- sien ISO 27002:2022 Beheer 5.19 vir meer inligting.
- sien ISO 27001:2013 Bylae A 15.1.1 vir meer inligting.
Versterking van verskaffersekuriteit: 'n In-diepte blik op ISO 27001 Bylae A 5.19
ISO 27001:2022 Bylae A Beheer 5.19 gaan oor inligting-sekuriteit in verskafferverhoudings. Die doelwit hier is beskerming van die organisasie se waardevolle bates wat toeganklik is vir of geraak word deur verskaffers.
Ons beveel ook aan dat jy ook ander sleutelverhoudings hier oorweeg, byvoorbeeld vennote as hulle nie verskaffers is nie, maar ook 'n impak op jou bates het wat dalk nie bloot deur 'n kontrak alleen gedek word nie.
Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS) veral as jy ISO 27001-sertifisering wil behaal. Kom ons verstaan die vereistes en wat dit beteken nou in 'n bietjie meer diepte.
Verskaffers word om twee hoofredes gebruik; een: jy wil hê hulle moet werk doen wat jy gekies het om nie self intern te doen nie, of; twee: jy kan nie maklik die werk so goed of so koste-effektief as die verskaffers doen nie.
Daar is baie belangrike dinge om in ag te neem in benadering tot verskafferkeuse en bestuur, maar een grootte pas nie almal nie en sommige verskaffers sal belangriker wees as ander. As sodanig moet jou kontroles en beleide dit ook weerspieël en a segmentering van die voorsieningsketting is sinvol; ons bepleit vier kategorieë verskaffers gebaseer op die waarde en risiko in die verhouding. Dit wissel van diegene wat sakekrities is tot ander verskaffers wat geen wesenlike impak op jou organisasie het nie.
Doel van ISO 27001:2022 Bylae A 5.19
ISO 27001:2002 Bylae A Beheer 5.19 handel oor 'n organisasie se verpligting om te verseker dat, wanneer verskafferkant produkte en dienste (insluitend wolkdiensverskaffers) gebruik word, voldoende oorweging gegee word aan die vlak van risiko inherent aan die gebruik van eksterne stelsels, en die gevolglike impak wat op hul eie inligtingsekuriteitsnakoming kan hê.
'n Goeie beleid beskryf die verskaffersegmentering, seleksie, bestuur, uitgang, hoe inligtingsbates rondom verskaffers word beheer om die gepaardgaande risiko's te versag, maar tog in staat te stel om die besigheidsdoelwitte en -doelwitte te bereik. Slim organisasies sal hul inligtingsekuriteitsbeleid vir verskaffers in 'n breër verhoudingsraamwerk en vermy om net op sekuriteit per se te konsentreer, en kyk ook na die ander aspekte.
Bylae A Beheer 5.19 is 'n voorkomende beheer wat risiko wysig deur prosedures te handhaaf wat inherente sekuriteitsrisiko's aanspreek wat verband hou met die gebruik van produkte en dienste wat deur derde partye verskaf word.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Wie het eienaarskap van aanhangsel A 5.19?
Terwyl beheer ISO 27001 Bylae A 5.19 bevat baie leiding oor die gebruik van IKT-dienste, die breër omvang van die beheer sluit baie ander aspekte van 'n organisasie se verhouding met sy verskaffersbasis in, insluitend verskaffertipes, logistiek, nutsdienste, finansiële dienste en infrastruktuurkomponente).
As sodanig behoort eienaarskap van Bylae A Beheer 5.19 by 'n lid van senior bestuur te berus wat toesig hou oor 'n organisasie se kommersiële bedrywighede, en 'n direkte verhouding met 'n organisasie se verskaffers handhaaf, soos 'n Chief Operating Officer.
Algemene riglyne oor ISO 27001:2022 Bylae A 5.19
Voldoening aan Bylae A Beheer 5.19 behels die nakoming van wat bekend staan as a 'onderwerpspesifieke' benadering tot inligtingsekuriteit in verskafferverhoudings.
'n Organisasie wil dalk hê dat verskaffers toegang tot sekere hoëwaarde-inligtingsbates moet verkry en daartoe bydra (bv. sagtewarekode-ontwikkeling, rekeningkundige betaalstaatinligting). Hulle sal dus duidelike ooreenkomste moet hê van presies watter toegang hulle hulle toelaat, sodat hulle die sekuriteit rondom dit kan beheer.
Dit is veral belangrik met al hoe meer inligtingsbestuur, verwerking en tegnologiedienste wat uitgekontrakteer word. Dit beteken om 'n plek te hê om te wys dat die bestuur van die verhouding plaasvind; kontrakte, kontakte, insidente, verhoudingsaktiwiteit en risiko bestuur ens. Waar die verskaffer ook intiem betrokke is by die organisasie, maar dalk nie sy eie gesertifiseerde ISMS het nie, dan is dit ook die moeite werd om te verseker dat die verskaffer se personeel opgevoed en bewus is van sekuriteit, opgelei is oor jou beleide, ens.
Onderwerpspesifieke benaderings moedig organisasies aan om verskaffer-verwante beleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene verskafferbestuursbeleid wat van toepassing is op enige en alle derdeparty-verhoudings oor 'n organisasie se kommersiële bedrywighede.
Dit is belangrik om daarop te let dat ISO 27001 Bylae A Beheer 5.19 die organisasie vra om beleide en prosedures te implementeer wat nie net die organisasie se gebruik van verskafferhulpbronne en wolkplatforms beheer nie, maar ook die basis vorm van hoe hulle van hul verskaffers verwag om hulself te gedra voor en regdeur die termyn van die kommersiële verhouding.
As sodanig kan Bylae A Beheer 5.19 beskou word as die noodsaaklike kwalifiserende dokument wat bepaal hoe inligtingsekuriteitsbestuur in die loop van 'n verskafferkontrak hanteer word.
ISO 27001 Bylae A Beheer 5.19 bevat 14 hoof riglyne waaraan voldoen moet word:
1) Handhaaf 'n akkurate rekord van tipes verskaffers (bv. finansiële dienste, IKT-hardeware, telefonie) wat die potensiaal het om inligtingsekuriteitsintegriteit te beïnvloed.
Compliance – Stel 'n lys op van enige en alle verskaffers waarmee jou organisasie werk, kategoriseer hulle volgens hul besigheidsfunksie en voeg kategorieë by genoemde verskaffertipes soos en wanneer nodig.
2) Verstaan hoe om verskaffers te veearts, gebaseer op die vlak van risiko inherent aan hul tipe verskaffer.
Compliance – Verskillende tipes verskaffers sal verskillende omsigtigheidsondersoeke vereis. Oorweeg dit om keuringsmetodes op 'n verskaffer-vir-verskaffer-grondslag te gebruik (bv. bedryfsverwysings, finansiële state, ter plaatse assesserings, sektorspesifieke sertifiserings soos Microsoft Vennootskappe).
3) Identifiseer verskaffers wat voorafbestaande inligtingsekuriteitskontroles in plek het.
Compliance – Vra om afskrifte van verskaffers se relevante inligtingsekuriteitbestuursprosedures te sien om die risiko vir jou eie organisasie te evalueer. As hulle nie het nie, is dit nie 'n goeie teken nie.
4) Identifiseer en definieer die spesifieke areas van jou organisasie se IKT-infrastruktuur waartoe jou verskaffers óf toegang sal kan kry, moniteer óf self sal kan gebruik.
Compliance – Dit is belangrik om uit die staanspoor presies vas te stel hoe jou verskaffers met jou IKT-bates omgaan – hetsy fisies of virtueel – en watter vlakke van toegang hulle ingevolge hul kontraktuele verpligtinge toegestaan word.
5) Definieer hoe die verskaffers se eie IKT-infrastruktuur 'n impak kan hê op jou eie data, en dié van jou kliënte.
Compliance – 'n Organisasie se eerste verpligting is aan sy eie stel inligtingsekuriteitstandaarde. Verskaffers-IKT-bates moet hersien word in ooreenstemming met hul potensiaal om optyd en integriteit regdeur jou organisasie te beïnvloed.
6) Identifiseer en bestuur die verskillende inligtingsekuriteitsrisiko's verbonde aan:
a. Verskaffergebruik van vertroulike inligting of beskermde bates (bv. beperk tot kwaadwillige gebruik en/of kriminele opset).
b. Foutiewe verskaffer hardeware of wanfunksionele sagteware platform wat verband hou met op die perseel of wolk gebaseerde dienste.
Compliance – Organisasies moet voortdurend bedag wees op die inligtingsekuriteitsrisiko’s wat met katastrofiese gebeure geassosieer word, soos onheilspellende verskaffer-kant gebruikeraktiwiteit of groot onvoorsiene sagteware-voorvalle, en die impak daarvan op organisatoriese inligtingsekuriteit.
7) Moniteer voldoening aan inligtingsekuriteit op 'n onderwerpspesifieke of verskaffertipe basis.
Compliance – Organisasie se behoefte om die inligting-sekuriteit implikasies inherent binne elke tipe verskaffer, en pas hul moniteringsaktiwiteit aan om verskillende vlakke van risiko te akkommodeer.
8) Beperk die hoeveelheid skade en/of ontwrigting wat veroorsaak word deur nie-nakoming.
Compliance – Verskafferaktiwiteit moet op 'n toepaslike wyse en in verskillende mate gemonitor word in ooreenstemming met die risikovlak daarvan. Waar nie-nakoming ontdek word, hetsy proaktief of reaktief, moet onmiddellik opgetree word.
9) Handhaaf 'n robuuste voorvalbestuur prosedure wat 'n redelike hoeveelheid gebeurlikhede aanspreek.
Compliance – Organisasies moet presies verstaan hoe om te reageer wanneer hulle te staan kom voor 'n wye reeks gebeurtenisse wat verband hou met die verskaffing van derdepartyprodukte en -dienste, en regstellende aksies uiteensit wat beide die verskaffer en die organisasie insluit.
10) Stel maatreëls in wat voorsiening maak vir die beskikbaarheid en verwerking van die verskaffer se inligting, waar dit ook al gebruik word, om sodoende die integriteit van die organisasie se eie inligting te verseker.
Compliance – Stappe moet geneem word om te verseker dat verskafferstelsels en data hanteer word op 'n manier wat nie die beskikbaarheid en sekuriteit van die organisasie se eie stelsels en inligting in gevaar stel nie.
11) Stel 'n deeglike opleidingsplan op wat leiding bied oor hoe personeel met verskafferspersoneel en inligting moet omgaan op 'n verskaffer-vir-verskaffer-basis, of op 'n tipe-vir-tipe basis.
Compliance – Opleiding behoort die volle spektrum van bestuur tussen 'n organisasie en sy verskaffers te dek, insluitende betrokkenheid, granulêre risikobestuurskontroles en onderwerpspesifieke prosedures.
12) Verstaan en bestuur die vlak van risiko wat inherent is wanneer inligting en fisiese en virtuele bates tussen die organisasie en hul verskaffers oorgedra word.
Compliance – Organisasies moet elke stadium van die oordragproses uitbeeld en personeel opvoed oor die risiko's verbonde aan die verskuiwing van bates en inligting van een bron na 'n ander.
13) Verseker dat verskafferverhoudings beëindig word met inligtingsekuriteit in gedagte, insluitend die verwydering van toegangsregte en die vermoë om toegang tot organisatoriese inligting te verkry.
Compliance – Jou IKT-spanne moet 'n duidelike begrip hê van hoe om 'n verskaffer se toegang tot inligting te herroep, insluitend:
- Granulêre ontleding van enige geassosieerde domein en/of wolkgebaseerde rekeninge.
- Verspreiding van intellektuele eiendom.
- Die oordrag van inligting tussen verskaffers, of terug na jou organisasie.
- Rekordbestuur.
- Die terugbesorging van bates aan hul oorspronklike eienaar.
- Voldoende wegdoening van fisiese en virtuele bates, insluitend inligting.
- Nakoming van enige kontraktuele vereistes, insluitend vertroulikheidsklousules en/of eksterne ooreenkomste.
14) Skets presies hoe jy van die verskaffer verwag om hulself op te tree ten opsigte van fisiese en virtuele sekuriteitsmaatreëls.
Compliance – Organisasies moet duidelike verwagtinge stel van die begin af van enige kommersiële verhouding, wat spesifiseer hoe verskaffer-kant personeel verwag word om hulself op te tree wanneer hulle met jou personeel of enige relevante bates interaksie het.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Aanvullende leiding oor aanhangsel A 5.19
ISO erken dat dit nie altyd moontlik is om 'n volledige stel beleide op 'n verskaffer af te dwing wat aan elke vereiste van die bogenoemde lys voldoen soos ISO 27001 Bylae A Beheer 5.19 beoog nie, veral wanneer dit met rigiede openbare sektor organisasies te doen het.
Dit gesê, Bylae A Beheer 5.19 stel dit duidelik dat organisasies bogenoemde riglyne moet gebruik wanneer hulle verhoudings met verskaffers vorm, en nie-nakoming op 'n geval-tot-geval basis moet oorweeg.
Waar volle nakoming nie haalbaar is nie, gee Bylae A Beheer 5.19 organisasies ruimte deur “kompenserende beheermaatreëls” aan te beveel wat voldoende vlakke van risikobestuur bereik, gebaseer op 'n organisasie se unieke omstandighede.
Wat is die veranderinge vanaf ISO 27001:2013?
ISO 27001:2022 Bylae A 5.19 vervang ISO 27001:2013 Bylae A 15.1.1 (Inligtingsekuriteitsbeleid vir verskafferverhoudings).
ISO 27001:2022 Bylae A 5.19 voldoen breedweg aan dieselfde onderliggende konsepte wat in die 2013-kontrole vervat is, maar bevat verskeie bykomende riglyne wat óf uit ISO 27001:2013 Bylae A 5.1.1 weggelaat word, óf ten minste nie gedek word in soveel detail, insluitend:
- Die keuring van verskaffers gebaseer op hul tipe verskaffer en risikovlak.
- Die behoefte om die integriteit van verskafferinligting te verseker om hul eie data te beveilig, en besigheidskontinuïteit te verseker.
- Die verskillende stappe wat vereis word wanneer 'n verskafferverhouding beëindig word, insluitend die uitskakeling van toegangsregte, IP-verspreiding, kontraktuele ooreenkomste, ens.
ISO 27001:2022 Bylae A 5.19 is ook eksplisiet in die erkenning van die hoogs veranderlike aard van verskafferverhoudings (gebaseer op tipe, sektor en risikovlak), en gee organisasies 'n sekere mate van speling wanneer hulle die moontlikheid van nie-nakoming van enige gegewe riglyne oorweeg punt, gebaseer op die aard van die verhouding (sien 'Aanvullende leiding' hierbo).
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 vind Aanhangsel A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Hoe help ISMS.online met verskafferverhoudings?
ISMS.online het hierdie beheerdoelwit baie maklik gemaak deur bewyse te verskaf dat jou verhoudings noukeurig gekies is, goed bestuur word in die lewe, insluitend gemonitor en hersien. Ons maklik-om-te gebruik rekeninge verhoudings (bv. verskaffer) area doen presies dit. Die samewerkende projekte werkruimtes is ideaal vir belangrike verskaffers aan boord, gesamentlike inisiatiewe, off-boarding ens wat die ouditeur ook met gemak kan bekyk wanneer nodig.
ISMS.online het ook hierdie beheerdoelwit vir jou organisasie makliker gemaak deur jou in staat te stel om bewyse te verskaf dat die verskaffer formeel daartoe verbind het om aan die vereistes te voldoen en sy verantwoordelikhede vir inligtingsekuriteit deur ons Beleidspakkette verstaan het. Beleidspakkette is ideaal waar die organisasie spesifieke beleide en beheermaatreëls het wat dit wil hê dat verskafferspersoneel moet volg en vertroue neem dat hulle dit gelees het en daartoe verbind is om te voldoen – verder as die breër ooreenkomste tussen kliënt en verskaffer.
Afhangende van die aard van die verandering (dws vir meer wesenlike veranderinge) kan daar 'n breër vereiste wees om in lyn te kom met A.6.1.5 inligtingsekuriteit in projekbestuur.
Deur ISMS.online te gebruik, kan jy:
- Implementeer vinnig 'n inligtingsekuriteitbestuurstelsel (ISMS).
- Bestuur die dokumentasie van jou ISMS maklik.
- Stroomlyn voldoening aan alle relevante standaarde.
- Bestuur alle aspekte van inligtingsekuriteit, van risikobestuur tot sekuriteitsbewusmakingsopleiding.
- Kommunikeer effektief regdeur jou organisasie deur ons ingeboude kommunikasiefunksies te gebruik.
Kontak vandag nog om bespreek 'n demo.
