ISO 27002:2022, Kontrolle 5.22 – Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Büro, Gebäude., Wolkenkratzer., Außenansicht des Gebäudes

Zweck der Kontrolle 5.22

Control 5.22 legt die Methoden fest, die Organisationen anwenden sollten, wenn sie Änderungen in den Informationssicherheitspraktiken und Servicebereitstellungsstandards eines Lieferanten überwachen, überprüfen und verwalten und die Auswirkungen auf das eigene Informationssicherheitsniveau der Organisation bewerten.

Bei der Verwaltung der Beziehung zu ihren Lieferanten, sollte eine Organisation versuchen, ein grundlegendes Maß an Informationssicherheit aufrechtzuerhalten, das allen getroffenen Vereinbarungen entspricht.

5.22 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit verändert das Risiko durch die Aufrechterhaltung eines „vereinbarten Niveaus an Informationssicherheit und Servicebereitstellung“ seitens des Lieferanten.

Attributtabelle

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Identifizieren#Sicherheit von Lieferantenbeziehungen#Governance und Ökosystem
#Schutz
#Verteidigung
#Informationssicherheitsgewährleistung

Eigentum an der Kontrolle 5.22

Das Eigentum an Kontrolle 5.22 sollte bei einem leitenden Mitglied liegen Management, das den kommerziellen Betrieb einer Organisation überwachtund unterhält eine direkte Beziehung zu den Lieferanten einer Organisation, z Chief Operating Officer.

Zum Thema springen
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Allgemeine Leitlinien zur Kontrolle 5.22

Control 5.22 enthält 13 Hauptbereiche Organisationen brauchen welche Aspekte bei der Verwaltung von Lieferantenbeziehungen zu berücksichtigen sind und welche Auswirkungen diese auf die eigenen Informationssicherheitsstandards haben.

Unternehmen müssen Maßnahmen ergreifen, um sicherzustellen, dass Mitarbeiter, die für die Verwaltung von SLAs und Lieferantenbeziehungen verantwortlich sind, über die erforderlichen Fähigkeiten und technischen Ressourcen verfügen, um die Leistung der Lieferanten angemessen beurteilen zu können, und dass Informationssicherheitsstandards nicht verletzt werden.

Organisationen sollten Richtlinien und Verfahren entwerfen, die:

  1. Überwachen Sie die Servicelevel kontinuierlich gemäß den veröffentlichten SLAs und beheben Sie eventuelle Defizite.

  2. Überwachen Sie alle Änderungen, die der Lieferant an seinem eigenen Betrieb vornimmt, einschließlich (aber nicht beschränkt auf):

    a) Service-Verbesserungen
    b) Die Einführung neuer Anwendungen, Systeme oder Softwareprozesse
    c) Relevante und sinnvolle Überarbeitungen der internen Governance-Dokumente des Lieferanten
    d) Jedes Vorfallmanagement Verfahrensänderungen oder Bemühungen zur Erhöhung der Informationssicherheit

  3. Überwachen Sie alle dienstspezifischen Änderungen, einschließlich (aber nicht beschränkt auf):

    a) Änderungen an der Infrastruktur
    b) Die Anwendung neuer Technologien
    c) Die Einführung von Produkt-Updates oder Versions-Upgrades
    d) Änderungen in der Entwicklungsumgebung
    e) Logistische und physische Änderungen an Lieferantenanlagen, einschließlich neuer Standorte
    f) Alle Änderungen bei Outsourcing-Partnern oder Subunternehmern
    g) Die Absicht, Unteraufträge zu vergeben, wenn dies zuvor noch nicht praktiziert wurde

  4. Fordern Sie regelmäßige Serviceberichte an, analysieren Sie Daten und nehmen Sie an Überprüfungsbesprechungen gemäß den vereinbarten Servicebereitstellungsniveaus teil.

  5. Prüfen Sie Outsourcing-Partner und Subunternehmer und gehen Sie allen Problembereichen auf den Grund.

  6. Überprüfen Sie Sicherheitsvorfälle gemäß den vereinbarten Standards und Praktiken für das Vorfallmanagement sowie der Lieferantenvereinbarung.

  7. Führen Sie eine gründliche Aufzeichnung von Informationssicherheitsereignissen, konkreten Betriebsproblemen, Fehlerprotokollen und allgemeinen Hindernissen für die vereinbarten Servicebereitstellungsstandards.

  8. Reagieren Sie proaktiv auf Ereignisse im Zusammenhang mit der Informationssicherheit und ergreifen Sie Abhilfemaßnahmen.

  9. Markieren Sie alle Schwachstellen in der Informationssicherheit und sie so weit wie möglich zu mildern.

  10. Analysieren Sie alle relevanten Informationssicherheitsfaktoren, die in der Beziehung des Lieferanten zu seinen eigenen Lieferanten und Subunternehmern enthalten sind.

  11. Stellen Sie sicher, dass die Servicebereitstellung nach erheblichen Störungen auf Lieferantenseite, einschließlich Notfallwiederherstellung, auf einem akzeptablen Niveau erfolgt.

  12. Beschreiben Sie die wichtigsten Mitarbeiter im Betrieb des Lieferanten, die für die Einhaltung und Einhaltung der Vertragsbedingungen verantwortlich sind.

  13. Regelmäßige Prüfung die Fähigkeit eines Lieferanten, einen grundlegenden Informationssicherheitsstandard aufrechtzuerhalten.

Unterstützende Kontrollen

  • 5.29
  • 5.30
  • 5.35
  • 5.36
  • 8.14

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Zu den wichtigsten Vorteilen der Nutzung von ISMS.online gehören:

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren