ISO 27001 – Bilaga A.15: Leverantörsrelationer

Vad är syftet med bilaga A.15.1?

Bilaga A.15.1 handlar om informationssäkerhet i leverantörsrelationer. Målet här är att skydda organisationens värdefulla tillgångar som är tillgängliga för eller påverkas av leverantörer.

Vi rekommenderar också att du även här överväger andra nyckelrelationer, till exempel partners om de inte är leverantörer men också har en inverkan på dina tillgångar som kanske inte bara täcks av ett kontrakt enbart.

A.15.1.1 Informationssäkerhetspolicy för leverantörsrelationer

Leverantörer används av två huvudsakliga skäl; ett: du vill att de ska göra arbete som du har valt att inte göra internt själv, eller; två: du kan inte enkelt göra jobbet lika bra eller så kostnadseffektivt som leverantörerna.

Det finns många viktiga saker att tänka på när det gäller leverantörsval och hantering, men en storlek passar inte alla och vissa leverantörer kommer att vara viktigare än andra. Som sådan bör dina kontroller och policyer återspegla det också och en segmentering av leveranskedjan är förnuftig; vi förespråkar fyra kategorier av leverantörer utifrån värdet och risken i relationen. Dessa sträcker sig från de som är affärskritiska till andra leverantörer som inte har någon väsentlig inverkan på din organisation.

Vissa leverantörer är också mer kraftfulla än sina kunder (tänk dig att berätta för Amazon vad du ska göra om du använder deras AWS-tjänster för hosting) så det är meningslöst att ha kontroller och policyer på plats som leverantörerna inte kommer att följa. Därför är det mer sannolikt att förlita sig på deras standardpolicyer, kontroller och avtal – vilket innebär att valet av leverantörer och riskhanteringen blir ännu viktigare.

För att ta ett mer framåtriktat förhållningssätt till informationssäkerhet i försörjningskedjan med de mer strategiska (högt värde/högre risk) leverantörerna, bör organisationer också undvika binära "följ eller dö" risköverföringsmetoder, t.ex. hemska kontrakt som förhindrar gott samarbete. Istället rekommenderar vi att de utvecklar närmare arbetsrelationer med de leverantörer där värdelös information och tillgångar är i riskzonen, eller de lägger till dina informationstillgångar på något (positivt) sätt. Detta kommer sannolikt att leda till förbättrade arbetsrelationer och därför ge bättre affärsresultat också.

En bra policy beskriver leverantörssegmentering, urval, ledning, exit, hur informationstillgångar kring leverantörer kontrolleras för att mildra de associerade riskerna, men ändå möjliggöra att affärsmålen och målen uppnås. Smarta organisationer kommer att linda in sin informationssäkerhetspolicy för leverantörer i en bredare relationsram och undvika att bara koncentrera sig på säkerheten i sig och även titta på de andra aspekterna.

En organisation kan vilja att leverantörer ska få tillgång till och bidra till vissa värdefulla informationstillgångar (t.ex. utveckling av mjukvarukod, redovisning av löneinformation). De skulle därför behöva ha tydliga avtal om exakt vilken åtkomst de tillåter dem, så att de kan kontrollera säkerheten runt det. Detta är särskilt viktigt med allt fler informationshantering, bearbetning och tekniktjänster som läggs ut på entreprenad. Det betyder att ha ett ställe att visa att hanteringen av relationen sker; kontrakt, kontakter, incidenter, relationsaktivitet och riskhantering etc. Där leverantören också är intimt involverad i organisationen, men kanske inte har sitt eget certifierade ISMS, se till att leverantörspersonalen är utbildad och medveten om säkerhet, utbildad i dina policyer etc. är också värt att visa efterlevnad runt.

A.15.1.2 Adressering av säkerhet inom leverantörsavtal

Alla relevanta informationssäkerhetskrav måste finnas hos varje leverantör som har tillgång till eller kan påverka organisationens information (eller tillgångar som bearbetar den). Återigen bör detta inte vara en storlek som passar alla – ta ett riskbaserat tillvägagångssätt kring de olika typerna av leverantörer som är involverade och det arbete de utför. Att arbeta med leverantörer som redan tillgodoser majoriteten av din organisations behov av informationssäkerhet för de tjänster de tillhandahåller till dig och som har en bra erfarenhet av att hantera informationssäkerhetsproblem på ett ansvarsfullt sätt är en mycket bra idé – eftersom det kommer att göra alla dessa processer mycket enklare.

Enkelt uttryckt, leta efter leverantörer som redan har uppnått en oberoende ISO 27001-certifiering eller motsvarande själva. Det är också viktigt att se till att leverantörerna hålls informerade och engagerade i eventuella ändringar av ISMS eller specifikt engagerade kring de delar som påverkar deras tjänster. Din revisor kommer att vilja se detta bevisat – så genom att föra ett register över detta i dina leverantörs onboarding-projekt eller årliga granskningar blir det enkelt att göra det.

Saker att inkludera i leveransomfattningen och avtalen omfattar i allmänhet: arbetet och dess omfattning; information i riskzonen och klassificering; juridiska och regulatoriska krav, t.ex. efterlevnad av GDPR och eller annan tillämplig lagstiftning; rapportering och granskningar; icke avslöjande; IPR; incidenthantering; specifika policyer att följa om det är viktigt för avtalet; skyldigheter för underleverantörer; screening på personal mm.

Ett bra standardavtal kommer att behandla dessa punkter, men som ovan kanske det inte krävs, och det kan vara överdrivet för typen av leverans, eller så är det kanske inte möjligt att tvinga en leverantör att följa din idé om god praxis . Var pragmatisk och riskcentrerad i tillvägagångssättet. Detta kontrollmål ansluter också nära till bilaga A.13.2.4 där sekretess och sekretessavtal är i fokus.

A.15.1.3 Försörjningskedja för informations- och kommunikationsteknik

En bra kontroll bygger på A.15.1.2 och fokuserar på de IKT-leverantörer som kan behöva något utöver eller istället för standardmetoden. ISO 27002 förespråkar många områden för implementering och även om dessa alla är bra, behövs också en viss pragmatism. Organisationen bör återigen erkänna sin storlek jämfört med några av de mycket stora leverantörerna som den ibland kommer att arbeta med (t.ex. datacenter och värdtjänster, banker etc), vilket potentiellt begränsar dess förmåga att påverka praxis längre in i försörjningskedjan. Organisationen bör noga överväga vilka risker det kan finnas baserat på den typ av informations- och kommunikationsteknologitjänster som tillhandahålls. Till exempel, om leverantören är en leverantör av infrastrukturkritiska tjänster och har tillgång till känslig information (t.ex. källkod för flaggskeppsmjukvarutjänsten) bör den säkerställa att det finns ett större skydd än om leverantören helt enkelt exponeras för allmänt tillgänglig information (t.ex. en enkel webbplats).

Vad är syftet med bilaga A.15.2?

Bilaga A.15.2 handlar om ledning av utveckling av leverantörstjänster. Målet i denna bilaga A-kontroll är att säkerställa att en överenskommen nivå av informationssäkerhet och leverans av tjänster upprätthålls i linje med leverantörsavtal.

A.15.2.1 Övervakning och granskning av leverantörstjänster
En bra kontroll bygger på A15.1 och beskriver hur organisationer regelbundet övervakar, granskar och reviderar sin leverans av leverantörstjänster. Att genomföra granskningar och övervakning görs bäst baserat på informationen i riskzonen – eftersom ett tillvägagångssätt i en storlek inte passar alla. Organisationen bör sträva efter att genomföra sina granskningar i linje med den föreslagna segmenteringen av leverantörer för att därför optimera deras resurser och se till att de fokuserar ansträngningarna på att övervaka och granska där det kommer att ha störst effekt. Som med A15.1, ibland finns det ett behov av pragmatism – du kommer inte nödvändigtvis att få en revision, genomgång av mänskliga relationer och dedikerade serviceförbättringar med AWS om du är en mycket liten organisation. Du kan dock kontrollera (säg) deras årligen publicerade SOC II-rapporter och säkerhetscertifieringar förblir lämpliga för ditt syfte.

Bevis för övervakning bör slutföras baserat på din makt, risker och värde, vilket gör det möjligt för din revisor att kunna se att den har slutförts och att alla nödvändiga ändringar har hanterats genom en formell förändringskontrollprocess.

A.15.2.2 Hantera ändringar av leverantörstjänster

En bra kontroll beskriver hur eventuella förändringar av leverantörernas tillhandahållande av tjänster, inklusive underhåll och förbättring av befintliga policyer, rutiner och kontroller för informationssäkerhet, hanteras. Den tar hänsyn till hur kritisk affärsinformation är, förändringens karaktär, vilken leverantörstyp/er som berörs, de inblandade systemen och processerna samt en omvärdering av risker. Förändringar av leverantörstjänster bör också ta hänsyn till intimiteten i relationen och organisationens förmåga att påverka eller kontrollera förändringar hos leverantören.

Hur hjälper ISMS.online med leverantörsrelationer?

ISMS.online har gjort detta kontrollmål mycket enkelt genom att tillhandahålla bevis på att dina relationer är noggrant utvalda, sköts väl i livet, inklusive att övervakas och granskas. Vårt lättanvända Kontorelationer (t.ex. leverantörer) område gör just det. Samarbetsprojektens arbetsytor är utmärkta för viktiga leverantörsintroduktioner, gemensamma initiativ, offboarding etc som revisorn också kan se med lätthet vid behov.

ISMS.online har också gjort detta kontrollmål lättare för din organisation genom att göra det möjligt för dig att tillhandahålla bevis på att leverantören formellt har åtagit sig att följa kraven och har förstått sitt ansvar för informationssäkerhet genom våra policypaket. Policypaket är idealiska där organisationen har specifika policyer och kontroller som den vill att leverantörspersonal ska följa och lita på att de har läst dem och åtagit sig att följa dem – utöver de bredare avtalen mellan kund och leverantör.