ISO 27001:2022 Annex A 5.20 – Adressering av informationssäkerhet inom leverantörsavtal

Vad är syftet med ISO 27001:2022 bilaga A 5.20?

ISO 27001 Annex A Kontroll 5.20 styr hur en organisation bildar ett avtal med en leverantör utifrån deras krav på säkerhet. Detta är baserat på vilka typer av leverantörer de arbetar med.

Som en del av bilaga A Kontroll 5.20 måste organisationer och deras leverantörer komma överens om ömsesidigt godtagbar informationssäkerhet skyldigheter att upprätthålla risk.

Vem har äganderätten till bilaga A 5.20?

Bilaga Kontroll 5.20 bör bestämmas av huruvida organisationen driver sin egen juridiska avdelning, samt arten av det avtal som har undertecknats.

Hantera eventuella förändringar i försörjningskedjan policyer, procedurer och kontroller, inklusive underhåll och förbättring av befintliga policyer, procedurer och kontroller för informationssäkerhet, anses vara effektiv kontroll.

Detta bestäms genom att ta hänsyn till affärsinformationens kritiska karaktär, förändringens karaktär, vilken typ av leverantörer som berörs, vilka system och processer som är involverade och att omvärdera riskfaktorer. Att förändra de tjänster en leverantör tillhandahåller bör också ta hänsyn till relationens intimitet och organisationens förmåga att påverka eller kontrollera förändringen.

Äganderätten till 5.20 bör ligga hos den person som är ansvarig för juridiskt bindande avtal inom organisationen (kontrakt, samförståndsavtal, servicenivåavtal etc.) om organisationen har rättskapacitet att utarbeta, ändra och lagra sina avtalsavtal utan inblandning av tredje parter.

En medlem av högsta ledningen i organisationen som övervakar den kommersiella verksamheten i organisationen och upprätthåller direkta relationer med dess leverantörer bör ta ansvar för bilaga A Kontroll 5.20 om organisationen lägger ut sådana avtal på entreprenad.

ISO 27001:2022 Bilaga A 5.20 Allmän vägledning

Kontroll 5.20 i bilaga A innehåller 25 vägledningspunkter som ISO anger är "möjliga att överväga" (dvs inte nödvändigtvis alla) för att organisationer ska kunna uppfylla sina krav på informationssäkerhet.

Bilaga A Kontroll 5.20 specificerar att oavsett vidtagna åtgärder måste båda parter komma ut ur processen med en "tydlig förståelse" av varandras informationssäkerhetsskyldigheter.

1. Det är viktigt att tillhandahålla en tydlig beskrivning av den information som behöver kommas åt och hur den informationen kommer att nås.
2. Organisationer bör klassificera information enligt sina publicerade klassificeringssystem (se bilaga A, kontroller 5.10, 5.12 och 5.13).
3. Informationsklassificering på leverantörens sida bör övervägas tillsammans med hur det förhåller sig till det på organisationens sida.
4. Generellt kan båda parters rättigheter delas in i fyra kategorier: juridiska, lagstadgade, regulatoriska och avtalsenliga. Som standard med kommersiella avtal bör olika skyldigheter tydligt anges inom dessa fyra områden, inklusive tillgång till personlig information, immateriella rättigheter och upphovsrättsliga bestämmelser. Kontraktet bör också omfatta hur dessa nyckelområden kommer att behandlas separat.
5. Som en del av kontrollsystemet i bilaga A bör varje part åläggas att genomföra samtidiga åtgärder utformade för att övervaka, bedöma och hantera informationssäkerhetsrisker (såsom policyer för åtkomstkontroll, avtalsgranskningar, övervakning, rapportering och periodisk revision). Vidare bör avtalet tydligt ange att leverantörspersonal ska följa organisationens informationssäkerhetsstandarder (se ISO 27001 bilaga A Kontroll 5.20).
6. Båda parter måste tydligt förstå vad som utgör acceptabel och oacceptabel användning av information, såväl som fysiska och virtuella tillgångar.
7. För att säkerställa att personal på leverantörssidan kan komma åt och se en organisations information bör rutiner införas (t.ex. granskningar på leverantörssidan och kontroll av serveråtkomst).
8. Förutom att ta hänsyn till leverantörens IKT-infrastruktur är det viktigt att förstå hur det relaterar till vilken typ av information organisationen kommer att få tillgång till. Detta är ett tillägg till organisationens kärnuppsättning affärskrav.
9. Om leverantören bryter mot avtalet eller inte följer individuella villkor bör organisationen överväga vilka åtgärder den kan vidta.
10. Konkret ska avtalet beskriva ett förfarande för ömsesidig incidenthantering som klargör hur problem ska hanteras när de uppstår. Detta inkluderar hur båda parter ska kommunicera när en incident inträffar.
11. Båda parter bör tillhandahålla adekvat medvetenhetsutbildning (där standardutbildning inte är tillräcklig) inom nyckelområden i avtalet, särskilt inom riskområden som incidenthantering och informationsdelning.
12. Användningen av underleverantörer bör behandlas på lämpligt sätt. Organisationer bör säkerställa att, om leverantören tillåts använda underleverantörer, sådana individer eller företag följer samma informationssäkerhetsstandarder som leverantören.
13. Så långt det är juridiskt och operativt möjligt bör organisationer överväga hur leverantörspersonal kontrolleras innan de interagerar med deras information. Dessutom bör de överväga hur screeningarna registreras och rapporteras till organisationen, inklusive icke-screenad personal och problemområden.
14. Tredjepartsintyg, till exempel oberoende rapporter och tredjepartsrevisioner, bör krävas av organisationer för leverantörer som uppfyller deras krav på informationssäkerhet.
15. ISO 27001:2022 bilaga A Kontroll 5.20 kräver att organisationer har rätt att utvärdera och granska sina leverantörers rutiner.
16. En leverantör bör åläggas att tillhandahålla periodiska rapporter (med varierande intervall) som sammanfattar effektiviteten av deras processer och procedurer och hur de avser att ta itu med eventuella problem.
17. Under förhållandet bör avtalet innehålla åtgärder för att säkerställa att eventuella defekter eller konflikter löses i tid och grundligt.
18. En lämplig BUDR-policy bör implementeras av leverantören, skräddarsydd för att möta organisationens behov, som tar upp tre viktiga överväganden: a) Säkerhetskopieringstyp (fullständig server, fil och mapp, inkrementell), b) Säkerhetskopieringsfrekvens (dagligen, veckovis, etc.). ) C) Säkerhetskopieringsplats och källmedia (på plats, utanför platsen).
19. Det är viktigt att säkerställa datamotståndskraft genom att arbeta från en katastrofåterställningsanläggning skild från leverantörens huvudsakliga IKT-plats. Denna anläggning är inte föremål för samma risknivå som den huvudsakliga IKT-platsen.
20. Leverantörer bör upprätthålla en omfattande policy för förändringshantering som gör det möjligt för organisationen att avvisa alla ändringar som kan påverka informationssäkerheten i förväg.
21. Fysiska säkerhetskontroller bör implementeras beroende på vilken information de får tillgång till (tillträde till byggnader, besökstillträde, rumstillträde, skrivbordssäkerhet).
22. Närhelst data överförs mellan tillgångar, webbplatser, servrar eller lagringsplatser bör leverantörer se till att data och tillgångar är skyddade mot förlust, skada eller korruption.
23. Som en del av avtalet bör varje part åläggas att vidta en omfattande lista över åtgärder i händelse av uppsägning (se bilaga A Kontroll 5.20). Dessa åtgärder inkluderar (men är inte begränsade till): a) avyttring av tillgångar och/eller omlokalisering, b) radering av information, c) returnering av IP, d) borttagande av åtkomsträttigheter e) fortsatta sekretessskyldigheter.
24. Utöver punkt 23 bör leverantören i detalj diskutera hur den avser att förstöra/permanent radera organisationens information när den inte längre behövs (dvs. vid avtalets upphörande).
25. Närhelst ett kontrakt upphör och behov uppstår att överföra support och/eller tjänster till en annan leverantör som inte är listad i kontraktet, vidtas åtgärder för att säkerställa att affärsverksamheten inte avbryts.

Bifogade kontroller i bilaga A

• ISO 27001:2022 bilaga A 5.10
• ISO 27001:2022 bilaga A 5.12
• ISO 27001:2022 bilaga A 5.13
• ISO 27001:2022 bilaga A 5.20

Kompletterande vägledning om bilaga A 5.20

Bilaga A Kontroll 5.20 rekommenderar att organisationer för ett register över avtal för att hjälpa dem att hantera sina leverantörsrelationer.

Register över alla avtal som hålls med andra organisationer bör föras, kategoriserade efter relationens karaktär. Detta inkluderar kontrakt, samförståndsavtal och avtal som rör informationsdelning.

Vilka är ändringarna från ISO 27001:2013?

En ändring av ISO 27001:2013 Annex A 15.1.2 (Adressering av säkerhet inom leverantörsavtal) har gjorts för att ISO 27001: 2022 Bilaga A Kontroll 5.20.

Flera ytterligare riktlinjer finns i bilaga A Kontroll 5.20 i ISO 27001:2022 som tar upp ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade frågor, inklusive:

• Överlämningsförfarandet.
• Förstörelse av information.
• Bestämmelser för uppsägning.
• Kontroller för fysisk säkerhet.
• Ändra hanteringen.
• Informationsredundans och backuper.

Som en allmän regel betonar ISO 27001:2022 Annex A 5.20 hur en leverantör uppnår redundans och dataintegritet genom hela ett kontrakt.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vilka är fördelarna med att använda ISMS.online för leverantörsrelationer?

En checklista steg för steg guidar dig genom det hela ISO 27001 implementeringsprocess, från att definiera omfattningen av ditt ISMS till att identifiera risker och implementera kontroller.

Genom ISMS.onlines lättanvända Kontorelationer (t.ex. leverantörer) område kan du säkerställa att dina relationer är noggrant utvalda, hanteras väl i livet och övervakas och granskas. ISMS.onlines arbetsplatser för samarbetsprojekt har lätt uppfyllt detta kontrollmål. Dessa arbetsytor är användbara för leverantörer ombordstigning, gemensamma initiativ, offboarding etc., som revisorn också enkelt kan se vid behov.

Vi har också gjort detta kontrollmål lättare för din organisation genom att göra det möjligt för dig att visa att leverantören formellt har förbundit sig att följa kraven. Detta görs genom vår Policypaket. Dessa policypaket är särskilt användbara för organisationer med specifika policyer och kontroller som de vill att deras leverantörer ska följa så att de kan lita på att deras leverantörer har läst dessa policyer och har åtagit sig att följa dem.

Det kan vara nödvändigt att anpassa ändringen till A.6.1.5 Informationssäkerhet i projektledning beroende på ändringens karaktär (t.ex. för mer omfattande ändringar).

Boka en demo idag.