Kontroll 5.19 handlar om en organisations skyldighet att säkerställa att, vid användning av produkter och tjänster på leverantörssidan (inklusive leverantörer av molntjänster), tillräcklig hänsyn tas till risknivån i att använda externa system, och den därav följande inverkan som kan ha på deras egen efterlevnad av informationssäkerhet.
5.19 är en förebyggande kontroll den där ändrar risken genom att upprätthålla rutiner som tar itu med inneboende säkerhetsrisker i samband med användningen av produkter och tjänster som tillhandahålls av tredje part.
Medan kontroll 5.20 handlar om informationssäkerhet inom leverantörsavtal, handlar kontroll 5.19 i stort om efterlevnad under hela förhållandet.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem #Skydd |
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
Även om Control 5.19 innehåller mycket vägledning om användningen av IKT-tjänster, omfattar den bredare omfattningen av kontrollen många andra aspekter av en organisations relation till dess leverantörsbas, inklusive leverantörstyper, logistik, verktyg, finansiella tjänster och infrastrukturkomponenter).
Som sådan bör ägandet av Control 5.19 vila hos en medlem av högsta ledningen som övervakar en organisations kommersiella verksamhet och upprätthåller en direkt relation med en organisations leverantörer, t.ex. Chief Operating Officer.
Överensstämmelse med kontroll 5.19 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till informationssäkerhet i leverantörsrelationer.
Ämnesspecifika tillvägagångssätt uppmuntrar organisationer att skapa leverantörsrelaterade policyer som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en filt leverantörshanteringspolicy som gäller alla tredje parts relationer i en organisations kommersiella verksamhet.
Det är viktigt att notera att Control 5.19 ber organisationen att implementera policyer och procedurer som inte bara styr organisationens användning av leverantörsresurser och molnplattformar, utan också utgör grunden för hur de förväntar sig att deras leverantörer ska uppträda inför och under hela mandatperioden. det kommersiella förhållandet.
Som sådan kan Control 5.19 ses som det väsentliga kvalifikationsdokumentet som dikterar hur informationssäkerhetsstyrningen hanteras under ett leverantörskontrakt.
Kontroll 5.19 innehåller 14 huvudriktlinjer som ska följas:
1) Upprätthålla ett korrekt register över leverantörstyper (t.ex. finansiella tjänster, IKT-hårdvara, telefoni) som har potential att påverka informationssäkerhetens integritet.
Compliance – Gör en lista över alla leverantörer som din organisation arbetar med, kategorisera dem efter deras affärsfunktion och lägg till kategorier till nämnda leverantörstyper när och när det behövs.
2) Förstå hur du vet leverantörer, baserat på risknivån för deras leverantörstyp.
Compliance – Olika leverantörstyper kommer att kräva olika due diligence-kontroller. Överväg att använda granskningsmetoder på leverantör-för-leverantör-basis (t.ex. branschreferenser, finansiella rapporter, bedömningar på plats, sektorspecifika certifieringar som Microsoft Partnerships).
3) Identifiera leverantörer som har redan existerande informationssäkerhetskontroller på plats.
Compliance – Be att få se kopior av leverantörers relevanta rutiner för informationssäkerhetsstyrning, för att utvärdera risken för din egen organisation. Om de inte har några är det inte ett gott tecken.
4) Identifiera och definiera de specifika områden av din organisations IKT-infrastruktur som dina leverantörer kommer att kunna antingen komma åt, övervaka eller använda sig av själva.
Compliance – Det är viktigt att från början fastställa exakt hur dina leverantörer kommer att interagera med dina IKT-tillgångar – vare sig de är fysiska eller virtuella – och vilka nivåer av åtkomst de beviljas i enlighet med sina avtalsenliga skyldigheter.
5) Definiera hur leverantörernas egen IKT-infrastruktur kan påverka din egen data och dina kunders.
Compliance – En organisations första skyldighet är att uppfylla sin egen uppsättning informationssäkerhetsstandarder. Leverantörers IKT-tillgångar måste ses över i enlighet med deras potential att påverka drifttiden och integriteten i hela din organisation.
6) Identifiera och hantera de olika informationssäkerhetsrisker bifogad:
a. Leverantörens användning av konfidentiell information eller skyddade tillgångar (t.ex. begränsad till uppsåtlig användning och/eller kriminella avsikter).
b. Felaktig leverantörshårdvara eller felaktig mjukvaruplattform associerad med lokala eller molnbaserade tjänster.
Compliance – Organisationer måste ständigt vara uppmärksamma på informationssäkerhetsriskerna som är förknippade med katastrofala händelser, såsom skändlig leverantörsaktivitet eller större oförutsedda programvaruincidenter, och deras inverkan på organisationens informationssäkerhet.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
7) Övervaka efterlevnad av informationssäkerhet på basis av ämnesspecifik eller leverantörstyp.
Compliance – Organisationens behov av att inse de inneboende konsekvenserna för informationssäkerheten inom varje leverantörstyp och anpassa sin övervakningsverksamhet för att ta hänsyn till olika risknivåer.
8) Begränsa mängden skada och/eller avbrott som orsakas av bristande efterlevnad.
Compliance – Leverantörsverksamheten bör övervakas på lämpligt sätt och i varierande grad i enlighet med dess risknivå. Om bristande efterlevnad upptäcks, antingen proaktivt eller reaktivt, bör omedelbara åtgärder vidtas.
9) Underhålla a robust incidenthanteringsprocedur som hanterar en rimlig mängd oförutsedda händelser.
Compliance – Organisationer bör förstå exakt hur de ska reagera när de ställs inför ett brett spektrum av händelser som rör leverans av tredjepartsprodukter och tjänster, och beskriva korrigerande åtgärder som omfattar både leverantören och organisationen.
10) Anta åtgärder som tillgodoser tillgängligheten och behandlingen av leverantörens information, var den än används, och säkerställer därmed integriteten hos organisationens egen information.
Compliance – Åtgärder bör vidtas för att säkerställa att leverantörssystem och data hanteras på ett sätt som inte kompromissar med tillgängligheten och säkerheten för organisationens egna system och information.
11) Utarbeta en grundlig utbildningsplan som ger vägledning om hur personalen ska interagera med leverantörspersonal och information från leverantör till leverantör eller typ för typ.
Compliance – Utbildning bör täcka hela spektrumet av styrning mellan en organisation och dess leverantörer, inklusive engagemang, detaljerat riskhanteringskontroller och ämnesspecifika procedurer.
12) Förstå och hantera risknivån vid överföring av information och fysiska och virtuella tillgångar mellan organisationen och deras leverantörer.
Compliance – Organisationer bör kartlägga varje steg i överföringsprocessen och utbilda personalen om risker i samband med att flytta tillgångar och information från en källa till en annan.
13) Se till att leverantörsrelationer avslutas med informationssäkerhet i åtanke, inklusive att ta bort åtkomsträttigheter och möjligheten att få tillgång till organisationsinformation.
Compliance – Dina IKT-team bör ha en klar förståelse för hur man återkallar en leverantörs tillgång till information, inklusive:
14) Beskriv exakt hur du förväntar dig att leverantören ska uppträda när det gäller fysiska och virtuella säkerhetsåtgärder.
Compliance – Organisationer bör ställa tydliga förväntningar från början av alla kommersiella relationer, som specificerar hur personal på leverantörssidan förväntas uppträda när de interagerar med din personal eller andra relevanta tillgångar.
ISO erkänner att det inte alltid är möjligt att påtvinga en leverantör en fullständig uppsättning policyer som uppfyller varje krav från listan ovan som Control 5.19 avser, särskilt när det handlar om stela offentliga organisationer.
Med detta sagt, anger kontroll 5.19 tydligt att organisationer bör använda ovanstående vägledning när de bildar relationer med leverantörer och överväga bristande efterlevnad från fall till fall.
Där full efterlevnad inte kan uppnås ger Control 5.19 organisationer utrymme genom att rekommendera "kompenserande kontroller" som uppnår adekvata nivåer av riskhantering, baserat på en organisations unika omständigheter.
27002:2022-5.19 ersätter 27002:2013-5.1.1 (Informationssäkerhetspolicy för leverantörsrelationer).
27002:2022-5.19 ansluter sig i stora drag till samma underliggande begrepp som finns i 2013 års kontroll, men innehåller flera ytterligare vägledningsområden som antingen är utelämnade från 27002:2013-5.1.1, eller åtminstone inte täcks så ingående, Inklusive:
27002:2022-5.19 är också explicit när det gäller att erkänna den mycket varierande karaktären av leverantörsrelationer (baserat på typ, sektor och risknivå), och ger organisationer ett visst utrymme när de överväger möjligheten av bristande efterlevnad av en given vägledningspunkt, baserat på förhållandets karaktär (se "Kompletterande vägledning" ovan).
Använda ISMS.online kan du:
Det är en enkel fråga att skapa ett gratis testkonto och följa stegen vi tillhandahåller.
Hör av dig idag för att boka en demo.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |