ISO 27001:2022 Bilaga A Kontroll 5.19

Allmän vägledning om ISO 27001:2022 bilaga A 5.19

Överensstämmelse med bilaga A Kontroll 5.19 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till informationssäkerhet i leverantörsrelationer.

En organisation kan vilja att leverantörer ska få tillgång till och bidra till vissa värdefulla informationstillgångar (t.ex. utveckling av mjukvarukod, redovisning av löneinformation). De skulle därför behöva ha tydliga avtal om exakt vilken åtkomst de tillåter dem, så att de kan kontrollera säkerheten runt det.

Detta är särskilt viktigt med allt fler informationshantering, bearbetning och tekniktjänster som läggs ut på entreprenad. Det betyder att ha ett ställe att visa att hanteringen av relationen sker; kontrakt, kontakter, incidenter, relationsaktivitet och riskhanterings etc. Där leverantören också är intimt involverad i organisationen, men kanske inte har sitt eget certifierade ISMS, då är det också värt att se till att leverantörspersonalen är utbildad och medveten om säkerhet, utbildad i dina policyer etc.

Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa leverantörsrelaterade policyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en övergripande leverantörshanteringspolicy som gäller för alla tredjepartsrelationer i en organisations kommersiella verksamhet.

Det är viktigt att notera att ISO 27001 Annex A Kontroll 5.19 ber organisationen att implementera policyer och procedurer som inte bara styr organisationens användning av leverantörsresurser och molnplattformar, utan också utgör grunden för hur de förväntar sig att deras leverantörer ska uppträda före och under hela den kommersiella relationens löptid.

Som sådan kan bilaga A Kontroll 5.19 ses som det väsentliga kvalifikationsdokumentet som dikterar hur informationssäkerhetsstyrningen hanteras under loppet av ett leverantörskontrakt.

ISO 27001 bilaga A Kontroll 5.19 innehåller 14 huvudriktlinjer som ska följas:

1) Upprätthålla ett korrekt register över leverantörstyper (t.ex. finansiella tjänster, IKT-hårdvara, telefoni) som har potential att påverka informationssäkerhetens integritet.

Compliance – Gör en lista över alla leverantörer som din organisation arbetar med, kategorisera dem efter deras affärsfunktion och lägg till kategorier till nämnda leverantörstyper när och när det behövs.

2) Förstå hur man vet leverantörer, baserat på risknivån för deras leverantörstyp.

Compliance – Olika leverantörstyper kommer att kräva olika due diligence-kontroller. Överväg att använda granskningsmetoder på leverantör-för-leverantör-basis (t.ex. branschreferenser, finansiella rapporter, bedömningar på plats, sektorspecifika certifieringar som Microsoft Partnerships).

3) Identifiera leverantörer som har befintliga informationssäkerhetskontroller på plats.

Compliance – Be att få se kopior av leverantörers relevanta rutiner för informationssäkerhetsstyrning, för att utvärdera risken för din egen organisation. Om de inte har några är det inte ett gott tecken.

4) Identifiera och definiera de specifika områden av din organisations IKT-infrastruktur som dina leverantörer kommer att antingen ha tillgång till, övervaka eller använda sig av.

Compliance – Det är viktigt att från början fastställa exakt hur dina leverantörer kommer att interagera med dina IKT-tillgångar – vare sig de är fysiska eller virtuella – och vilka nivåer av åtkomst de beviljas i enlighet med sina avtalsenliga skyldigheter.

5) Definiera hur leverantörernas egen IKT-infrastruktur kan påverka din egen data och dina kunders.

Compliance – En organisations första skyldighet är att uppfylla sin egen uppsättning informationssäkerhetsstandarder. Leverantörers IKT-tillgångar måste ses över i enlighet med deras potential att påverka drifttid och integritet i hela din organisation.

6) Identifiera och hantera de olika informationssäkerhetsrisker som är kopplade till:

a. Leverantörens användning av konfidentiell information eller skyddade tillgångar (t.ex. begränsad till uppsåtlig användning och/eller kriminella avsikter).

b. Felaktig leverantörshårdvara eller felaktig mjukvaruplattform associerad med lokala eller molnbaserade tjänster.

Compliance – Organisationer måste ständigt vara uppmärksamma på informationssäkerhetsriskerna som är förknippade med katastrofala händelser, såsom skändlig leverantörsaktivitet eller större oförutsedda programvaruincidenter, och deras inverkan på organisationens informationssäkerhet.

7) Övervaka efterlevnad av informationssäkerhet utifrån ämnesspecifik eller leverantörstyp.

Compliance – Organisationens behov av att uppskatta informationssäkerhet implikationer som är inneboende inom varje leverantörstyp, och justera deras övervakningsaktivitet för att tillgodose olika risknivåer.

8) Begränsa mängden skada och/eller avbrott som orsakas av bristande efterlevnad.

Compliance – Leverantörsverksamheten bör övervakas på lämpligt sätt och i varierande grad i enlighet med dess risknivå. Om bristande efterlevnad upptäcks, antingen proaktivt eller reaktivt, bör omedelbara åtgärder vidtas.

9) Behåll en robust incidenthantering förfarande som hanterar en rimlig mängd oförutsedda händelser.

Compliance – Organisationer bör förstå exakt hur de ska reagera när de ställs inför ett brett spektrum av händelser som rör leverans av tredjepartsprodukter och tjänster, och beskriva korrigerande åtgärder som omfattar både leverantören och organisationen.

10) Vidta åtgärder som tillgodoser tillgängligheten och behandlingen av leverantörens information, var den än används, och därigenom säkerställa integriteten hos organisationens egen information.

Compliance – Åtgärder bör vidtas för att säkerställa att leverantörssystem och data hanteras på ett sätt som inte kompromissar med tillgängligheten och säkerheten för organisationens egna system och information.

11) Utarbeta en grundlig utbildningsplan som ger vägledning om hur personalen ska interagera med leverantörspersonal och information leverantör för leverantör eller typ för typ.

Compliance – Utbildning bör täcka hela spektrumet av styrning mellan en organisation och dess leverantörer, inklusive engagemang, granulära riskhanteringskontroller och ämnesspecifika förfaranden.

12) Förstå och hantera risknivån vid överföring av information och fysiska och virtuella tillgångar mellan organisationen och deras leverantörer.

Compliance – Organisationer bör kartlägga varje steg i överföringsprocessen och utbilda personalen om riskerna med att flytta tillgångar och information från en källa till en annan.

13) Se till att leverantörsrelationer avslutas med informationssäkerhet i åtanke, inklusive att ta bort åtkomsträttigheter och möjligheten att få tillgång till organisationsinformation.

Compliance – Dina IKT-team bör ha en klar förståelse för hur man återkallar en leverantörs tillgång till information, inklusive:

• Granulär analys av alla associerade domäner och/eller molnbaserade konton.
• Distribution av immateriella rättigheter.
• Överföring av information mellan leverantörer eller tillbaka till din organisation.
• Dokumenthantering.
• Återlämna tillgångar till sin ursprungliga ägare.
• Tillräckligt omhändertagande av fysiska och virtuella tillgångar, inklusive information.
• Efterlevnad av eventuella avtalskrav, inklusive sekretessklausuler och/eller externa avtal.

14) Beskriv exakt hur du förväntar dig att leverantören ska uppträda när det gäller fysiska och virtuella säkerhetsåtgärder.

Compliance – Organisationer bör ställa tydliga förväntningar från början av alla kommersiella relationer, som specificerar hur personal på leverantörssidan förväntas uppträda när de interagerar med din personal eller andra relevanta tillgångar.

Kompletterande vägledning om bilaga A 5.19

ISO erkänner att det inte alltid är möjligt att införa en fullständig uppsättning policyer för en leverantör som uppfyller varje krav från listan ovan som ISO 27001 Annex A Control 5.19 avser, särskilt när det handlar om stela offentliga organisationer.

Med detta sagt anger bilaga A Kontroll 5.19 tydligt att organisationer bör använda ovanstående vägledning när de bildar relationer med leverantörer och överväga bristande efterlevnad från fall till fall.

Där full efterlevnad inte kan uppnås, ger bilaga A Kontroll 5.19 organisationer utrymme genom att rekommendera "kompenserande kontroller" som uppnår adekvata nivåer av riskhantering, baserat på en organisations unika omständigheter.

Vilka är ändringarna från ISO 27001:2013?

ISO 27001:2022 bilaga A 5.19 ersätter ISO 27001:2013 Bilaga A 15.1.1 (Informationssäkerhetspolicy för leverantörsrelationer).

ISO 27001:2022 Annex A 5.19 följer i stort sett samma underliggande koncept som ingår i 2013 års kontroll, men innehåller flera ytterligare vägledningsområden som antingen har utelämnats från ISO 27001:2013 Annex A 5.1.1, eller åtminstone inte omfattas av lika mycket detaljer, inklusive:

• Granskning av leverantörer baserat på deras leverantörstyp och risknivå.
• Behovet av att säkerställa integriteten hos leverantörsinformation för att säkra sin egen data och säkerställa kontinuitet i verksamheten.
• De olika steg som krävs för att avsluta ett leverantörsförhållande, inklusive avveckling av åtkomsträttigheter, IP-distribution, avtalsavtal etc.

ISO 27001:2022 bilaga A 5.19 är också explicit när det gäller att erkänna den mycket varierande karaktären hos leverantörsrelationer (baserat på typ, sektor och risknivå), och ger organisationer ett visst utrymme när de överväger möjligheten att bristande efterlevnad av en given vägledning punkt, baserat på förhållandets natur (se "Kompletterande vägledning" ovan).

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.

Hur hjälper ISMS.online med leverantörsrelationer?

ISMS.online har gjort detta kontrollmål mycket enkelt genom att tillhandahålla bevis på att dina relationer är noggrant utvalda, sköts väl i livet, inklusive att övervakas och granskas. Vårt lättanvända Kontorelationer (t.ex. leverantörer) område gör just det. Samarbetsprojektens arbetsplatser är utmärkta för viktiga leverantörsintroduktioner, gemensamma initiativ, off-boarding etc som revisorn också kan se med lätthet vid behov.

ISMS.online har också gjort detta kontrollmål lättare för din organisation genom att göra det möjligt för dig att tillhandahålla bevis på att leverantören formellt har åtagit sig att följa kraven och har förstått sitt ansvar för informationssäkerhet genom våra policypaket. Policypaket är idealiska där organisationen har specifika policyer och kontroller som den vill att leverantörspersonalen ska följa och lita på att de har läst dem och åtagit sig att följa dem – utöver de bredare avtalen mellan kund och leverantör.

Beroende på ändringens karaktär (dvs. för mer väsentliga ändringar) kan det finnas ett bredare krav på att anpassa sig till A.6.1.5 informationssäkerhet i projektledning.

Med ISMS.online kan du:

• Implementera snabbt ett Information Security Management System (ISMS).
• Hantera enkelt dokumentationen för ditt ISMS.
• Effektivisera efterlevnaden av alla relevanta standarder.
• Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
• Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.

Hör av dig idag för att boka en demo.