Was ist der Zweck von ISO 27001:2022 Anhang A 5.21?
In Annex A Control 5.21 müssen Organisationen robuste Prozesse und Verfahren implementieren, bevor sie Produkte oder Dienstleistungen bereitstellen Management von Informationssicherheitsrisiken.
Kontrolle 5.21 in Anhang A ist eine präventive Kontrolle, die das Risiko innerhalb der IKT-Lieferkette aufrechterhält, indem sie ein „vereinbartes Sicherheitsniveau“ zwischen den Parteien herstellt.
Anhang A 5.21 der ISO 27001 richtet sich an IKT-Anbieter, die möglicherweise etwas zusätzlich zum oder anstelle des Standardansatzes benötigen. Obwohl die ISO 27001 zahlreiche Bereiche zur Umsetzung empfiehlt, ist auch Pragmatismus gefragt. Angesichts der Größe der Organisation im Vergleich zu einigen der sehr großen Unternehmen, mit denen sie gelegentlich zusammenarbeitet (z. B. Rechenzentren, Hosting-Dienste, Banken usw.), muss sie möglicherweise in der Lage sein, die Praktiken weiter unten in der Lieferkette zu beeinflussen.
Abhängig von den bereitgestellten Informations- und Kommunikationstechnologiediensten sollte die Organisation die möglicherweise auftretenden Risiken sorgfältig abschätzen. Bei einem infrastrukturkritischen Dienstleister ist es beispielsweise wichtig, einen höheren Schutz zu gewährleisten, als wenn der Anbieter nur Zugriff auf öffentlich zugängliche Informationen (z. B Quellcode für den Flaggschiff-Softwaredienst), wenn der Anbieter infrastrukturkritische Dienste bereitstellt.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Eigentum an Anhang A Kontrolle 5.21
In Annex A Control 5.21 liegt der Schwerpunkt auf der Bereitstellung von Informations- und Kommunikationstechnologiediensten durch einen Anbieter oder eine Gruppe von Anbietern.
Daher ist die Person, die für den Erwerb, die Verwaltung und die Erneuerung von IKT-Lieferantenbeziehungen in allen Geschäftsfunktionen verantwortlich ist, wie z Chief Technical Officer oder Leiter Informationstechnologie, sollte Eigentümer dieses Prozesses sein.
ISO 27001:2022 Anhang A 5.21 – Allgemeine Richtlinien
Die ISO 27001 Standard legt 13 IKT-bezogene Leitlinien fest, die zusammen mit allen anderen Kontrollen in Anhang A berücksichtigt werden sollten, die die Beziehung einer Organisation zu ihren Lieferanten regeln.
Im letzten Jahrzehnt sind plattformübergreifende On-Premise- und Cloud-Dienste immer beliebter geworden. ISO 27001:2022 Anhang A Control 5.21 befasst sich mit der Bereitstellung von hardware- und softwarebezogenen Komponenten und Diensten (sowohl vor Ort als auch in der Cloud), unterscheidet jedoch selten zwischen beiden.
Mehrere Kontrollen in Anhang A befassen sich mit der Beziehung zwischen dem Lieferanten und der Organisation sowie den Pflichten des Lieferanten bei der Untervergabe von Teilen der Lieferkette an Dritte.
- Organisationen sollten einen umfassenden Satz von erstellen Informationssicherheit Standards, die auf ihre spezifischen Bedürfnisse zugeschnitten sind, um klare Erwartungen darüber festzulegen, wie sich Lieferanten bei der Bereitstellung von IKT-Produkten und -Dienstleistungen verhalten sollten.
- IKT-Lieferanten sind dafür verantwortlich, sicherzustellen, dass Auftragnehmer und ihr Personal mit den einzigartigen Informationssicherheitsstandards der Organisation vollständig vertraut sind. Dies gilt, wenn sie irgendein Element der Lieferkette an Subunternehmer vergeben.
- Der Lieferant muss die Sicherheitsanforderungen der Organisation allen Anbietern oder Zulieferern mitteilen, die er nutzt, wenn die Notwendigkeit besteht, Komponenten (physisch oder virtuell) von Dritten zu erwerben.
- Eine Organisation sollte von Lieferanten Informationen über die Art und Funktion der Softwarekomponenten einholen.
- Die Organisation sollte alle bereitgestellten Produkte oder Dienstleistungen so identifizieren und betreiben, dass die Informationssicherheit nicht gefährdet wird.
- Risikoniveaus sollten von Organisationen nicht als selbstverständlich angesehen werden. Stattdessen sollten Organisationen Verfahren entwerfen, die sicherstellen, dass alle von Lieferanten gelieferten Produkte oder Dienstleistungen sicher sind und den Industriestandards entsprechen. Zur Sicherstellung der Konformität können verschiedene Methoden eingesetzt werden, darunter Zertifizierungsprüfungen, interne Tests und unterstützende Dokumentation.
- Im Rahmen des Erhalts eines Produkts oder einer Dienstleistung sollten Unternehmen alle Elemente identifizieren und aufzeichnen, die für die Aufrechterhaltung der Kernfunktionalität als wesentlich erachtet werden – insbesondere, wenn diese Komponenten von Subunternehmern oder ausgelagerten Vereinbarungen stammen.
- Lieferanten sollten konkrete Zusicherungen haben, dass „kritische Komponenten“ in der gesamten IKT-Lieferkette von der Erstellung bis zur Lieferung nachverfolgt werden Teil eines Audit-Protokolls.
- Organisationen sollten vor der Bereitstellung von IKT-Produkten und -Dienstleistungen eine kategorische Prüfung einholen. Damit soll sichergestellt werden, dass sie innerhalb des Anwendungsbereichs funktionieren und keine zusätzlichen Funktionen enthalten, die ein zusätzliches Sicherheitsrisiko darstellen könnten.
- Komponentenspezifikationen sind von entscheidender Bedeutung, um sicherzustellen, dass ein Unternehmen die Hardware- und Softwarekomponenten versteht, die es in sein Netzwerk einführt. Organisationen sollten Bestimmungen fordern, die bestätigen, dass Komponenten bei der Lieferung legitim sind, und Lieferanten sollten während des gesamten Entwicklungslebenszyklus Maßnahmen zur Manipulationssicherheit in Betracht ziehen.
- Es ist von entscheidender Bedeutung, Zusicherungen hinsichtlich der Konformität von IKT-Produkten mit branchenüblichen und branchenspezifischen Sicherheitsanforderungen gemäß den spezifischen Produktanforderungen zu erhalten. Dies erreichen Unternehmen häufig, indem sie ein Mindestmaß an formeller Sicherheitszertifizierung erlangen oder sich an eine Reihe international anerkannter Informationsstandards halten (z. B. die Common Criteria Recognition Arrangement).
- Der Austausch von Informationen und Daten über gemeinsame Lieferkettenabläufe erfordert von Organisationen, dass sie sicherstellen, dass Lieferanten ihre Verpflichtungen kennen. In diesem Zusammenhang sollten Organisationen potenzielle Konflikte oder Probleme zwischen den Parteien anerkennen. Sie sollten auch zu Beginn des Prozesses wissen, wie sie diese lösen können. Alter des Prozesses.
- Die Organisation muss Verfahren dafür entwickeln manage das Risiko beim Betrieb mit nicht unterstützten, nicht unterstützten oder älteren Komponenten, unabhängig davon, wo diese sich befinden. In solchen Situationen sollte die Organisation in der Lage sein, sich entsprechend anzupassen und Alternativen zu identifizieren.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Anhang A 5.21 Ergänzende Leitlinien
Gemäß Annex A Control 5.21 sollte die Steuerung der IKT-Lieferkette in Zusammenarbeit berücksichtigt werden. Es soll bestehende ergänzen Leitung der Lieferkette Verfahren und um Kontext für IKT-spezifische Produkte und Dienstleistungen bereitzustellen.
Die Norm ISO 27001:2022 erkennt an, dass die Qualitätskontrolle im IKT-Sektor keine detaillierte Prüfung der Compliance-Verfahren eines Lieferanten, insbesondere in Bezug auf Softwarekomponenten, umfasst.
Daher wird empfohlen, dass Organisationen lieferantenspezifische Prüfungen festlegen, mit denen überprüft wird, ob es sich bei dem Lieferanten um eine „seriöse Quelle“ handelt, und dass sie Vereinbarungen entwerfen, in denen die Verantwortlichkeiten des Lieferanten für die Informationssicherheit bei der Erfüllung eines Vertrags, einer Bestellung oder der Erbringung einer Dienstleistung detailliert festgelegt sind .
Was sind die Änderungen gegenüber ISO 27001:2013?
ISO 27001:2022 Annex A Control 5.21 ersetzt ISO 27001:2013 Annex A Control 15.1.3 (Lieferkette für Informations- und Kommunikationstechnologie).
Neben der Einhaltung der gleichen allgemeinen Leitlinien wie ISO 27001:2013 Anhang A 15.1.3 legt ISO 27001:2022 Anhang A 5.21 großen Wert auf die Verpflichtung des Lieferanten, komponentenbezogene Informationen zum Zeitpunkt der Lieferung bereitzustellen und zu überprüfen Lieferung, einschließlich:
- Anbieter von Komponenten der Informationstechnologie.
- Geben Sie einen Überblick über die Sicherheitsfunktionen eines Produkts und wie Sie es aus sicherheitstechnischer Sicht nutzen können.
- Zusicherungen hinsichtlich des erforderlichen Sicherheitsniveaus.
Gemäß ISO 27001:2022 Anhang A 5.21 ist die Organisation außerdem verpflichtet, bei der Einführung von Produkten und Dienstleistungen zusätzliche komponentenspezifische Informationen zu erstellen, wie zum Beispiel:
- Identifizieren und Dokumentieren von Schlüsselkomponenten eines Produkts oder einer Dienstleistung, die zu dessen Kernfunktionalität beitragen.
- Sicherstellung der Authentizität und Integrität von Komponenten.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Welchen Nutzen bringt ISMS.online in Bezug auf Lieferantenbeziehungen?
Dieses Annex-A-Kontrollziel wurde durch ISMS.online sehr einfach gemacht. Denn ISMS.online liefert den Nachweis, dass Ihre Beziehungen sorgfältig ausgewählt, gut verwaltet sowie überwacht und überprüft werden.
Dies geschieht in unserem benutzerfreundlichen Bereich „Kontenbeziehungen“ (z. B. Lieferanten). Arbeitsbereiche für Kooperationsprojekte ermöglichen es dem Prüfer, wichtige Lieferanten beim Boarding, bei gemeinsamen Initiativen, beim Offboarding usw. einfach zu sehen.
Darüber hinaus erleichtert ISMS.online Ihrer Organisation das Erreichen dieses Kontrollziels in Anhang A, indem es Ihnen ermöglicht, den Nachweis zu erbringen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet hat und die Verantwortlichkeiten des Lieferanten in Bezug auf die Informationssicherheit mit unseren Richtlinienpaketen verstanden hat.
Zusätzlich zu den umfassenderen Vereinbarungen zwischen einem Kunden und einem Lieferanten, Richtlinienpakete sind ideal für Organisationen mit spezifischen Richtlinien und Anhang-A-Kontrollen, die die Mitarbeiter ihrer Zulieferer einhalten sollen, um sicherzustellen, dass sie ihre Richtlinien gelesen und sich zu deren Einhaltung verpflichtet haben.
Die von uns angebotene cloudbasierte Plattform bietet zusätzlich die folgenden Funktionen
- Ein Dokumentenmanagementsystem, das einfach zu bedienen und anpassbar ist.
- Sie haben Zugriff auf eine Bibliothek mit ausgefeilten, vorgefertigten Dokumentationsvorlagen.
- Der Prozess zur Durchführung interner Audits wurde vereinfacht.
- Eine effiziente Methode zur Kommunikation mit Management und Stakeholdern.
- Um den Implementierungsprozess zu erleichtern, steht ein Workflow-Modul zur Verfügung.
Zögern Sie nicht, eine Demo zu vereinbaren Nehmen Sie noch heute Kontakt mit uns auf.
