Wat is die doel van ISO 27001:2022 Bylae A 5.22?
Bylae A beheer 5.22 het ten doel om te verseker dat 'n ooreengekome vlak van inligtingsekuriteit en dienslewering gehandhaaf word. Dit is in ooreenstemming met verskafferskontrakte rakende verskaffersdiensontwikkeling.
Die dienste van verskaffers word gemonitor en hersien
In Bylae A 5.22 word organisasies beskryf as die gereelde monitering, hersiening en ouditering van hul verskaffersdiensleweringsprosesse. Hersiening en monitering word die beste gedoen in ooreenstemming met die inligting wat in gevaar is, aangesien een grootte nie by alle situasies pas nie.
Deur sy hersiening in ooreenstemming met die voorgestelde segmentering van verskaffers uit te voer, kan die organisasie hul hulpbronne optimaliseer en verseker dat hul pogings gekonsentreer word op monitering en hersiening waar die mees beduidende impak bereik kan word.
Soos met Bylae A 5.19, is pragmatisme soms nodig – klein organisasies sal nie noodwendig 'n oudit, 'n menslikehulpbronoorsig of toegewyde diensverbeterings ontvang deur AWS te gebruik nie. Om te verseker dat hulle geskik bly vir jou doel, kan jy (byvoorbeeld) hul jaarliks gepubliseerde SOC II-verslae en sekuriteitsertifisering nagaan.
Monitering moet gedokumenteer word op grond van jou mag, risiko's en waarde, sodat jou ouditeur kan bevestig dat dit voltooi is. Dit is omdat enige nodige veranderinge deur 'n formele veranderingsbeheerprosedure bestuur is.
Bestuur van Verskafferdiensveranderinge
Verskaffers moet bestaande inligtingsekuriteitsbeleide, prosedures en kontroles handhaaf en verbeter om enige veranderinge aan die verskaffing van dienste deur verskaffers te bestuur. Die proses neem die kritiekheid van besigheidsinligting, die aard van die verandering, die verskaffertipes wat geraak word, die betrokke prosesse en stelsels en 'n herbeoordeling van risiko's in ag.
Wanneer veranderinge aan verskaffers se dienste aangebring word, is dit ook belangrik om die intimiteit van die verhouding in ag te neem. Dit is sowel as die organisasie se vermoë om 'n verandering binne die verskaffer te beïnvloed of te beheer.
Beheer 5.22 spesifiseer hoe organisasies moet monitor, hersien en veranderinge aan 'n verskaffer se sekuriteitspraktyke en diens te bestuur afleweringstandaarde. Dit beoordeel ook hoe dit die organisasie se eie sekuriteitspraktyke beïnvloed.
In die bestuur van verhoudings met hul verskaffers, moet 'n organisasie daarna streef om 'n basislynvlak van inligtingsekuriteit te handhaaf wat voldoen aan enige ooreenkomste wat hulle onderteken het.
In ooreenstemming met ISO 27001:2022, is Bylae A 5.22 'n voorkomende beheer wat ontwerp is om risiko te verminder deur die verskaffer te help om 'n “ooreengekome vlak van inligtingsekuriteit en dienslewering te handhaaf.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Eienaarskap van Bylae A Beheer 5.22
'n Lid van senior bestuur wat toesig hou oor 'n organisasie se kommersiële bedrywighede en 'n direkte verhouding met die organisasie se verskaffers handhaaf, behoort verantwoordelik te wees vir Beheer 5.22.
ISO 27001:2022 Bylae A 5.22 Algemene riglyne
Volgens ISO 27001:2022 Bylae A Beheer 5.22, 13 sleutelareas moet oorweeg word wanneer verskafferverhoudings bestuur word en hoe hierdie faktore hul eie inligtingsekuriteitsmaatreëls beïnvloed.
'n Organisasie moet verseker dat werknemers verantwoordelik vir die bestuur van diensvlakooreenkomste en verskafferverhoudings oor die nodige vaardighede en tegniese hulpbronne beskik. Dit is om te verseker dat hulle in staat is om verskaffer se prestasie voldoende te evalueer en dat inligtingsekuriteitstandaard nie oortree word nie.
'n Organisasie se beleid en prosedures moet opgestel word deur:
- Monitor diensvlakke deurlopend in ooreenstemming met gepubliseerde diensvlakooreenkomste, en spreek enige tekorte aan sodra dit ontstaan.
- Die verskaffer moet gemonitor word vir enige veranderinge aan hul eie werking, insluitend (maar nie beperk nie tot): (1) Diensverbeterings (2) Nuwe toepassings, stelsels of sagtewareprosesse (3) Relevante en betekenisvolle hersiening van die interne bestuursdokumente van die verskaffer, en (4) enige veranderinge aan voorvalbestuurprosedures of pogings om die vlak van inligtingsekuriteit te verbeter.
- Enige veranderinge wat die diens behels, insluitend (maar nie beperk nie tot): a) Infrastruktuurveranderings b) Toepassings van opkomende tegnologieë c) Produkbywerkings en weergawe-opgraderings d) Veranderinge in die ontwikkelingsomgewing e) Logistieke en fisiese veranderinge aan verskafferfasiliteite, insluitend nuwe liggings f) Veranderinge aan uitkontrakteringsvennote of subkontrakteurs g) Voornemens om te subkontrakteer, waar so 'n praktyk nie voorheen beoefen is nie.
- Verseker dat diensverslae gereeld gelewer word, dat data ontleed word en dat hersieningsvergaderings in ooreenstemming met ooreengekome diensvlakke gehou word.
- Verseker dat uitkontrakteringsvennote en subkontrakteurs geoudit word en aandag gee aan enige kommerwekkende areas.
- Voer 'n hersiening uit van sekuriteitsinsidente gebaseer op die standaard en praktyke waarop die verskaffer ooreengekom het en in ooreenstemming met die voorvalbestuurstandaarde.
- Rekords moet bygehou word oor alle voorvalle van inligtingsekuriteit, tasbare bedryfsprobleme, foutlogboeke en algemene hindernisse om aan die ooreengekome diensleweringstandaarde te voldoen.
- Neem proaktiewe aksie in reaksie op voorvalle met betrekking tot inligtingsekuriteit.
- Identifiseer enige kwesbaarhede in inligtingsekuriteit en versag dit sover moontlik.
- Doen 'n ontleding van enige relevante inligtingsekuriteitsfaktore wat verband hou met die verskaffer se verhouding met sy verskaffers en subkontrakteurs.
- In die geval van beduidende ontwrigting aan die verskaffer se kant, insluitend 'n rampherstelpoging, verseker dat dienslewering op aanvaarbare vlakke gelewer word.
- Verskaf 'n lys van die sleutelpersoneel in die verskaffer se bedrywighede wat verantwoordelik is vir die handhawing van voldoening en die nakoming van die bepalings van die kontrak.
- Maak seker dat 'n verskaffer gereeld 'n basislynstandaard vir inligtingsekuriteit handhaaf.
Ondersteunende Bylae A-kontroles
- ISO 27001:2022 Bylae A 5.29
- ISO 27001:2022 Bylae A 5.30
- ISO 27001:2022 Bylae A 5.35
- ISO 27001:2022 Bylae A 5.36
- ISO 27001:2022 Bylae A 8.14
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Wat is die voordeel daarvan om ISMS.online te gebruik om verskafferverhoudings te bestuur?
Hierdie Bylae A-beheerdoelwit is baie maklik gemaak deur ISMS.online. Dit is omdat ISMS.online bewys lewer dat jou verhoudings noukeurig gekies, goed bestuur en gemonitor en hersien word. Dit word gedoen in ons maklik-om-te gebruik Rekeningverhoudings (bv. verskaffer) area. Samewerkingsprojekte se werkruimtes laat die ouditeur toe om maklik belangrike verskaffers op instap, gesamentlike inisiatiewe, van boord af te sien, ens.
Benewens om jou organisasie te help met hierdie Bylae A-beheerdoelwit, ISMS.online bied jou ook die vermoë om bewys te lewer dat die verskaffer die vereistes formeel aanvaar het en sy verantwoordelikhede vir inligtingsekuriteit deur ons Beleidspakkette verstaan het. As gevolg van hul spesifieke beleide en beheermaatreëls, Beleidspakke verseker verskaffers dat hul personeel die organisasie se beleide en beheermaatreëls gelees het en daartoe verbind het om te voldoen.
Daar kan 'n breër vereiste wees om by aanhangsel A.5.8 te belyn Inligtingsekuriteit in projekbestuur, afhangende van die aard van die verandering (bv. vir meer wesenlike veranderinge).
Die implementering van ISO 27001 is makliker met ons stap-vir-stap kontrolelys, wat jou lei van die definisie van jou ISMS-omvang tot die identifisering van risiko's en die implementering van beheermaatreëls.
ISMS.online bied die volgende voordele:
- Die platform laat jou toe om 'n ISMS voldoen aan ISO 27001 vereistes.
- Gebruikers kan take voltooi en bewyse indien om voldoening aan die standaard te demonstreer.
- Die proses om verantwoordelikhede te delegeer en nakomingsvordering te monitor, is maklik.
- As gevolg van die omvattende risiko-assessering gereedskapstel, is die proses bespoedig en tydbesparend.
- ’n Toegewyde span konsultante kan jou regdeur die nakomingsproses bystaan.
Kontak ons vandag nog om beplan 'n demo.
