Syfte med kontroll 5.20
Kontroll 5.20 styr hur en organisation bildar ett avtal relation med en leverantör, baserat på deras säkerhetskrav och vilken typ av leverantörer de har att göra med.
5.20 är en förebyggande kontroll den där upprätthåller risken genom att upprätta ömsesidigt godtagbara skyldigheter mellan organisationer och deras leverantörer som sysslar med informationssäkerhet.
Medan Control 5.19 styr med informationssäkerhet hela relationen, Control 5.20 är upptagen av hur organisationer bildar bindande avtal från starta av ett förhållande.
Kontrollattribut 5.20
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem |
| #Integritet | #Skydd | |||
| #Tillgänglighet |
Äganderätt till kontroll 5.20
Äganderätten till kontroll 5.20 bör vara beroende av om organisationen driver sin egen juridiska avdelning eller inte, och den underliggande karaktären av ett undertecknat avtal.
Om organisationen har rättskapacitet att utarbeta, ändra och lagra sina egna avtalsavtal utan tredje parts inblandning, bör äganderätten till 5.20 ligga hos den person som har det yttersta ansvaret för juridiskt bindande avtal inom organisationen (kontrakt, samförståndsavtal, SLA etc.) .)
Om organisationen lägger ut sådana avtal på entreprenad, bör ägandet av Control 5.20 ligga hos en medlem av högsta ledningen som övervakar en organisationens kommersiella verksamhet, och upprätthåller en direkt relation med en organisations leverantörer, såsom en Chief Operating Officer.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 5.20
Kontroll 5.20 innehåller 25 vägledningspunkter som ISO anger "kan övervägas" (dvs inte nödvändigtvis alla) för att uppfylla en organisations krav på informationssäkerhet.
Oavsett vilka åtgärder som vidtas, anger kontroll 5.20 uttryckligen att båda parter ska lämna processen med en "klar förståelse" av sina skyldigheter avseende informationssäkerhet gentemot varandra.
- En tydlig beskrivning bör tillhandahållas som beskriver den information som behöver nås på något sätt och hur den informationen kommer att nås.
- Organisationen bör klassificera informationen som ska nås i enlighet med dess publicerade klassificeringsschema (se kontroll 5.10, kontroll 5.12 och kontroll 5.13).
- Adekvat hänsyn bör tas till klassificeringssystemet på leverantörssidan och hur det förhåller sig till organisationens klassificering av information.
- Båda parters rättigheter bör kategoriseras i fyra huvudområden – juridiska, lagstadgade, reglerande och avtalsenliga. Inom dessa fyra områden bör olika skyldigheter tydligt anges, vilket är standard i kommersiella avtal, inklusive tillgång till PII, immateriella rättigheter och upphovsrättsbestämmelser. Avtalet bör också omfatta hur vart och ett av dessa nyckelområden kommer att behandlas i tur och ordning.
- Varje part bör vara skyldig att införa en rad samtidiga kontroller som övervakar, bedömer och hanterar informationssäkerhetsrisk nivåer (såsom policyer för åtkomstkontroll, avtalsgranskningar, systemövervakning, rapportering och periodisk revision). Dessutom bör avtalet tydligt beskriva behovet för leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se kontroll 5.20).
- Det bör finnas en klar förståelse för vad som utgör både acceptabel och oacceptabel användning av information och fysiska och virtuella tillgångar från endera parten.
- Rutiner bör införas som handlar om de behörighetsnivåer som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations information (t.ex. auktoriserade användarlistor, granskningar på leverantörssidan, kontroller av serveråtkomst).
- Informationssäkerhet bör beaktas vid sidan av leverantörens egen IKT-infrastruktur, och hur det förhåller sig till den typ av information som organisationen har gett tillgång till. riskkriterier och organisationens basuppsättning affärskrav.
- Hänsyn bör tas till vilka åtgärder organisationen kan vidta vid avtalsbrott från leverantörens sida eller underlåtenhet att följa individuella bestämmelser.
- Avtalet bör tydligt beskriva ett ömsesidigt Incidenthanteringsprocedur som tydligt anger vad som ska hända när problem uppstår, särskilt när det gäller hur incidenten kommuniceras mellan båda parter.
- Personal från båda parter bör ges adekvat medvetenhetsutbildning (där standardutbildning inte räcker) om nyckelområden i avtalet, särskilt när det gäller nyckelriskområden som Incident Management och tillhandahållande av tillgång till information.
- Tillräcklig uppmärksamhet bör ägnas åt användningen av underleverantörer. Om leverantören tillåts använda underleverantörer bör organisationerna vidta åtgärder för att säkerställa att sådana individer eller företag är anpassade till samma uppsättning informationssäkerhetskrav som leverantören.
- Där det är juridiskt möjligt och operativt relevant bör organisationer överväga hur leverantörspersonal kontrolleras innan de interagerar med deras information, och hur screening registreras och rapporteras till organisationen, inklusive icke-screenad personal och områden för oro.
- Organisationer bör ange behovet av tredjepartsintyg som verifierar leverantörens förmåga att uppfylla organisatoriska informationssäkerhetskrav, inklusive oberoende rapporter och tredjepartsrevisioner.
- Organisationer bör ha avtalsenlig rätt att bedöma och granska en leverantörs rutiner, relaterade till kontroll 5.20.
- Leverantörer bör ha en skyldighet att leverera rapporter (med varierande intervall) som täcker effektiviteten i deras egna processer och procedurer, och hur de avser att ta itu med eventuella problem som tas upp i en sådan rapport.
- Avtalet bör vidta åtgärder för att säkerställa en snabb och noggrann lösning av eventuella defekter eller konflikter som uppstår under förhållandets gång.
- När det är relevant bör leverantören arbeta med en robust BUDR-policy, i linje med organisationens behov, som täcker tre huvudhänsyn:
a) Säkerhetskopieringstyp (fullständig server, fil och mapp etc., inkrementell etc.)
b) Säkerhetskopieringsfrekvens (dagligen, veckovis etc.)
c) Säkerhetskopieringsplats och källmedia (på plats, utanför platsen) - Datamotståndskraft bör uppnås genom att arbeta med en katastrofåterställningsplats som är skild från leverantörens huvudsakliga IKT-plats och inte är föremål för samma risknivå.
- Leverantören bör arbeta med en övergripande policy för förändringshantering som i förväg underrättar organisationen om eventuella ändringar som kan påverka informationssäkerheten och ger organisationen möjlighet att avvisa sådana ändringar.
- Fysiska säkerhetskontroller (tillträde till byggnader, besökartillträde, rumstillträde, skrivbordssäkerhet) bör antas som är relevanta för vilken typ av information de får tillgång till.
- När behov uppstår att överföra information mellan tillgångar, webbplatser, servrar eller lagringsplatser, bör leverantören säkerställa att data och tillgångar skyddas från förlust, skada eller korruption under hela processen.
- Avtalet bör beskriva en omfattande lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning (se även Kontroll 5.20), inklusive (men inte begränsat till):
a) Avyttring och/eller flytt av tillgångar
b) Radering av information
c) Retur av IP
d) Borttagning av åtkomsträttigheter
e) Löpande sekretessskyldigheter - Vidare till punkt 23 bör leverantören redogöra för exakt hur den avser att förstöra/permanent radera organisationens information i det ögonblick som den inte längre behövs (dvs. vid uppsägning).
- Om det i slutet av ett kontrakt uppstår behov av att överlåta support och/eller tjänster till en annan leverantör som inte är listad i avtalet, vidtas åtgärder för att säkerställa att processen leder till noll avbrott i verksamheten.
Stödjande kontroller
- 5.10
- 5.12
- 5.13
- 5.20
Kompletterande vägledning
För att hjälpa organisationer att hantera leverantörsrelationer, anger Kontroll 5.20 att organisationer bör upprätthålla en register över avtal.
Registren bör lista alla avtal som hålls med andra organisationer, och kategoriseras efter relationens karaktär, som t.ex avtal, samförståndsavtal och avtal om informationsutbyte.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
ISO 27002:2022-5.20 ersätter 27002:2013-15.1.2 (Att hantera säkerhet inom leverantörsavtal).
ISO 27002:2022-5.20 innehåller många ytterligare vägledningar som handlar om ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade ämnen, inklusive:
- Överlämningsförfaranden
- Informationsförstöring
- Uppsägningsklausuler
- Fysiska säkerhetskontroller
- Ändra hanteringen
- Säkerhetskopiering och informationsredundans
I stort sett lägger ISO 27002:2022-5.20 en mycket större tonvikt på vad som händer i slutet av en leverantörsrelation, och lägger mycket större vikt vid hur en leverantör uppnår redundans och dataintegritet under loppet av ett avtal.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
