ISO 27002:2022, Kontroll 5.20 – Adressering av informationssäkerhet inom leverantörsavtal

Allmän vägledning om kontroll 5.20

Kontroll 5.20 innehåller 25 vägledningspunkter som ISO anger "kan övervägas" (dvs inte nödvändigtvis alla) för att uppfylla en organisations krav på informationssäkerhet.

Oavsett vilka åtgärder som vidtas, anger kontroll 5.20 uttryckligen att båda parter ska lämna processen med en "klar förståelse" av sina skyldigheter avseende informationssäkerhet gentemot varandra.

1. En tydlig beskrivning bör tillhandahållas som beskriver den information som behöver nås på något sätt och hur den informationen kommer att nås.
2. Organisationen bör klassificera informationen som ska nås i enlighet med dess publicerade klassificeringsschema (se kontroll 5.10, kontroll 5.12 och kontroll 5.13).
3. Adekvat hänsyn bör tas till klassificeringssystemet på leverantörssidan och hur det förhåller sig till organisationens klassificering av information.
4. Båda parters rättigheter bör kategoriseras i fyra huvudområden – juridiska, lagstadgade, reglerande och avtalsenliga. Inom dessa fyra områden bör olika skyldigheter tydligt anges, vilket är standard i kommersiella avtal, inklusive tillgång till PII, immateriella rättigheter och upphovsrättsbestämmelser. Avtalet bör också omfatta hur vart och ett av dessa nyckelområden kommer att behandlas i tur och ordning.
5. Varje part bör vara skyldig att införa en rad samtidiga kontroller som övervakar, bedömer och hanterar informationssäkerhetsrisk nivåer (såsom policyer för åtkomstkontroll, avtalsgranskningar, systemövervakning, rapportering och periodisk revision). Dessutom bör avtalet tydligt beskriva behovet för leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se kontroll 5.20).
6. Det bör finnas en klar förståelse för vad som utgör både acceptabel och oacceptabel användning av information och fysiska och virtuella tillgångar från endera parten.
7. Rutiner bör införas som handlar om de behörighetsnivåer som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations information (t.ex. auktoriserade användarlistor, granskningar på leverantörssidan, kontroller av serveråtkomst).
8. Informationssäkerhet bör beaktas vid sidan av leverantörens egen IKT-infrastruktur, och hur det förhåller sig till den typ av information som organisationen har gett tillgång till. riskkriterier och organisationens basuppsättning affärskrav.
9. Hänsyn bör tas till vilka åtgärder organisationen kan vidta vid avtalsbrott från leverantörens sida eller underlåtenhet att följa individuella bestämmelser.
10. Avtalet bör tydligt beskriva ett ömsesidigt Incidenthanteringsprocedur som tydligt anger vad som ska hända när problem uppstår, särskilt när det gäller hur incidenten kommuniceras mellan båda parter.
11. Personal från båda parter bör ges adekvat medvetenhetsutbildning (där standardutbildning inte räcker) om nyckelområden i avtalet, särskilt när det gäller nyckelriskområden som Incident Management och tillhandahållande av tillgång till information.
12. Tillräcklig uppmärksamhet bör ägnas åt användningen av underleverantörer. Om leverantören tillåts använda underleverantörer bör organisationerna vidta åtgärder för att säkerställa att sådana individer eller företag är anpassade till samma uppsättning informationssäkerhetskrav som leverantören.
13. Där det är juridiskt möjligt och operativt relevant bör organisationer överväga hur leverantörspersonal kontrolleras innan de interagerar med deras information, och hur screening registreras och rapporteras till organisationen, inklusive icke-screenad personal och områden för oro.
14. Organisationer bör ange behovet av tredjepartsintyg som verifierar leverantörens förmåga att uppfylla organisatoriska informationssäkerhetskrav, inklusive oberoende rapporter och tredjepartsrevisioner.
15. Organisationer bör ha avtalsenlig rätt att bedöma och granska en leverantörs rutiner, relaterade till kontroll 5.20.
16. Leverantörer bör ha en skyldighet att leverera rapporter (med varierande intervall) som täcker effektiviteten i deras egna processer och procedurer, och hur de avser att ta itu med eventuella problem som tas upp i en sådan rapport.
17. Avtalet bör vidta åtgärder för att säkerställa en snabb och noggrann lösning av eventuella defekter eller konflikter som uppstår under förhållandets gång.
18. När det är relevant bör leverantören arbeta med en robust BUDR-policy, i linje med organisationens behov, som täcker tre huvudhänsyn:
    
    a) Säkerhetskopieringstyp (fullständig server, fil och mapp etc., inkrementell etc.)
    b) Säkerhetskopieringsfrekvens (dagligen, veckovis etc.)
    c) Säkerhetskopieringsplats och källmedia (på plats, utanför platsen)
19. Datamotståndskraft bör uppnås genom att arbeta med en katastrofåterställningsplats som är skild från leverantörens huvudsakliga IKT-plats och inte är föremål för samma risknivå.
20. Leverantören bör arbeta med en övergripande policy för förändringshantering som i förväg underrättar organisationen om eventuella ändringar som kan påverka informationssäkerheten och ger organisationen möjlighet att avvisa sådana ändringar.
21. Fysiska säkerhetskontroller (tillträde till byggnader, besökartillträde, rumstillträde, skrivbordssäkerhet) bör antas som är relevanta för vilken typ av information de får tillgång till.
22. När behov uppstår att överföra information mellan tillgångar, webbplatser, servrar eller lagringsplatser, bör leverantören säkerställa att data och tillgångar skyddas från förlust, skada eller korruption under hela processen.
23. Avtalet bör beskriva en omfattande lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning (se även Kontroll 5.20), inklusive (men inte begränsat till):
    
    a) Avyttring och/eller flytt av tillgångar
    b) Radering av information
    c) Retur av IP
    d) Borttagning av åtkomsträttigheter
    e) Löpande sekretessskyldigheter
24. Vidare till punkt 23 bör leverantören redogöra för exakt hur den avser att förstöra/permanent radera organisationens information i det ögonblick som den inte längre behövs (dvs. vid uppsägning).
25. Om det i slutet av ett kontrakt uppstår behov av att överlåta support och/eller tjänster till en annan leverantör som inte är listad i avtalet, vidtas åtgärder för att säkerställa att processen leder till noll avbrott i verksamheten.

Stödjande kontroller

• 5.10
• 5.12
• 5.13
• 5.20

Kompletterande vägledning

För att hjälpa organisationer att hantera leverantörsrelationer, anger Kontroll 5.20 att organisationer bör upprätthålla en register över avtal.

Registren bör lista alla avtal som hålls med andra organisationer, och kategoriseras efter relationens karaktär, som t.ex avtal, samförståndsavtal och avtal om informationsutbyte.

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-5.20 ersätter 27002:2013-15.1.2 (Att hantera säkerhet inom leverantörsavtal).

ISO 27002:2022-5.20 innehåller många ytterligare vägledningar som handlar om ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade ämnen, inklusive:

• Överlämningsförfaranden
• Informationsförstöring
• Uppsägningsklausuler
• Fysiska säkerhetskontroller
• Ändra hanteringen
• Säkerhetskopiering och informationsredundans

I stort sett lägger ISO 27002:2022-5.20 en mycket större tonvikt på vad som händer i slutet av en leverantörsrelation, och lägger mycket större vikt vid hur en leverantör uppnår redundans och dataintegritet under loppet av ett avtal.

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.