudattaen samalla ISO/IEC 27001:2022 -standardia.
Alustamme on suunniteltu yksinkertaistamaan näitä prosesseja tarjoamalla sinulle työkalut ja ominaisuudet, joita tarvitaan vankan tietoturvan, tehokkaan toimittajahallinnan ja saumattoman vaatimustenmukaisuuden varmistamiseksi.
Hallitse ulkoistettua kehitystäsi ISMS.onlinen avulla. Kattava alustamme tarjoaa sinulle kaiken, mitä tarvitset riskien vähentämiseen, toimittajan suorituskyvyn seuraamiseen ja tietojärjestelmien eheyden ylläpitämiseen.
Varaa demo tänään nähdäksesi, kuinka ISMS.online voi auttaa organisaatiotasi saavuttamaan ja ylläpitämään vaatimustenmukaisuutta A.8.30 Ulkoistettu kehitys ja sen jälkeen.
Hyppää aiheeseen
