ISO 27002:2022 – Kontroll 5.20 – Adressering av informationssäkerhet inom leverantörsavtal

ISO 27002:2022 Kontroll 5.20 säkerställer att organisationer definierar tydliga informationssäkerhetsskyldigheter i leverantörsavtal för att minska risker, beskriver ansvar, laglig efterlevnad och säkerhetskontroller i början av leverantörsrelationen.

Boka en demo
Författare
Max Edwards
Uppdaterad 10 februari 2025
LinkedIn Twitter Twitter

Syfte med kontroll 5.20

Kontroll 5.20 styr hur en organisation bildar ett avtal relation med en leverantör, baserat på deras säkerhetskrav och vilken typ av leverantörer de har att göra med.

5.20 är en förebyggande kontroll den där upprätthåller risken genom att upprätta ömsesidigt godtagbara skyldigheter mellan organisationer och deras leverantörer som sysslar med informationssäkerhet.

Medan Control 5.19 styr med informationssäkerhet hela relationen, Control 5.20 är upptagen av hur organisationer bildar bindande avtal från starta av ett förhållande.

Kontrollattribut 5.20

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess#Identifiera#Säkerhet för leverantörsrelationer#Styrelse och ekosystem
#Integritet#Skydd
#Tillgänglighet

Äganderätt till kontroll 5.20

Äganderätten till kontroll 5.20 bör vara beroende av om organisationen driver sin egen juridiska avdelning eller inte, och den underliggande karaktären av ett undertecknat avtal.

Om organisationen har rättskapacitet att utarbeta, ändra och lagra sina egna avtalsavtal utan tredje parts inblandning, bör äganderätten till 5.20 ligga hos den person som har det yttersta ansvaret för juridiskt bindande avtal inom organisationen (kontrakt, samförståndsavtal, SLA etc.) .)

Om organisationen lägger ut sådana avtal på entreprenad, bör ägandet av Control 5.20 ligga hos en medlem av högsta ledningen som övervakar en organisationens kommersiella verksamhet, och upprätthåller en direkt relation med en organisations leverantörer, såsom en Chief Operating Officer.



Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Allmän vägledning om kontroll 5.20

Kontroll 5.20 innehåller 25 vägledningspunkter som ISO anger "kan övervägas" (dvs inte nödvändigtvis alla) för att uppfylla en organisations krav på informationssäkerhet.

Oavsett vilka åtgärder som vidtas, anger kontroll 5.20 uttryckligen att båda parter ska lämna processen med en "klar förståelse" av sina skyldigheter avseende informationssäkerhet gentemot varandra.

  1. En tydlig beskrivning bör tillhandahållas som beskriver den information som behöver nås på något sätt och hur den informationen kommer att nås.
  2. Organisationen bör klassificera informationen som ska nås i enlighet med dess publicerade klassificeringsschema (se kontroll 5.10, kontroll 5.12 och kontroll 5.13).
  3. Adekvat hänsyn bör tas till klassificeringssystemet på leverantörssidan och hur det förhåller sig till organisationens klassificering av information.
  4. Båda parters rättigheter bör kategoriseras i fyra huvudområden – juridiska, lagstadgade, reglerande och avtalsenliga. Inom dessa fyra områden bör olika skyldigheter tydligt anges, vilket är standard i kommersiella avtal, inklusive tillgång till PII, immateriella rättigheter och upphovsrättsbestämmelser. Avtalet bör också omfatta hur vart och ett av dessa nyckelområden kommer att behandlas i tur och ordning.
  5. Varje part bör vara skyldig att införa en rad samtidiga kontroller som övervakar, bedömer och hanterar informationssäkerhetsrisk nivåer (såsom policyer för åtkomstkontroll, avtalsgranskningar, systemövervakning, rapportering och periodisk revision). Dessutom bör avtalet tydligt beskriva behovet för leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se kontroll 5.20).
  6. Det bör finnas en klar förståelse för vad som utgör både acceptabel och oacceptabel användning av information och fysiska och virtuella tillgångar från endera parten.
  7. Rutiner bör införas som handlar om de behörighetsnivåer som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations information (t.ex. auktoriserade användarlistor, granskningar på leverantörssidan, kontroller av serveråtkomst).
  8. Informationssäkerhet bör beaktas vid sidan av leverantörens egen IKT-infrastruktur, och hur det förhåller sig till den typ av information som organisationen har gett tillgång till. riskkriterier och organisationens basuppsättning affärskrav.
  9. Hänsyn bör tas till vilka åtgärder organisationen kan vidta vid avtalsbrott från leverantörens sida eller underlåtenhet att följa individuella bestämmelser.
  10. Avtalet bör tydligt beskriva ett ömsesidigt Incidenthanteringsprocedur som tydligt anger vad som ska hända när problem uppstår, särskilt när det gäller hur incidenten kommuniceras mellan båda parter.
  11. Personal från båda parter bör ges adekvat medvetenhetsutbildning (där standardutbildning inte räcker) om nyckelområden i avtalet, särskilt när det gäller nyckelriskområden som Incident Management och tillhandahållande av tillgång till information.
  12. Tillräcklig uppmärksamhet bör ägnas åt användningen av underleverantörer. Om leverantören tillåts använda underleverantörer bör organisationerna vidta åtgärder för att säkerställa att sådana individer eller företag är anpassade till samma uppsättning informationssäkerhetskrav som leverantören.
  13. Där det är juridiskt möjligt och operativt relevant bör organisationer överväga hur leverantörspersonal kontrolleras innan de interagerar med deras information, och hur screening registreras och rapporteras till organisationen, inklusive icke-screenad personal och områden för oro.
  14. Organisationer bör ange behovet av tredjepartsintyg som verifierar leverantörens förmåga att uppfylla organisatoriska informationssäkerhetskrav, inklusive oberoende rapporter och tredjepartsrevisioner.
  15. Organisationer bör ha avtalsenlig rätt att bedöma och granska en leverantörs rutiner, relaterade till kontroll 5.20.
  16. Leverantörer bör ha en skyldighet att leverera rapporter (med varierande intervall) som täcker effektiviteten i deras egna processer och procedurer, och hur de avser att ta itu med eventuella problem som tas upp i en sådan rapport.
  17. Avtalet bör vidta åtgärder för att säkerställa en snabb och noggrann lösning av eventuella defekter eller konflikter som uppstår under förhållandets gång.
  18. När det är relevant bör leverantören arbeta med en robust BUDR-policy, i linje med organisationens behov, som täcker tre huvudhänsyn:

    a) Säkerhetskopieringstyp (fullständig server, fil och mapp etc., inkrementell etc.)
    b) Säkerhetskopieringsfrekvens (dagligen, veckovis etc.)
    c) Säkerhetskopieringsplats och källmedia (på plats, utanför platsen)

  19. Datamotståndskraft bör uppnås genom att arbeta med en katastrofåterställningsplats som är skild från leverantörens huvudsakliga IKT-plats och inte är föremål för samma risknivå.
  20. Leverantören bör arbeta med en övergripande policy för förändringshantering som i förväg underrättar organisationen om eventuella ändringar som kan påverka informationssäkerheten och ger organisationen möjlighet att avvisa sådana ändringar.
  21. Fysiska säkerhetskontroller (tillträde till byggnader, besökartillträde, rumstillträde, skrivbordssäkerhet) bör antas som är relevanta för vilken typ av information de får tillgång till.
  22. När behov uppstår att överföra information mellan tillgångar, webbplatser, servrar eller lagringsplatser, bör leverantören säkerställa att data och tillgångar skyddas från förlust, skada eller korruption under hela processen.
  23. Avtalet bör beskriva en omfattande lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning (se även Kontroll 5.20), inklusive (men inte begränsat till):

    a) Avyttring och/eller flytt av tillgångar
    b) Radering av information
    c) Retur av IP
    d) Borttagning av åtkomsträttigheter
    e) Löpande sekretessskyldigheter

  24. Vidare till punkt 23 bör leverantören redogöra för exakt hur den avser att förstöra/permanent radera organisationens information i det ögonblick som den inte längre behövs (dvs. vid uppsägning).
  25. Om det i slutet av ett kontrakt uppstår behov av att överlåta support och/eller tjänster till en annan leverantör som inte är listad i avtalet, vidtas åtgärder för att säkerställa att processen leder till noll avbrott i verksamheten.

Stödjande kontroller

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Kompletterande vägledning

För att hjälpa organisationer att hantera leverantörsrelationer, anger Kontroll 5.20 att organisationer bör upprätthålla en register över avtal.

Registren bör lista alla avtal som hålls med andra organisationer, och kategoriseras efter relationens karaktär, som t.ex avtal, samförståndsavtal och avtal om informationsutbyte.



Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo


Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-5.20 ersätter 27002:2013-15.1.2 (Att hantera säkerhet inom leverantörsavtal).

ISO 27002:2022-5.20 innehåller många ytterligare vägledningar som handlar om ett brett spektrum av tekniska, juridiska och efterlevnadsrelaterade ämnen, inklusive:

  • Överlämningsförfaranden
  • Informationsförstöring
  • Uppsägningsklausuler
  • Fysiska säkerhetskontroller
  • Ändra hanteringen
  • Säkerhetskopiering och informationsredundans

I stort sett lägger ISO 27002:2022-5.20 en mycket större tonvikt på vad som händer i slutet av en leverantörsrelation, och lägger mycket större vikt vid hur en leverantör uppnår redundans och dataintegritet under loppet av ett avtal.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyttHot intelligens
5.23NyttInformationssäkerhet för användning av molntjänster
5.30NyttICT-beredskap för kontinuitet i verksamheten
7.4NyttFysisk säkerhetsövervakning
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.16NyttÖvervakningsaktiviteter
8.23NyttWebbfiltrering
8.28NyttSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyttHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.1208.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.1709.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyttInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyttICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyttFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyttÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyttWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyttSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!