Wat het kader vereist
Controle A.5.19 — Informatiebeveiliging in leveranciersrelaties
De organisatie definieert en documenteert haar benadering voor het beheersen van informatiebeveiligingsrisico's verbonden aan het gebruik van leveranciersproducten en -diensten. Bewijs is doorgaans een leveranciersmanagementbeleid en een leveranciersinventaris.
Controles A.5.20 tot A.5.22 — Overeenkomsten, supply chain, monitoring
A.5.20 dekt informatiebeveiligingsvereisten in leveranciersovereenkomsten. A.5.21 dekt informatie- en communicatietechnologie supply-chain-beveiliging. A.5.22 dekt monitoring, review en wijzigingsbeheer van leveranciersdiensten. Samen beschrijven deze controles een leverancierslevenscyclus, geen eenmalige clausule-review.
Wat auditors verwachten
Een actuele leveranciersinventaris afgestemd op het risicoregister; bewijs van pre-engagement due diligence; contractuele clausules die toegang, data, incidenten en beëindiging specificeren; en doorlopende monitoringregisters — prestatiereviews, incidentregisters en wijzigingslogs.
Hoe onze diensten aansluiten op compliance
- Pre-engagement due diligence. Achtergrondonderzoek, leveranciersscreening en pre-employment screening produceren de bewijsbasis die A.5.19 en A.5.20 verwachten aan het begin van een leveranciersrelatie.
- Gedocumenteerde operaties en rapportage. Waar Mission Support de leverancier is, worden standaard operationele procedures, incidentlogs en after-action-rapporten geproduceerd in een vorm die direct past in het ISO 27001-bewijsdossier van een operator.
- Mystery-guest en audit-reviews. Mystery-guest audits en forensische reviews leveren het monitoringbewijs dat A.5.22 vereist en dat een internal-audit-programma doorgaans mist voor hospitality- en on-site-diensten.