- See ISO 27002:2022 Contrôle 5.20 pour plus d'informations.
- See ISO 27001:2013 Annexe A 15.1.2 pour plus d'informations.
Quel est l’objectif de la norme ISO 27001 : 2022, annexe A 5.20 ?
La norme ISO 27001 Annexe A Contrôle 5.20 régit la manière dont une organisation conclut un contrat avec un fournisseur en fonction de ses exigences en matière de sécurité. Ceci est basé sur les types de fournisseurs avec lesquels ils travaillent.
Dans le cadre de l'Annexe A Contrôle 5.20, les organisations et leurs fournisseurs doivent convenir mutuellement sécurité des informations acceptable obligations de maintenir le risque.
Qui est propriétaire de l’annexe A 5.20 ?
L'Annexe Contrôle 5.20 doit être déterminée selon que l'organisation dispose ou non de son propre service juridique, ainsi que selon la nature de l'accord qui a été signé.
Gérer tout changement dans la chaîne d'approvisionnement les politiques, procédures et contrôles, y compris le maintien et l’amélioration des politiques, procédures et contrôles de sécurité de l’information existants, sont considérés comme un contrôle efficace.
Ceci est déterminé en tenant compte du caractère critique des informations commerciales, de la nature du changement, du ou des types de fournisseurs concernés, des systèmes et processus impliqués, et en réévaluant les facteurs de risque. Changer les services fournis par un fournisseur doit également prendre en compte l'intimité de la relation et la capacité de l'organisation à influencer ou contrôler le changement.
La propriété de 5.20 doit revenir à la personne responsable des accords juridiquement contraignants au sein de l'organisation (contrats, protocoles d'accord, accords de niveau de service, etc.) si l'organisation a la capacité juridique de rédiger, modifier et stocker ses accords contractuels sans la participation. de tiers.
Un membre de la haute direction de l'organisation qui supervise les opérations commerciales de l'organisation et entretient des relations directes avec ses fournisseurs doit assumer la responsabilité du contrôle 5.20 de l'Annexe A si l'organisation sous-traite de tels accords.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
ISO 27001:2022 Annexe A 5.20 Orientations générales
Le contrôle 5.20 de l'Annexe A contient 25 points d'orientation que les États ISO sont « susceptibles de prendre en compte » (c'est-à-dire pas nécessairement tous) pour que les organisations répondent à leurs exigences en matière de sécurité de l'information.
L'Annexe A Contrôle 5.20 précise que quelles que soient les mesures adoptées, les deux parties doivent sortir du processus avec une « compréhension claire » des obligations de chacune en matière de sécurité de l'information.
- Il est essentiel de fournir une description claire des informations auxquelles il faut accéder et de la manière dont ces informations seront accessibles.
- Les organisations doivent classer les informations selon leurs systèmes de classification publiés (voir l'Annexe A, Contrôles 5.10, 5.12 et 5.13).
- Classement des informations du côté du fournisseur doivent être pris en compte ainsi que leur rapport avec ceux du côté de l'organisation.
- Généralement, les droits des deux parties peuvent être divisés en quatre catégories : légaux, statutaires, réglementaires et contractuels. Comme c'est le cas pour les accords commerciaux, diverses obligations doivent être clairement définies dans ces quatre domaines, notamment l'accès aux informations personnelles, les droits de propriété intellectuelle et les dispositions sur les droits d'auteur. Le contrat devrait également couvrir la manière dont ces domaines clés seront abordés séparément.
- Dans le cadre du système de contrôle de l'annexe A, chaque partie devrait être tenue de mettre en œuvre des mesures simultanées conçues pour surveiller, évaluer et gérer les risques liés à la sécurité de l'information (telles que des politiques de contrôle d'accès, des examens contractuels, une surveillance, des rapports et des audits périodiques). En outre, l'accord doit clairement indiquer que le personnel du fournisseur doit se conformer aux normes de sécurité des informations de l'organisation (voir ISO 27001, Annexe A, Contrôle 5.20).
- Les deux parties doivent clairement comprendre ce qui constitue une utilisation acceptable et inacceptable des informations, ainsi que des actifs physiques et virtuels.
- Pour garantir que le personnel côté fournisseur puisse accéder et visualiser les informations d'une organisation, des procédures doivent être mises en place (par exemple, audits côté fournisseur et contrôles d'accès aux serveurs).
- En plus de prendre en compte l'infrastructure TIC du fournisseur, il est important de comprendre son lien avec le type d'informations auxquelles l'organisation aura accès. Cela s’ajoute à l’ensemble des exigences commerciales de base de l’organisation.
- Si le fournisseur rompt le contrat ou ne respecte pas les conditions individuelles, l’organisation doit réfléchir aux mesures qu’elle peut prendre.
- Plus précisément, l'accord devrait décrire une procédure mutuelle de gestion des incidents qui clarifie la manière dont les problèmes doivent être traités lorsqu'ils surviennent. Cela inclut la manière dont les deux parties doivent communiquer lorsqu'un incident se produit.
- Les deux parties doivent proposer une formation de sensibilisation adéquate (lorsque la formation standard n'est pas suffisante) dans les domaines clés de l'accord, en particulier dans les domaines à risque tels que la gestion des incidents et le partage d'informations.
- Le recours à des sous-traitants doit être abordé de manière adéquate. Les organisations doivent s'assurer que, si le fournisseur est autorisé à faire appel à des sous-traitants, ces personnes ou entreprises adhèrent aux mêmes normes de sécurité des informations que le fournisseur.
- Dans la mesure où cela est possible d’un point de vue juridique et opérationnel, les organisations doivent réfléchir à la manière dont le personnel des fournisseurs est sélectionné avant d’interagir avec leurs informations. En outre, ils doivent réfléchir à la manière dont les contrôles sont enregistrés et signalés à l'organisation, y compris le personnel non contrôlé et les domaines préoccupants.
- Attestation de tiers, telle qu'indépendante rapports et audits tiers, devraient être exigés par les organisations pour les fournisseurs qui respectent leurs exigences en matière de sécurité des informations.
- ISO 27001:2022 Annexe A Le contrôle 5.20 exige que les organisations aient le droit d'évaluer et de vérifier les procédures de leurs fournisseurs.
- Un fournisseur doit être tenu de fournir des rapports périodiques (à intervalles variables) résumant l'efficacité de ses processus et procédures et la manière dont il entend résoudre les problèmes soulevés.
- Au cours de la relation, l'accord doit inclure des mesures visant à garantir que tout défaut ou conflit soit résolu en temps opportun et de manière approfondie.
- Une politique BUDR appropriée doit être mise en œuvre par le fournisseur, adaptée aux besoins de l'organisation, qui répond à trois considérations clés : a) Type de sauvegarde (serveur complet, fichiers et dossiers, incrémentielle), b) Fréquence de sauvegarde (quotidienne, hebdomadaire, etc. ) C) Emplacement de sauvegarde et support source (sur site, hors site).
- Il est essentiel de garantir la résilience des données en opérant à partir d'une installation de reprise après sinistre distincte du site TIC principal du fournisseur. Cette installation n'est pas soumise au même niveau de risque que le site principal des TIC.
- Les fournisseurs doivent maintenir une politique complète de gestion des changements qui permet à l’organisation de rejeter à l’avance toute modification susceptible d’affecter la sécurité des informations.
- Contrôles de sécurité physique doivent être mises en œuvre en fonction des informations auxquelles ils sont autorisés à accéder (accès au bâtiment, accès des visiteurs, accès aux chambres, sécurité du bureau).
- Chaque fois que des données sont transférées entre des actifs, des sites, des serveurs ou des emplacements de stockage, les fournisseurs doivent s'assurer que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
- Dans le cadre de l'accord, chaque partie devrait être tenue de prendre une liste détaillée de mesures en cas de résiliation (voir l'annexe A, contrôle 5.20). Ces actions comprennent (sans toutefois s'y limiter) : a) la cession d'actifs et/ou la relocalisation, b) la suppression d'informations, c) la restitution de la propriété intellectuelle, d) la suppression des droits d'accès e) le maintien des obligations de confidentialité.
- Outre le point 23, le fournisseur doit expliquer en détail comment il entend détruire/supprimer définitivement les informations de l'organisation lorsqu'elles ne sont plus nécessaires (c'est-à-dire à la résiliation du contrat).
- Chaque fois qu'un contrat prend fin et qu'il est nécessaire de transférer le support et/ou les services à un autre fournisseur non répertorié dans le contrat, des mesures sont prises pour garantir qu'il n'y ait aucune interruption des opérations commerciales.
Contrôles accompagnant l’Annexe A
- ISO 27001:2022 Annexe A 5.10
- ISO 27001:2022 Annexe A 5.12
- ISO 27001:2022 Annexe A 5.13
- ISO 27001:2022 Annexe A 5.20
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Orientations supplémentaires sur l'Annexe A 5.20
L'Annexe A Contrôle 5.20 recommande aux organisations de tenir un registre des accords pour les aider à gérer leurs relations avec les fournisseurs.
Les enregistrements de tous les accords conclus avec d’autres organisations doivent être conservés, classés selon la nature de la relation. Cela comprend les contrats, les protocoles d'accord et les accords relatifs au partage d'informations.
Quels sont les changements par rapport à la norme ISO 27001:2013 ?
Un amendement à la norme ISO 27001:2013, Annexe A 15.1.2 (Traitement de la sécurité dans les accords avec les fournisseurs) a été apporté pour ISO 27001: 2022 Annexe A Contrôle 5.20.
Plusieurs lignes directrices supplémentaires sont contenues dans l'Annexe A Contrôle 5.20 de la norme ISO 27001:2022 qui traitent d'un large éventail de questions techniques, juridiques et liées à la conformité, notamment :
- La procédure de passation de pouvoir.
- Destruction d'informations.
- Dispositions de résiliation.
- Contrôles de sécurité physique.
- Gestion du changement.
- Redondance et sauvegardes des informations.
En règle générale, l'annexe A 27001 de la norme ISO 2022:5.20 souligne la manière dont un fournisseur assure la redondance et l'intégrité des données tout au long d'un contrat.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
ISO 27001 : 2022 Contrôles organisationnels
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles organisationnels | Annexe A 5.1 | Annexe A 5.1.1 Annexe A 5.1.2 | Politiques de sécurité des informations |
Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
Contrôles organisationnels | Annexe A 5.8 | Annexe A 6.1.5 Annexe A 14.1.1 | Sécurité de l'information dans la gestion de projet |
Contrôles organisationnels | Annexe A 5.9 | Annexe A 8.1.1 Annexe A 8.1.2 | Inventaire des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.10 | Annexe A 8.1.3 Annexe A 8.2.3 | Utilisation acceptable des informations et autres actifs associés |
Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
Contrôles organisationnels | Annexe A 5.14 | Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 | Transfert d'information |
Contrôles organisationnels | Annexe A 5.15 | Annexe A 9.1.1 Annexe A 9.1.2 | Contrôle d'accès |
Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
Contrôles organisationnels | Annexe A 5.17 | Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 | Informations d'authentification |
Contrôles organisationnels | Annexe A 5.18 | Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 | Des droits d'accès |
Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
Contrôles organisationnels | Annexe A 5.22 | Annexe A 15.2.1 Annexe A 15.2.2 | Surveillance, révision et gestion du changement des services des fournisseurs |
Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
Contrôles organisationnels | Annexe A 5.29 | Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 | Sécurité des informations en cas de perturbation |
Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
Contrôles organisationnels | Annexe A 5.31 | Annexe A 18.1.1 Annexe A 18.1.5 | Exigences légales, statutaires, réglementaires et contractuelles |
Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
Contrôles organisationnels | Annexe A 5.36 | Annexe A 18.2.2 Annexe A 18.2.3 | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
Contrôles des personnes ISO 27001 : 2022
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Tamisage |
Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
Contrôles des personnes | Annexe A 6.8 | Annexe A 16.1.2 Annexe A 16.1.3 | Rapport d'événements liés à la sécurité de l'information |
Contrôles physiques ISO 27001 : 2022
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
Contrôles physiques | Annexe A 7.2 | Annexe A 11.1.2 Annexe A 11.1.6 | Entrée physique |
Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
Contrôles physiques | Annexe A 7.10 | Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 | stockage des médias |
Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
Contrôles technologiques ISO 27001 : 2022
Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
---|---|---|---|
Contrôles technologiques | Annexe A 8.1 | Annexe A 6.2.1 Annexe A 11.2.8 | Périphériques de point de terminaison utilisateur |
Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
Contrôles technologiques | Annexe A 8.8 | Annexe A 12.6.1 Annexe A 18.2.3 | Gestion des vulnérabilités techniques |
Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
Contrôles technologiques | Annexe A 8.15 | Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 | Journal |
Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation de programmes utilitaires privilégiés |
Contrôles technologiques | Annexe A 8.19 | Annexe A 12.5.1 Annexe A 12.6.2 | Installation de logiciels sur les systèmes opérationnels |
Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
Contrôles technologiques | Annexe A 8.24 | Annexe A 10.1.1 Annexe A 10.1.2 | Utilisation de la cryptographie |
Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
Contrôles technologiques | Annexe A 8.26 | Annexe A 14.1.2 Annexe A 14.1.3 | Exigences de sécurité des applications |
Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Architecture de système sécurisée et principes d’ingénierie |
Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
Contrôles technologiques | Annexe A 8.29 | Annexe A 14.2.8 Annexe A 14.2.9 | Tests de sécurité en développement et acceptation |
Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
Contrôles technologiques | Annexe A 8.31 | Annexe A 12.1.4 Annexe A 14.2.6 | Séparation des environnements de développement, de test et de production |
Contrôles technologiques | Annexe A 8.32 | Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 | La Gestion du changement |
Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Quels sont les avantages de l’utilisation d’ISMS.online pour les relations avec les fournisseurs ?
Une liste de contrôle étape par étape vous guide tout au long de Processus de mise en œuvre de la norme ISO 27001, de la définition du périmètre de votre SMSI à l'identification des risques et à la mise en place de contrôles.
Grâce à la zone de relations avec les comptes (par exemple, les fournisseurs) facile à utiliser d'ISMS.online, vous pouvez vous assurer que vos relations sont soigneusement sélectionnées, bien gérées dans la vie et surveillées et examinées. Les espaces de travail de projets collaboratifs d'ISMS.online ont facilement répondu à cet objectif de contrôle. Ces espaces de travail sont utiles pour l'intégration des fournisseurs, les initiatives conjointes, les départs, etc., que l'auditeur peut également visualiser facilement si nécessaire.
Nous avons également facilité cet objectif de contrôle pour votre organisation en vous permettant de démontrer que le fournisseur s'est formellement engagé à respecter les exigences. Cela se fait grâce à notre Packs de politiques. Ces packs de politiques sont particulièrement utiles pour les organisations disposant de politiques et de contrôles spécifiques qu'elles souhaitent que leurs fournisseurs adhèrent afin qu'elles puissent être sûres que leurs fournisseurs ont lu ces politiques et se sont engagés à les respecter.
Il peut être nécessaire d'aligner le changement sur A.6.1.5 Sécurité de l'information dans la gestion de projet en fonction de la nature du changement (par exemple pour des changements plus substantiels).