ISO 27001:2022 Annex A Control 5.19 ist ungefähr Informationssicherheit in Lieferantenbeziehungen. Das Ziel hierbei ist der Schutz der wertvollen Vermögenswerte der Organisation, die für Lieferanten zugänglich oder von diesen betroffen sind.
Wir empfehlen Ihnen auch, hier auch andere wichtige Beziehungen zu berücksichtigen, beispielsweise Partner, wenn diese keine Lieferanten sind, aber auch Auswirkungen auf Ihr Vermögen haben, die möglicherweise nicht allein durch einen Vertrag abgedeckt sind.
Dies ist ein wichtiger Teil der Informationssicherheits-Managementsystem (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten. Lassen Sie uns diese Anforderungen und ihre Bedeutung nun etwas genauer verstehen.
Lieferanten werden aus zwei Hauptgründen eingesetzt; Erstens: Sie möchten, dass sie Arbeiten erledigen, die Sie nicht intern erledigen möchten, oder; Zweitens: Sie können die Arbeit nicht einfach so gut oder kostengünstig erledigen wie die Lieferanten.
Bei der Auswahl und dem Management von Lieferanten sind viele wichtige Dinge zu berücksichtigen, aber es gibt keine Einheitslösung, und einige Lieferanten sind wichtiger als andere. Daher sollten Ihre Kontrollen und Richtlinien dies ebenfalls widerspiegeln Segmentierung der Lieferkette ist vernünftig; Wir empfehlen vier Kategorien von Lieferanten, basierend auf dem Wert und dem Risiko der Beziehung. Diese reichen von geschäftskritischen Anbietern bis hin zu anderen Anbietern, die keinen wesentlichen Einfluss auf Ihr Unternehmen haben.
ISO 27001:2002 Annex A Control 5.19 befasst sich mit der Verpflichtung einer Organisation, sicherzustellen, dass bei der Nutzung von Produkten und Diensten auf Lieferantenseite (einschließlich Cloud-Service-Anbietern) das mit der Nutzung externer Systeme verbundene Risikoniveau angemessen berücksichtigt wird Konsequenzen, die sich möglicherweise auf die Einhaltung der eigenen Informationssicherheit auswirken.
Eine gute Richtlinie beschreibt die Lieferantensegmentierung, Auswahl, Verwaltung, Ausstieg und wie Informationsvermögen um Lieferanten werden kontrolliert, um die damit verbundenen Risiken zu mindern und dennoch die Erreichung der Geschäftsziele zu ermöglichen. Intelligente Organisationen werden ihre Probleme lösen Informationssicherheitspolitik für Lieferanten in einen breiteren Beziehungsrahmen einbinden und vermeiden, sich nur auf die Sicherheit an sich zu konzentrieren, sondern auch die anderen Aspekte zu berücksichtigen.
Annex A Control 5.19 ist eine präventive Kontrolle, die Risiken durch die Aufrechterhaltung von Verfahren modifiziert, die inhärente Sicherheitsrisiken berücksichtigen, die mit der Nutzung von Produkten und Dienstleistungen Dritter verbunden sind.
Während der Kontrolle ISO 27001 Anhang A 5.19 enthält viele Hinweise zur Nutzung von IKT-Diensten. Der breitere Umfang der Kontrolle umfasst viele andere Aspekte der Beziehung einer Organisation zu ihrer Lieferantenbasis, einschließlich Lieferantentypen, Logistik, Versorgungsunternehmen, Finanzdienstleistungen und Infrastrukturkomponenten.
Daher sollte die Verantwortung für Annex A Control 5.19 bei einem Mitglied der Geschäftsleitung liegen, das den kommerziellen Betrieb einer Organisation überwacht und eine direkte Beziehung zu den Lieferanten einer Organisation unterhält, wie z Chief Operating Officer.
Die Einhaltung von Annex A Control 5.19 beinhaltet die Einhaltung dessen, was als a bekannt ist „themenspezifischer“ Ansatz zur Informationssicherheit in Lieferantenbeziehungen.
Eine Organisation möchte möglicherweise, dass Lieferanten auf bestimmte hochwertige Informationsbestände zugreifen und zu ihnen beitragen (z. B. Entwicklung von Softwarecode, Informationen zur Gehaltsabrechnung in der Buchhaltung). Sie müssten daher klare Vereinbarungen darüber treffen, welchen Zugriff sie ihnen genau gewähren, damit sie die damit verbundene Sicherheit kontrollieren können.
Dies ist besonders wichtig, da immer mehr Informationsmanagement-, Verarbeitungs- und Technologiedienstleistungen ausgelagert werden. Das bedeutet, dass es einen Ort gibt, an dem man zeigen kann, wie die Beziehung verwaltet wird. Verträge, Kontakte, Vorfälle, Beziehungsaktivitäten und Risikomanagement usw. Wenn der Lieferant ebenfalls eng in die Organisation eingebunden ist, jedoch möglicherweise nicht über ein eigenes zertifiziertes ISMS verfügt, lohnt es sich auch, sicherzustellen, dass die Mitarbeiter des Lieferanten geschult und sicherheitsbewusst sind und in Ihren Richtlinien usw. geschult sind, um die Einhaltung der Vorschriften zu demonstrieren.
Themenspezifische Ansätze ermutigen Organisationen, lieferantenbezogene Richtlinien zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Lieferantenmanagementrichtlinie zu halten, die für alle Beziehungen zu Dritten im gesamten Geschäftsbetrieb einer Organisation gilt.
Es ist wichtig zu beachten, dass ISO 27001 Annex A Control 5.19 die Organisation auffordert, Richtlinien und Verfahren zu implementieren, die nicht nur die Nutzung von Lieferantenressourcen und Cloud-Plattformen durch die Organisation regeln, sondern auch die Grundlage dafür bilden, wie sie von ihren Lieferanten erwarten, dass sie sich vor und nach verhalten während der gesamten Dauer der Geschäftsbeziehung.
Daher kann Annex A Control 5.19 als das wesentliche qualifizierende Dokument angesehen werden, das vorschreibt, wie die Informationssicherheits-Governance im Verlauf eines Lieferantenvertrags gehandhabt wird.
ISO 27001 Annex A Control 5.19 enthält 14 Hauptleitpunkte, die eingehalten werden müssen:
1) Führen Sie eine genaue Aufzeichnung der Lieferantentypen (z. B. Finanzdienstleistungen, IKT-Hardware, Telefonie), die das Potenzial haben, die Integrität der Informationssicherheit zu beeinträchtigen.
Compliance – Erstellen Sie eine Liste aller Lieferanten, mit denen Ihr Unternehmen zusammenarbeitet, kategorisieren Sie sie nach ihrer Geschäftsfunktion und fügen Sie bei Bedarf Kategorien zu den Lieferantentypen hinzu.
2) Verstehen Sie, wie Lieferanten auf der Grundlage des für ihren Lieferantentyp inhärenten Risikoniveaus überprüft werden.
Compliance – Unterschiedliche Lieferantentypen erfordern unterschiedliche Due-Diligence-Prüfungen. Erwägen Sie den Einsatz von Überprüfungsmethoden auf Lieferantenbasis (z. B. Branchenreferenzen, Finanzberichte, Vor-Ort-Bewertungen, branchenspezifische Zertifizierungen wie Microsoft-Partnerschaften).
3) Identifizieren Sie Lieferanten, die bereits über bestehende Informationssicherheitskontrollen verfügen.
Compliance – Bitten Sie darum, Kopien der relevanten Verfahren zur Informationssicherheits-Governance der Lieferanten einzusehen, um das Risiko für Ihre eigene Organisation einschätzen zu können. Wenn sie keine haben, ist das kein gutes Zeichen.
4) Identifizieren und definieren Sie die spezifischen Bereiche der IKT-Infrastruktur Ihrer Organisation, auf die Ihre Lieferanten zugreifen, die sie überwachen oder die sie selbst nutzen können.
Compliance – Es ist wichtig, von Anfang an genau festzulegen, wie Ihre Lieferanten mit Ihren IKT-Ressourcen interagieren – sei es physisch oder virtuell – und welche Zugriffsebenen ihnen gemäß ihren vertraglichen Verpflichtungen gewährt werden.
5) Definieren Sie, wie sich die eigene IKT-Infrastruktur der Lieferanten auf Ihre eigenen Daten und die Ihrer Kunden auswirken kann.
Compliance – Die erste Verpflichtung einer Organisation besteht darin, ihre eigenen Informationssicherheitsstandards einzuhalten. Die IKT-Ressourcen der Lieferanten müssen daraufhin überprüft werden, ob sie die Betriebszeit und Integrität in Ihrem gesamten Unternehmen beeinträchtigen können.
6) Identifizieren und verwalten Sie die verschiedenen Informationssicherheitsrisiken, die mit Folgendem verbunden sind:
A. Nutzung vertraulicher Informationen oder geschützter Vermögenswerte durch Lieferanten (z. B. beschränkt auf böswillige Nutzung und/oder kriminelle Absicht).
B. Fehlerhafte Hardware des Lieferanten oder fehlerhafte Softwareplattform im Zusammenhang mit On-Premise- oder Cloud-basierten Diensten.
Compliance – Unternehmen müssen sich ständig der Informationssicherheitsrisiken bewusst sein, die mit katastrophalen Ereignissen wie böswilligen Benutzeraktivitäten auf Lieferantenseite oder größeren unvorhergesehenen Softwarevorfällen einhergehen, und deren Auswirkungen auf die Informationssicherheit des Unternehmens.
7) Überwachen Sie die Einhaltung der Informationssicherheit auf themenspezifischer oder lieferantenspezifischer Basis.
Compliance – Das Bedürfnis der Organisation, das zu schätzen Informationssicherheit Sie berücksichtigen die Auswirkungen, die jedem Lieferantentyp innewohnen, und passen ihre Überwachungsaktivitäten an unterschiedliche Risikoniveaus an.
8) Begrenzen Sie die Höhe des durch Nichteinhaltung verursachten Schadens und/oder der Störung.
Compliance – Die Aktivitäten des Lieferanten sollten entsprechend seinem Risikoniveau in geeigneter Weise und in unterschiedlichem Umfang überwacht werden. Wenn proaktiv oder reaktiv eine Nichteinhaltung festgestellt wird, sollten sofort Maßnahmen ergriffen werden.
9) Bleiben Sie robust Vorfallmanagement Verfahren, das eine angemessene Menge an Eventualverbindlichkeiten berücksichtigt.
Compliance – Organisationen sollten genau verstehen, wie sie reagieren müssen, wenn sie mit einer breiten Palette von Ereignissen im Zusammenhang mit der Lieferung von Produkten und Dienstleistungen Dritter konfrontiert werden, und Abhilfemaßnahmen skizzieren, die sowohl den Lieferanten als auch die Organisation einbeziehen.
10) Ergreifen Sie Maßnahmen, die die Verfügbarkeit und Verarbeitung der Informationen des Lieferanten gewährleisten, unabhängig davon, wo diese verwendet werden, und stellen Sie so die Integrität der eigenen Informationen der Organisation sicher.
Compliance – Es sollten Maßnahmen ergriffen werden, um sicherzustellen, dass Lieferantensysteme und -daten auf eine Weise gehandhabt werden, die die Verfügbarkeit und Sicherheit der eigenen Systeme und Informationen der Organisation nicht beeinträchtigt.
11) Entwerfen Sie einen gründlichen Schulungsplan, der Leitlinien für den Umgang des Personals mit dem Personal des Lieferanten und Informationen für jeden Lieferanten bzw. Typ für Typ bietet.
Compliance – Die Schulung sollte das gesamte Spektrum der Governance zwischen einer Organisation und ihren Lieferanten abdecken, einschließlich Engagement, detaillierte Risikomanagementkontrollen und themenspezifische Verfahren.
12) Verstehen und verwalten Sie das Risikoniveau, das mit der Übertragung von Informationen sowie physischen und virtuellen Vermögenswerten zwischen der Organisation und ihren Lieferanten verbunden ist.
Compliance – Organisationen sollten jede Phase des Übertragungsprozesses planen und ihre Mitarbeiter über die Risiken aufklären, die mit der Übertragung von Vermögenswerten und Informationen von einer Quelle zu einer anderen verbunden sind.
13) Stellen Sie sicher, dass Lieferantenbeziehungen unter Berücksichtigung der Informationssicherheit beendet werden, einschließlich der Aufhebung von Zugriffsrechten und der Möglichkeit, auf Unternehmensinformationen zuzugreifen.
Compliance – Ihre IKT-Teams sollten genau wissen, wie sie den Zugriff eines Lieferanten auf Informationen widerrufen können, einschließlich:
14) Beschreiben Sie genau, wie Sie vom Lieferanten erwarten, dass er sich in Bezug auf physische und virtuelle Sicherheitsmaßnahmen verhält.
Compliance – Organisationen sollten von Beginn jeder Geschäftsbeziehung an klare Erwartungen festlegen, die festlegen, wie sich das Personal auf Lieferantenseite im Umgang mit Ihren Mitarbeitern oder relevanten Vermögenswerten verhalten soll.
ISO erkennt an, dass es nicht immer möglich ist, einem Lieferanten vollständige Richtlinien aufzuerlegen, die jede einzelne Anforderung aus der oben genannten Liste erfüllen, wie in ISO 27001 Annex A Control 5.19 vorgesehen, insbesondere wenn es um starre Organisationen des öffentlichen Sektors geht.
Allerdings heißt es in Annex A Control 5.19 eindeutig, dass Organisationen die oben genannten Leitlinien beim Aufbau von Beziehungen zu Lieferanten nutzen und eine Nichteinhaltung von Fall zu Fall prüfen sollten.
Wenn eine vollständige Compliance nicht erreichbar ist, gibt Annex A Control 5.19 Organisationen Spielraum, indem sie „kompensierende Kontrollen“ empfiehlt, die ein angemessenes Maß an Risikomanagement auf der Grundlage der besonderen Umstände einer Organisation erreichen.
ISO 27001:2022 Anhang A 5.19 ersetzt ISO 27001:2013 Anhang A 15.1.1 (Informationssicherheitsrichtlinie für Lieferantenbeziehungen).
ISO 27001:2022 Anhang A 5.19 folgt im Großen und Ganzen den gleichen Grundkonzepten, die in der Steuerung von 2013 enthalten sind, enthält jedoch mehrere zusätzliche Leitlinienbereiche, die entweder in ISO 27001:2013 Anhang A 5.1.1 weggelassen oder zumindest nicht darin behandelt werden so viele Details, einschließlich:
ISO 27001:2022 Anhang A 5.19 erkennt auch ausdrücklich die sehr unterschiedliche Natur der Lieferantenbeziehungen an (basierend auf Art, Branche und Risikoniveau) und gibt Organisationen einen gewissen Spielraum bei der Prüfung der Möglichkeit der Nichteinhaltung bestimmter Leitlinien Punkt, basierend auf der Art der Beziehung (siehe „Ergänzende Anleitung“ oben).
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A Steuern.
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
ISMS.online hat dieses Kontrollziel sehr einfach gemacht, indem es den Nachweis erbracht hat, dass Ihre Beziehungen sorgfältig ausgewählt und im Leben gut verwaltet werden, einschließlich Überwachung und Überprüfung. Unser benutzerfreundlicher Bereich „Kontenbeziehungen“ (z. B. Lieferanten) leistet genau das. Die Arbeitsbereiche für kollaborative Projekte eignen sich hervorragend für das Onboarding wichtiger Lieferanten, gemeinsame Initiativen, Offboarding usw., die der Prüfer bei Bedarf auch problemlos einsehen kann.
ISMS.online hat auch dieses Kontrollziel für Ihr Unternehmen erleichtert, indem es Ihnen ermöglicht, den Nachweis zu erbringen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet und seine Verantwortung für die Informationssicherheit durch unsere Richtlinienpakete verstanden hat. Richtlinienpakete sind ideal, wenn die Organisation über spezifische Richtlinien und Kontrollen verfügt, die die Lieferantenmitarbeiter befolgen und darauf vertrauen sollen, dass sie diese gelesen und sich zu deren Einhaltung verpflichtet haben – über die umfassenderen Vereinbarungen zwischen Kunde und Lieferant hinaus.
Abhängig von der Art der Änderung (z. B. bei wesentlichen Änderungen) kann es eine umfassendere Anforderung zur Anpassung geben A.6.1.5 Informationssicherheit im Projektmanagement.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo