ISO 27002:2022, Kontroll 5.19 – Informationssäkerhet i leverantörsrelationer

Äganderätt till kontroll 5.19

Även om Control 5.19 innehåller mycket vägledning om användningen av IKT-tjänster, omfattar den bredare omfattningen av kontrollen många andra aspekter av en organisations relation till dess leverantörsbas, inklusive leverantörstyper, logistik, verktyg, finansiella tjänster och infrastrukturkomponenter).

Som sådan bör ägandet av Control 5.19 vila hos en medlem av högsta ledningen som övervakar en organisations kommersiella verksamhet och upprätthåller en direkt relation med en organisations leverantörer, t.ex. Chief Operating Officer.

Allmän vägledning

Överensstämmelse med kontroll 5.19 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till informationssäkerhet i leverantörsrelationer.

Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa leverantörsrelaterade policyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en filt leverantörshanteringspolicy som gäller alla tredje parts relationer i en organisations kommersiella verksamhet.

Det är viktigt att notera att Control 5.19 ber organisationen att implementera policyer och procedurer som inte bara styr organisationens användning av leverantörsresurser och molnplattformar, utan också utgör grunden för hur de förväntar sig att deras leverantörer ska uppträda inför och under hela mandatperioden. det kommersiella förhållandet.

Som sådan kan Control 5.19 ses som det väsentliga kvalifikationsdokumentet som dikterar hur informationssäkerhetsstyrningen hanteras under ett leverantörskontrakt.

Kontroll 5.19 innehåller 14 huvudriktlinjer som ska följas:

1) Upprätthålla ett korrekt register över leverantörstyper (t.ex. finansiella tjänster, IKT-hårdvara, telefoni) som har potential att påverka informationssäkerhetens integritet.

Compliance – Gör en lista över alla leverantörer som din organisation arbetar med, kategorisera dem efter deras affärsfunktion och lägg till kategorier till nämnda leverantörstyper när och när det behövs.

2) Förstå hur du vet leverantörer, baserat på risknivån för deras leverantörstyp.

Compliance – Olika leverantörstyper kommer att kräva olika due diligence-kontroller. Överväg att använda granskningsmetoder på leverantör-för-leverantör-basis (t.ex. branschreferenser, finansiella rapporter, bedömningar på plats, sektorspecifika certifieringar som Microsoft Partnerships).

3) Identifiera leverantörer som har redan existerande informationssäkerhetskontroller på plats.

Compliance – Be att få se kopior av leverantörers relevanta rutiner för informationssäkerhetsstyrning, för att utvärdera risken för din egen organisation. Om de inte har några är det inte ett gott tecken.

4) Identifiera och definiera de specifika områden av din organisations IKT-infrastruktur som dina leverantörer kommer att kunna antingen komma åt, övervaka eller använda sig av själva.

Compliance – Det är viktigt att från början fastställa exakt hur dina leverantörer kommer att interagera med dina IKT-tillgångar – vare sig de är fysiska eller virtuella – och vilka nivåer av åtkomst de beviljas i enlighet med sina avtalsenliga skyldigheter.

5) Definiera hur leverantörernas egen IKT-infrastruktur kan påverka din egen data och dina kunders.

Compliance – En organisations första skyldighet är att uppfylla sin egen uppsättning informationssäkerhetsstandarder. Leverantörers IKT-tillgångar måste ses över i enlighet med deras potential att påverka drifttiden och integriteten i hela din organisation.

6) Identifiera och hantera de olika informationssäkerhetsrisker bifogad:

a. Leverantörens användning av konfidentiell information eller skyddade tillgångar (t.ex. begränsad till uppsåtlig användning och/eller kriminella avsikter).

b. Felaktig leverantörshårdvara eller felaktig mjukvaruplattform associerad med lokala eller molnbaserade tjänster.

Compliance – Organisationer måste ständigt vara uppmärksamma på informationssäkerhetsriskerna som är förknippade med katastrofala händelser, såsom skändlig leverantörsaktivitet eller större oförutsedda programvaruincidenter, och deras inverkan på organisationens informationssäkerhet.

Allmän vägledning fortsättning

7) Övervaka efterlevnad av informationssäkerhet på basis av ämnesspecifik eller leverantörstyp.

Compliance – Organisationens behov av att inse de inneboende konsekvenserna för informationssäkerheten inom varje leverantörstyp och anpassa sin övervakningsverksamhet för att ta hänsyn till olika risknivåer.

8) Begränsa mängden skada och/eller avbrott som orsakas av bristande efterlevnad.

Compliance – Leverantörsverksamheten bör övervakas på lämpligt sätt och i varierande grad i enlighet med dess risknivå. Om bristande efterlevnad upptäcks, antingen proaktivt eller reaktivt, bör omedelbara åtgärder vidtas.

9) Underhålla a robust incidenthanteringsprocedur som hanterar en rimlig mängd oförutsedda händelser.

Compliance – Organisationer bör förstå exakt hur de ska reagera när de ställs inför ett brett spektrum av händelser som rör leverans av tredjepartsprodukter och tjänster, och beskriva korrigerande åtgärder som omfattar både leverantören och organisationen.

10) Anta åtgärder som tillgodoser tillgängligheten och behandlingen av leverantörens information, var den än används, och säkerställer därmed integriteten hos organisationens egen information.

Compliance – Åtgärder bör vidtas för att säkerställa att leverantörssystem och data hanteras på ett sätt som inte kompromissar med tillgängligheten och säkerheten för organisationens egna system och information.

11) Utarbeta en grundlig utbildningsplan som ger vägledning om hur personalen ska interagera med leverantörspersonal och information från leverantör till leverantör eller typ för typ.

Compliance – Utbildning bör täcka hela spektrumet av styrning mellan en organisation och dess leverantörer, inklusive engagemang, detaljerat riskhanteringskontroller och ämnesspecifika procedurer.

12) Förstå och hantera risknivån vid överföring av information och fysiska och virtuella tillgångar mellan organisationen och deras leverantörer.

Compliance – Organisationer bör kartlägga varje steg i överföringsprocessen och utbilda personalen om risker i samband med att flytta tillgångar och information från en källa till en annan.

13) Se till att leverantörsrelationer avslutas med informationssäkerhet i åtanke, inklusive att ta bort åtkomsträttigheter och möjligheten att få tillgång till organisationsinformation.

Compliance – Dina IKT-team bör ha en klar förståelse för hur man återkallar en leverantörs tillgång till information, inklusive:

• Granulär analys av alla associerade domäner och/eller molnbaserade konton.
• Distribution av immateriella rättigheter.
• Överföring av information mellan leverantörer eller tillbaka till din organisation.
• Dokumenthantering.
• Återlämna tillgångar till sin ursprungliga ägare.
• Tillräckligt omhändertagande av fysiska och virtuella tillgångar, inklusive information.
• Efterlevnad av eventuella avtalskrav, inklusive sekretessklausuler och/eller externa avtal.

14) Beskriv exakt hur du förväntar dig att leverantören ska uppträda när det gäller fysiska och virtuella säkerhetsåtgärder.

Compliance – Organisationer bör ställa tydliga förväntningar från början av alla kommersiella relationer, som specificerar hur personal på leverantörssidan förväntas uppträda när de interagerar med din personal eller andra relevanta tillgångar.

Kompletterande vägledning

ISO erkänner att det inte alltid är möjligt att påtvinga en leverantör en fullständig uppsättning policyer som uppfyller varje krav från listan ovan som Control 5.19 avser, särskilt när det handlar om stela offentliga organisationer.

Med detta sagt, anger kontroll 5.19 tydligt att organisationer bör använda ovanstående vägledning när de bildar relationer med leverantörer och överväga bristande efterlevnad från fall till fall.

Där full efterlevnad inte kan uppnås ger Control 5.19 organisationer utrymme genom att rekommendera "kompenserande kontroller" som uppnår adekvata nivåer av riskhantering, baserat på en organisations unika omständigheter.

Ändringar från ISO 27002:2013

27002:2022-5.19 ersätter 27002:2013-5.1.1 (Informationssäkerhetspolicy för leverantörsrelationer).

27002:2022-5.19 ansluter sig i stora drag till samma underliggande begrepp som finns i 2013 års kontroll, men innehåller flera ytterligare vägledningsområden som antingen är utelämnade från 27002:2013-5.1.1, eller åtminstone inte täcks så ingående, Inklusive:

• Granskning av leverantörer baserat på deras leverantörstyp och risknivå.
• Behovet av att säkerställa integriteten hos leverantörsinformation för att säkra sin egen data och säkerställa kontinuitet i verksamheten.
• De olika steg som krävs för att avsluta ett leverantörsförhållande, inklusive avveckling av åtkomsträttigheter, IP-distribution, avtalsavtal etc.

27002:2022-5.19 är också explicit när det gäller att erkänna den mycket varierande karaktären av leverantörsrelationer (baserat på typ, sektor och risknivå), och ger organisationer ett visst utrymme när de överväger möjligheten av bristande efterlevnad av en given vägledningspunkt, baserat på förhållandets karaktär (se "Kompletterande vägledning" ovan).

Hur ISMS.online hjälper

Använda ISMS.online kan du:

• Implementera snabbt en Information Security Management System (ISMS).
• Hantera enkelt dokumentationen för ditt ISMS.
• Effektivisera efterlevnaden av alla relevanta standarder.
• Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
• Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.

Det är en enkel fråga att skapa ett gratis testkonto och följa stegen vi tillhandahåller.

Hör av dig idag för att boka en demo.