ISO 27001:2022 Bylae A Beheer 5.22

Monitering en Hersiening en Veranderingsbestuur van Verskafferdienste

Bespreek 'n demo

bo, uitsig, besigheid, mense, werk, van, huis, gebruik, skootrekenaar, aan

Wat is die doel van ISO 27001:2022 Bylae A 5.22?

Bylae A beheer 5.22 het ten doel om te verseker dat 'n ooreengekome vlak van inligtingsekuriteit en dienslewering gehandhaaf word. Dit is in ooreenstemming met verskafferskontrakte rakende verskaffersdiensontwikkeling.

Die dienste van verskaffers word gemonitor en hersien

In Bylae A 5.22 word organisasies beskryf as die gereelde monitering, hersiening en ouditering van hul verskaffersdiensleweringsprosesse. Hersiening en monitering word die beste gedoen in ooreenstemming met die inligting wat in gevaar is, aangesien een grootte nie by alle situasies pas nie.

Deur sy hersiening in ooreenstemming met die voorgestelde segmentering van verskaffers uit te voer, kan die organisasie hul hulpbronne optimaliseer en verseker dat hul pogings gekonsentreer word op monitering en hersiening waar die mees beduidende impak bereik kan word.

Soos met Bylae A 5.19, is pragmatisme soms nodig – klein organisasies sal nie noodwendig 'n oudit, 'n menslikehulpbronoorsig of toegewyde diensverbeterings ontvang deur AWS te gebruik nie. Om te verseker dat hulle geskik bly vir jou doel, kan jy (byvoorbeeld) hul jaarliks ​​gepubliseerde SOC II-verslae en sekuriteitsertifisering nagaan.

Monitering moet gedokumenteer word op grond van jou mag, risiko's en waarde, sodat jou ouditeur kan bevestig dat dit voltooi is. Dit is omdat enige nodige veranderinge deur 'n formele veranderingsbeheerprosedure bestuur is.

Bestuur van Verskafferdiensveranderinge

Verskaffers moet bestaande inligtingsekuriteitsbeleide, prosedures en kontroles handhaaf en verbeter om enige veranderinge aan die verskaffing van dienste deur verskaffers te bestuur. Die proses neem die kritiekheid van besigheidsinligting, die aard van die verandering, die verskaffertipes wat geraak word, die betrokke prosesse en stelsels en 'n herbeoordeling van risiko's in ag.

Wanneer veranderinge aan verskaffers se dienste aangebring word, is dit ook belangrik om die intimiteit van die verhouding in ag te neem. Dit is sowel as die organisasie se vermoë om 'n verandering binne die verskaffer te beïnvloed of te beheer.

Beheer 5.22 spesifiseer hoe organisasies moet monitor, hersien en veranderinge aan 'n verskaffer se sekuriteitspraktyke en diens te bestuur afleweringstandaarde. Dit beoordeel ook hoe dit die organisasie se eie sekuriteitspraktyke beïnvloed.

In die bestuur van verhoudings met hul verskaffers, moet 'n organisasie daarna streef om 'n basislynvlak van inligtingsekuriteit te handhaaf wat voldoen aan enige ooreenkomste wat hulle onderteken het.

In ooreenstemming met ISO 27001:2022, is Bylae A 5.22 'n voorkomende beheer wat ontwerp is om risiko te verminder deur die verskaffer te help om 'n “ooreengekome vlak van inligtingsekuriteit en dienslewering te handhaaf.

Eienaarskap van Bylae A Beheer 5.22

'n Lid van senior bestuur wat toesig hou oor 'n organisasie se kommersiële bedrywighede en 'n direkte verhouding met die organisasie se verskaffers handhaaf, behoort verantwoordelik te wees vir Beheer 5.22.

Spring na Onderwerp

ISO 27001:2022 Bylae A 5.22 Algemene riglyne

Volgens ISO 27001:2022 Bylae A Beheer 5.22, 13 sleutelareas moet oorweeg word wanneer verskafferverhoudings bestuur word en hoe hierdie faktore hul eie inligtingsekuriteitsmaatreëls beïnvloed.

'n Organisasie moet verseker dat werknemers verantwoordelik vir die bestuur van diensvlakooreenkomste en verskafferverhoudings oor die nodige vaardighede en tegniese hulpbronne beskik. Dit is om te verseker dat hulle in staat is om verskaffer se prestasie voldoende te evalueer en dat inligtingsekuriteitstandaard nie oortree word nie.

'n Organisasie se beleid en prosedures moet opgestel word deur:

  1. Monitor diensvlakke deurlopend in ooreenstemming met gepubliseerde diensvlakooreenkomste, en spreek enige tekorte aan sodra dit ontstaan.

  2. Die verskaffer moet gemonitor word vir enige veranderinge aan hul eie werking, insluitend (maar nie beperk nie tot): (1) Diensverbeterings (2) Nuwe toepassings, stelsels of sagtewareprosesse (3) Relevante en betekenisvolle hersiening van die interne bestuursdokumente van die verskaffer, en (4) enige veranderinge aan voorvalbestuurprosedures of pogings om die vlak van inligtingsekuriteit te verbeter.

  3. Enige veranderinge wat die diens behels, insluitend (maar nie beperk nie tot): a) Infrastruktuurveranderings b) Toepassings van opkomende tegnologieë c) Produkbywerkings en weergawe-opgraderings d) Veranderinge in die ontwikkelingsomgewing e) Logistieke en fisiese veranderinge aan verskafferfasiliteite, insluitend nuwe liggings f) Veranderinge aan uitkontrakteringsvennote of subkontrakteurs g) Voornemens om te subkontrakteer, waar so 'n praktyk nie voorheen beoefen is nie.

  4. Verseker dat diensverslae gereeld gelewer word, dat data ontleed word en dat hersieningsvergaderings in ooreenstemming met ooreengekome diensvlakke gehou word.

  5. Verseker dat uitkontrakteringsvennote en subkontrakteurs geoudit word en aandag gee aan enige kommerwekkende areas.

  6. Voer 'n hersiening uit van sekuriteitsinsidente gebaseer op die standaard en praktyke waarop die verskaffer ooreengekom het en in ooreenstemming met die voorvalbestuurstandaarde.

  7. Rekords moet bygehou word oor alle voorvalle van inligtingsekuriteit, tasbare bedryfsprobleme, foutlogboeke en algemene hindernisse om aan die ooreengekome diensleweringstandaarde te voldoen.

  8. Neem proaktiewe aksie in reaksie op voorvalle met betrekking tot inligtingsekuriteit.

  9. Identifiseer enige kwesbaarhede in inligtingsekuriteit en versag dit sover moontlik.

  10. Doen 'n ontleding van enige relevante inligtingsekuriteitsfaktore wat verband hou met die verskaffer se verhouding met sy verskaffers en subkontrakteurs.

  11. In die geval van beduidende ontwrigting aan die verskaffer se kant, insluitend 'n rampherstelpoging, verseker dat dienslewering op aanvaarbare vlakke gelewer word.

  12. Verskaf 'n lys van die sleutelpersoneel in die verskaffer se bedrywighede wat verantwoordelik is vir die handhawing van voldoening en die nakoming van die bepalings van die kontrak.

  13. Maak seker dat 'n verskaffer gereeld 'n basislynstandaard vir inligtingsekuriteit handhaaf.

Ondersteunende Bylae A-kontroles

  • ISO 27001:2022 Bylae A 5.29

  • ISO 27001:2022 Bylae A 5.30

  • ISO 27001:2022 Bylae A 5.35

  • ISO 27001:2022 Bylae A 5.36

  • ISO 27001:2022 Bylae A 8.14

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Wat is die voordeel daarvan om ISMS.online te gebruik om verskafferverhoudings te bestuur?

Hierdie Bylae A-beheerdoelwit is baie maklik gemaak deur ISMS.online. Dit is omdat ISMS.online bewys lewer dat jou verhoudings noukeurig gekies, goed bestuur en gemonitor en hersien word. Dit word gedoen in ons maklik-om-te gebruik Rekeningverhoudings (bv. verskaffer) area. Samewerkingsprojekte se werkruimtes laat die ouditeur toe om maklik belangrike verskaffers op instap, gesamentlike inisiatiewe, van boord af te sien, ens.

Benewens om jou organisasie te help met hierdie Bylae A-beheerdoelwit, ISMS.online bied jou ook die vermoë om bewys te lewer dat die verskaffer die vereistes formeel aanvaar het en sy verantwoordelikhede vir inligtingsekuriteit deur ons Beleidspakkette verstaan ​​het. As gevolg van hul spesifieke beleide en beheermaatreëls, Beleidspakke verseker verskaffers dat hul personeel die organisasie se beleide en beheermaatreëls gelees het en daartoe verbind het om te voldoen.

Daar kan 'n breër vereiste wees om by aanhangsel A.5.8 te belyn Inligtingsekuriteit in projekbestuur, afhangende van die aard van die verandering (bv. vir meer wesenlike veranderinge).

Die implementering van ISO 27001 is makliker met ons stap-vir-stap kontrolelys, wat jou lei van die definisie van jou ISMS-omvang tot die identifisering van risiko's en die implementering van beheermaatreëls.

ISMS.online bied die volgende voordele:

  • Die platform laat jou toe om 'n ISMS voldoen aan ISO 27001 vereistes.

  • Gebruikers kan take voltooi en bewyse indien om voldoening aan die standaard te demonstreer.

  • Die proses om verantwoordelikhede te delegeer en nakomingsvordering te monitor, is maklik.

  • As gevolg van die omvattende risiko-assessering gereedskapstel, is die proses bespoedig en tydbesparend.

  • ’n Toegewyde span konsultante kan jou regdeur die nakomingsproses bystaan.

Kontak ons ​​vandag nog om beplan 'n demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind