Kontroll 5.20 styr hur en organisation bildar ett avtal relation med en leverantör, baserat på deras säkerhetskrav och vilken typ av leverantörer de har att göra med.
5.20 är en förebyggande kontroll den där upprätthåller risken genom att upprätta ömsesidigt godtagbara skyldigheter mellan organisationer och deras leverantörer som sysslar med informationssäkerhet.
Medan Control 5.19 styr med informationssäkerhet hela relationen, Control 5.20 är upptagen av hur organisationer bildar bindande avtal från starta av ett förhållande.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem #Skydd |
Äganderätten till kontroll 5.20 bör vara beroende av om organisationen driver sin egen juridiska avdelning eller inte, och den underliggande karaktären av ett undertecknat avtal.
Om organisationen har rättskapacitet att utarbeta, ändra och lagra sina egna avtalsavtal utan tredje parts inblandning, bör äganderätten till 5.20 ligga hos den person som har det yttersta ansvaret för juridiskt bindande avtal inom organisationen (kontrakt, samförståndsavtal, SLA etc.) .)
Om organisationen lägger ut sådana avtal på entreprenad, bör ägandet av Control 5.20 ligga hos en medlem av högsta ledningen som övervakar en organisationens kommersiella verksamhet, och upprätthåller en direkt relation med en organisations leverantörer, såsom en Chief Operating Officer.
Kontroll 5.20 innehåller 25 vägledningspunkter som ISO anger "kan övervägas" (dvs inte nödvändigtvis alla) för att uppfylla en organisations krav på informationssäkerhet.
Oavsett vilka åtgärder som vidtas, anger kontroll 5.20 uttryckligen att båda parter ska lämna processen med en "klar förståelse" av sina skyldigheter avseende informationssäkerhet gentemot varandra.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
För att hjälpa organisationer att hantera leverantörsrelationer, anger Kontroll 5.20 att organisationer bör upprätthålla en register över avtal.
Registren bör lista alla avtal som hålls med andra organisationer, och kategoriseras efter relationens karaktär, som t.ex avtal, samförståndsavtal och avtal om informationsutbyte.
ISO 27002:2022-5.20 ersätter 27002:2013-15.1.2 (Att hantera säkerhet inom leverantörsavtal).
ISO 27002:2022-5.20 innehåller många ytterligare vägledningar som handlar om ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade ämnen, inklusive:
I stort sett lägger ISO 27002:2022-5.20 en mycket större tonvikt på vad som händer i slutet av en leverantörsrelation, och lägger mycket större vikt vid hur en leverantör uppnår redundans och dataintegritet under loppet av ett avtal.
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |