ISO 27001:2022 Annexe A Contrôle 5.19 concerne sécurité de l'information dans les relations avec les fournisseurs. L'objectif ici est la protection des actifs précieux de l'organisation qui sont accessibles ou affectés par les fournisseurs.
Nous vous recommandons également de considérer ici également d'autres relations clés, par exemple des partenaires s'ils ne sont pas des fournisseurs mais ont également un impact sur vos actifs qui pourrait ne pas être simplement couvert par un contrat seul.
Il s'agit d'une partie importante du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001. Comprenons maintenant ces exigences et ce qu’elles signifient de manière un peu plus approfondie.
Les fournisseurs sont utilisés pour deux raisons principales : un : vous voulez qu'ils fassent un travail que vous avez choisi de ne pas faire vous-même en interne, ou ; deuxièmement : vous ne pouvez pas faire le travail aussi bien ou de manière aussi rentable que les fournisseurs.
Il y a de nombreux éléments importants à prendre en compte dans l’approche de sélection et de gestion des fournisseurs, mais il n’existe pas de solution unique et certains fournisseurs seront plus importants que d’autres. En tant que tels, vos contrôles et vos politiques doivent également refléter cela et un segmentation de la chaîne d'approvisionnement est sensé ; nous préconisons quatre catégories de fournisseurs en fonction de la valeur et du risque dans la relation. Ceux-ci vont de ceux qui sont essentiels à l'entreprise jusqu'à d'autres fournisseurs qui n'ont aucun impact matériel sur votre organisation.
ISO 27001:2002 Annexe A Contrôle 5.19 concerne l'obligation d'une organisation de garantir que, lors de l'utilisation de produits et services côté fournisseur (y compris les fournisseurs de services cloud), une prise en compte adéquate est accordée au niveau de risque inhérent à l'utilisation de systèmes externes, et que le impact conséquent que cela peut avoir sur leur propre respect de la sécurité de l'information.
Une bonne politique décrit la segmentation, la sélection, la gestion, la sortie des fournisseurs, comment actifs informationnels autour des fournisseurs sont contrôlés afin d'atténuer les risques associés, tout en permettant d'atteindre les buts et objectifs commerciaux. Les organisations intelligentes envelopperont leur politique de sécurité de l'information pour les fournisseurs dans un cadre relationnel plus large et évitez de vous concentrer uniquement sur la sécurité en soi, en vous intéressant également aux autres aspects.
L'Annexe A Le contrôle 5.19 est un contrôle préventif qui modifie le risque en maintenant des procédures qui traitent des risques de sécurité inhérents associés à l'utilisation de produits et services fournis par des tiers.
Tandis que le contrôle ISO 27001 L'Annexe A 5.19 contient de nombreuses indications sur l'utilisation des services TIC, la portée plus large du contrôle englobe de nombreux autres aspects de la relation d'une organisation avec sa base de fournisseurs, y compris les types de fournisseurs, la logistique, les services publics, les services financiers et les composants d'infrastructure).
En tant que tel, la propriété du contrôle 5.19 de l'Annexe A doit appartenir à un membre de la haute direction qui supervise les opérations commerciales d'une organisation et entretient une relation directe avec les fournisseurs d'une organisation, comme un Directeur des Opérations.
La conformité au contrôle 5.19 de l'annexe A implique le respect de ce que l'on appelle un approche « thématique » à la sécurité de l’information dans les relations avec les fournisseurs.
Une organisation peut souhaiter que ses fournisseurs accèdent à certains actifs informationnels de grande valeur et y contribuent (par exemple, développement de code logiciel, informations comptables sur la paie). Ils devraient donc avoir des accords clairs sur l’accès exact qu’ils leur autorisent, afin de pouvoir contrôler la sécurité autour de cet accès.
Ceci est particulièrement important à l’heure où de plus en plus de services de gestion, de traitement et de technologie de l’information sont externalisés. Cela signifie avoir un endroit pour montrer que la gestion de la relation est en cours ; contrats, contacts, incidents, activités relationnelles et la gestion des risques etc. Lorsque le fournisseur est également étroitement impliqué dans l'organisation, mais ne dispose pas de son propre SMSI certifié, il est également utile de s'assurer que le personnel du fournisseur est formé et conscient de la sécurité, formé à vos politiques, etc.
Les approches thématiques encouragent les organisations à créer des politiques liées aux fournisseurs adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique globale de gestion des fournisseurs qui s'applique à toutes les relations avec des tiers dans le cadre des opérations commerciales d'une organisation.
Il est important de noter que la norme ISO 27001 Annexe A Contrôle 5.19 demande à l'organisation de mettre en œuvre des politiques et des procédures qui non seulement régissent l'utilisation par l'organisation des ressources des fournisseurs et des plateformes cloud, mais constituent également la base de la façon dont elles attendent de leurs fournisseurs qu'ils se comportent avant et pendant toute la durée de la relation commerciale.
En tant que telle, l'Annexe A Contrôle 5.19 peut être considérée comme le document de qualification essentiel qui dicte la manière dont la gouvernance de la sécurité de l'information est gérée au cours d'un contrat avec un fournisseur.
La norme ISO 27001 Annexe A Contrôle 5.19 contient 14 points d'orientation principaux à respecter :
1) Tenir un registre précis des types de fournisseurs (par exemple, services financiers, matériel informatique, téléphonie) susceptibles d'affecter l'intégrité de la sécurité de l'information.
Conformité – Rédigez une liste de tous les fournisseurs avec lesquels votre organisation travaille, catégorisez-les en fonction de leur fonction commerciale et ajoutez des catégories auxdits types de fournisseurs selon les besoins.
2) Comprendre comment évaluer les fournisseurs, en fonction du niveau de risque inhérent à leur type de fournisseur.
Conformité – Différents types de fournisseurs nécessiteront différents contrôles de diligence raisonnable. Envisagez d'utiliser des méthodes de vérification fournisseur par fournisseur (par exemple, références industrielles, états financiers, évaluations sur site, certifications spécifiques à un secteur telles que les partenariats Microsoft).
3) Identifiez les fournisseurs qui ont déjà mis en place des contrôles de sécurité des informations.
Conformité – Demandez à voir des copies des procédures pertinentes de gouvernance de la sécurité de l'information des fournisseurs, afin d'évaluer le risque pour votre propre organisation. S’ils n’en ont pas, ce n’est pas bon signe.
4) Identifiez et définissez les domaines spécifiques de l'infrastructure TIC de votre organisation auxquels vos fournisseurs pourront accéder, surveiller ou utiliser eux-mêmes.
Conformité – Il est important d'établir dès le départ précisément comment vos fournisseurs vont interagir avec vos actifs TIC – qu'ils soient physiques ou virtuels – et quels niveaux d'accès leur sont accordés conformément à leurs obligations contractuelles.
5) Définissez l'impact de l'infrastructure TIC des fournisseurs sur vos propres données et sur celles de vos clients.
Conformité – La première obligation d'une organisation est de respecter son propre ensemble de normes de sécurité de l'information. Les actifs TIC des fournisseurs doivent être examinés en fonction de leur potentiel à affecter la disponibilité et l'intégrité dans l'ensemble de votre organisation.
6) Identifier et gérer les différents risques de sécurité de l'information liés à :
un. Utilisation par le fournisseur d'informations confidentielles ou d'actifs protégés (par exemple limitée à une utilisation malveillante et/ou à une intention criminelle).
b. Matériel du fournisseur défectueux ou plate-forme logicielle défectueuse associée à des services sur site ou basés sur le cloud.
Conformité – Les organisations doivent être continuellement conscientes des risques de sécurité des informations associés à des événements catastrophiques, tels qu’une activité néfaste des utilisateurs du côté des fournisseurs ou des incidents logiciels imprévus majeurs, et de leur impact sur la sécurité des informations de l’organisation.
7) Surveiller la conformité en matière de sécurité des informations sur une base spécifique à un sujet ou à un type de fournisseur.
Conformité – La nécessité pour l'organisation d'apprécier sécurité de l'information implications inhérentes à chaque type de fournisseur, et ajuster leur activité de surveillance pour s'adapter aux différents niveaux de risque.
8) Limiter le montant des dommages et/ou des perturbations causés par le non-respect.
Conformité – L’activité des fournisseurs doit être surveillée de manière appropriée et à des degrés divers, en fonction de son niveau de risque. Lorsqu’une non-conformité est découverte, de manière proactive ou réactive, des mesures immédiates doivent être prises.
9) Maintenir une structure robuste la gestion des incidents procédure qui répond à un nombre raisonnable d’éventualités.
Conformité – Les organisations doivent comprendre précisément comment réagir lorsqu’elles sont confrontées à un large éventail d’événements liés à la fourniture de produits et de services de tiers, et définir des mesures correctives impliquant à la fois le fournisseur et l’organisation.
10) Adopter des mesures qui garantissent la disponibilité et le traitement des informations du fournisseur, quel que soit le lieu où elles sont utilisées, garantissant ainsi l'intégrité des propres informations de l'organisation.
Conformité – Des mesures doivent être prises pour garantir que les systèmes et les données des fournisseurs sont traités d'une manière qui ne compromet pas la disponibilité et la sécurité des propres systèmes et informations de l'organisation.
11) Rédiger un plan de formation approfondi qui offre des conseils sur la manière dont le personnel doit interagir avec le personnel du fournisseur et des informations sur une base fournisseur par fournisseur ou sur une base type par type.
Conformité – La formation doit couvrir l’ensemble de la gouvernance entre une organisation et ses fournisseurs, y compris l’engagement, les contrôles granulaires de gestion des risques et les procédures spécifiques à un sujet.
12) Comprendre et gérer le niveau de risque inhérent au transfert d'informations et d'actifs physiques et virtuels entre l'organisation et ses fournisseurs.
Conformité – Les organisations doivent cartographier chaque étape du processus de transfert et sensibiliser le personnel aux risques associés au déplacement d’actifs et d’informations d’une source à une autre.
13) Veiller à ce que les relations avec les fournisseurs prennent fin en gardant à l'esprit la sécurité des informations, notamment en supprimant les droits d'accès et la possibilité d'accéder aux informations de l'organisation.
Conformité – Vos équipes informatiques doivent bien comprendre comment révoquer l'accès d'un fournisseur à l'information, notamment :
14) Décrivez précisément comment vous attendez du fournisseur qu'il se comporte en ce qui concerne les mesures de sécurité physiques et virtuelles.
Conformité – Les organisations doivent définir des attentes claires dès le début de toute relation commerciale, spécifiant comment le personnel du fournisseur doit se comporter lorsqu'il interagit avec votre personnel ou tout actif pertinent.
L'ISO reconnaît qu'il n'est pas toujours possible d'imposer à un fournisseur un ensemble complet de politiques qui répondent à toutes les exigences de la liste ci-dessus, comme le prévoit l'ISO 27001 Annexe A Contrôle 5.19, en particulier lorsqu'il s'agit d'organisations rigides du secteur public.
Cela étant dit, l'annexe A, Contrôle 5.19, indique clairement que les organisations doivent utiliser les directives ci-dessus lorsqu'elles établissent des relations avec des fournisseurs et envisager le non-respect au cas par cas.
Lorsqu'une conformité totale n'est pas réalisable, l'Annexe A Contrôle 5.19 donne aux organisations une marge de manœuvre en recommandant des « contrôles compensatoires » qui atteignent des niveaux adéquats de gestion des risques, en fonction des circonstances uniques d'une organisation.
ISO 27001:2022 Annexe A 5.19 remplace ISO 27001:2013 Annexe A 15.1.1 (Politique de sécurité des informations pour les relations avec les fournisseurs).
L'ISO 27001:2022 Annexe A 5.19 adhère globalement aux mêmes concepts sous-jacents contenus dans le contrôle de 2013, mais contient plusieurs domaines d'orientation supplémentaires qui sont soit omis de l'ISO 27001:2013 Annexe A 5.1.1, soit à tout le moins non couverts dans autant de détails, notamment :
L'Annexe A 27001 de l'ISO 2022:5.19 reconnaît également explicitement la nature très variable des relations avec les fournisseurs (en fonction du type, du secteur et du niveau de risque) et donne aux organisations une certaine marge de manœuvre lorsqu'elles envisagent la possibilité de non-conformité à une directive donnée. point, en fonction de la nature de la relation (voir « Conseils supplémentaires » ci-dessus).
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque norme ISO 27001:2022. Annexe A Contrôle.
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les cybermenaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
ISMS.online a rendu cet objectif de contrôle très simple en fournissant la preuve que vos relations sont soigneusement choisies, bien gérées dans la vie, y compris en étant surveillées et examinées. C'est exactement ce que fait notre zone de relations avec les comptes (par exemple, les fournisseurs), facile à utiliser. Les espaces de travail des projets collaboratifs sont parfaits pour l'intégration de fournisseurs importants, les initiatives conjointes, le départ, etc., que l'auditeur peut également visualiser facilement en cas de besoin.
ISMS.online a également facilité cet objectif de contrôle pour votre organisation en vous permettant de fournir la preuve que le fournisseur s'est formellement engagé à se conformer aux exigences et a compris ses responsabilités en matière de sécurité des informations via nos packs de politiques. Packs de politiques sont idéales lorsque l'organisation dispose de politiques et de contrôles spécifiques qu'elle souhaite que le personnel des fournisseurs suive et soit assuré qu'il les a lu et qu'il s'est engagé à s'y conformer – au-delà des accords plus larges entre le client et le fournisseur.
Selon la nature du changement (c'est-à-dire pour des changements plus importants), il peut y avoir une exigence plus large de s'aligner sur A.6.1.5 Sécurité de l'information dans la gestion de projet.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo