ISO 27701 klausul 6.12: Leverantörshantering Essentials
Att bilda och upprätthålla produktiva leverantörsrelationer utgör en stor del av de flesta moderna databaserade verksamheter – oavsett om det sker genom leverans av utrustning, supporttjänster eller underleverantörer.
Från början av relationen, och under hela tjänstekontraktets varaktighet, måste båda parter vara ständigt medvetna om sina skyldigheter när det gäller sekretessinformationssäkerhet, och standarder bör anpassas för att skydda PII och garantera integriteten hos känslig information.
Vad som omfattas av ISO 27701 klausul 6.12
ISO 27701 klausul 6.12 består av två beståndsdelar:
- ISO 27701 6.12.1 – Informationssäkerhet i leverantörsrelationer
- ISO 27701 6.12.2 – Leveranshantering för leverantörer
Över dessa två avsnitt finns det 5 underpunkter som innehåller vägledning från ISO 27002 , tillämpas inom ramen för hantering av integritetsinformation och säkerhet:
- ISO 27701 6.12.1.1 – Informationssäkerhetspolicy för leverantörsrelationer (ISO 27002 Control 5.19)
- ISO 27701 6.12.1.2 – Att hantera säkerhet inom leverantörsavtal (ISO 27002 Kontroll 5.20)
- ISO 27701 6.12.1.3 – Försörjningskedja för informations- och kommunikationsteknik (ISO 27002 Kontroll 5.21)
- ISO 27701 6.12.2.1 – Övervakning och granskning av leverantörstjänster (ISO 27002 Kontroll 5.22)
- ISO 27701 6.12.2.2 – Hantera ändringar av leverantörstjänster (ISO 27002 Kontroll 5.22)
Bara en artikel innehåller vägledning som är tillämplig på Storbritannien GDPR lagstiftning – (ISO 27701 6.12.1.2). Artikelnumren har tillhandahållits för din bekvämlighet.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.12.1.1 – Skydd av testdata
Referenser ISO 27002 Kontroll 5.19
Organisationer behöver implementera policyer och procedurer som inte bara styr organisationens användning av leverantörsresurser och molnplattformar, utan också utgör grunden för hur de förväntar sig att deras leverantörer ska uppträda före och under hela den kommersiella relationens löptid, särskilt när det gäller PII och integritetsrelaterade tillgångar.
ISO 27701 6.12.1.1 kan ses som det väsentliga kvalificerande dokumentet som dikterar hur styrningen av integritetsinformation hanteras under loppet av ett leverantörskontrakt.
Organisationer bör:
- Håll ett register över leverantörstyper som har potential att påverka integritetsinformationssäkerheten.
- Förstå hur du vet leverantörer, baserat på varierande risknivåer.
- Identifiera leverantörer som redan har säkerhetskontroller för sekretessinformation på plats.
- Identifiera områden i organisationens ICT-infrastruktur som leverantörer kommer att kunna komma åt eller se.
- Definiera hur leverantörernas egen infrastruktur kan påverka integritetsskyddet.
- Identifiera och hantera integritetsriskerna kopplade till:
- Användning av konfidentiell information.
- Användning av skyddade tillgångar.
- Felaktig hårdvara eller felaktig programvara.
- Övervaka efterlevnaden av integritetsinformationssäkerheten på en ämnesspecifik eller leverantörstyp.
- Begränsa eventuella störningar som uppstår till följd av bristande efterlevnad.
- Arbeta med en incidenthanteringsprocedur.
- Genomför en grundlig utbildningsplan som informerar personalen om hur de ska interagera med leverantörer.
- Var mycket försiktig med att överföra sekretessinformation och fysiska och virtuella tillgångar mellan organisationen och leverantörerna.
- Se till att leverantörsrelationer avslutas med integritetsinformationssäkerhet i åtanke.
Organisationer bör använda ovanstående riktlinjer när de bildar nya relationer med leverantörer och överväga bristande efterlevnad från fall till fall.
ISO erkänner att kommersiella relationer varierar kraftigt från sektor till sektor och företag till företag, och ger organisationer utrymme genom att rekommendera utforskningar av "kompenserande kontroller" som försöker uppnå samma underliggande integritetsskyddsprinciper.
ISO 27701 klausul 6.12.1.2 – Att hantera säkerhet inom leverantörsavtal
Referenser ISO 27002 Kontroll 5.20
När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.
När de gör det bör organisationerna:
- Erbjud en tydlig beskrivning som beskriver sekretessinformationen som behöver nås och hur den informationen kommer att nås.
- Klassificera integritetsinformationen som ska nås i enlighet med ett accepterat klassificeringsschema (se ISO 27002 kontroller 5.10, 5.12 och 5.13).
- Ta tillräcklig hänsyn till leverantörens eget klassificeringssystem.
- Kategorisera rättigheter i fyra huvudområden – juridiska, lagstadgade, regulatoriska och avtalsenliga – med en detaljerad beskrivning av skyldigheter per område.
- Se till att varje part är skyldig att införa en serie kontroller som övervakar, bedömer och hanterar risknivåer för integritetsinformationssäkerhet.
- Beskriv behovet av leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se ISO 27002 Kontroll 5.20).
- Underlätta en tydlig förståelse av vad som utgör både acceptabel och oacceptabel användning av sekretessinformation och fysiska och virtuella tillgångar från endera parten.
- Anta auktoriseringskontroller som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations sekretessinformation.
- Tänk på vad som händer vid avtalsbrott eller eventuellt underlåtenhet att följa individuella bestämmelser.
- Beskriv en incidenthanteringsprocedur, inklusive hur större händelser kommuniceras.
- Se till att personalen får utbildning i säkerhetsmedvetenhet.
- (Om leverantören har tillåtelse att använda underleverantörer) lägg till krav för att säkerställa att underleverantörer är anpassade till samma uppsättning säkerhetsstandarder för sekretessinformation som leverantören.
- Tänk på hur leverantörspersonal kontrolleras innan de interagerar med sekretessinformation.
- Ange behovet av tredjepartsintyg som adresserar leverantörens förmåga att uppfylla organisatoriska säkerhetskrav för integritetsinformation.
- Har avtalsenlig rätt att granska en leverantörs rutiner.
- Kräv att leverantörer levererar rapporter som beskriver effektiviteten i deras egna processer och procedurer.
- Fokusera på att vidta åtgärder för att påverka en snabb och noggrann lösning av eventuella defekter eller konflikter.
- Se till att leverantörer arbetar med en adekvat BUDR-policy för att skydda integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar.
- Kräv en policy för förändringshantering på leverantörssidan som informerar organisationen om alla förändringar som har potential att påverka integritetsskyddet.
- Implementera fysiska säkerhetskontroller som är proportionella mot känsligheten hos de data som lagras och bearbetas.
- (Där data ska överföras) be leverantörer att se till att data och tillgångar är skyddade från förlust, skada eller korruption.
- Ange en lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning.
- Be leverantören att beskriva hur de avser att förstöra integritetsinformation efter uppsägning, eller att uppgifterna inte längre behövs.
- Vidta åtgärder för att säkerställa minimala affärsavbrott under en överlämningsperiod.
Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.
Tillämpliga GDPR-artiklar
- Artikel 5 f
- Artikel 28 (1)
- Artikel 28 (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) (f), (3) (g) , (3)(h)
- Artikel 30 d
- Artikel 32 b
Relevanta ISO 27002-kontroller
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.20
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.12.1.3 – Informations- och kommunikationsteknikens leveranskedja
Referenser ISO 27002 Kontroll 5.21
När de lägger ut delar av sin leveranskedja på entreprenad, för att skydda PII och integritetsrelaterade tillgångar, bör organisationer:
- Utarbeta en tydlig uppsättning säkerhetsstandarder för sekretessinformation som leverantörer och entreprenörer är fullt förtrogna med.
- Be leverantörer att tillhandahålla information om eventuella programvarukomponenter som används för att leverera en tjänst.
- Identifiera säkerhetsfunktionerna för alla produkter eller tjänster som tillhandahålls och fastställa hur nämnda produkter och tjänster ska användas på ett sätt som inte äventyrar integritetsinformationssäkerheten.
- Utkast till rutiner som säkerställer att alla produkter eller tjänster faller inom accepterade industristandarder.
- Följ en process som identifierar och registrerar delar av en produkt eller tjänst som är avgörande för att upprätthålla kärnfunktionalitet.
- Be leverantörer att tillhandahålla försäkringar om att vissa komponenter har en bifogad revisionslogg som bevisar rörelse genom hela leveranskedjan.
- Sök försäkran om att produkter och tjänster inte innehåller några funktioner som kan utgöra en säkerhetsrisk.
- Se till att leverantörer överväger åtgärder mot manipulation under hela utvecklingens livscykel.
- Sök garantier för att alla produkter eller tjänster som levereras är i linje med branschstandardens krav på säkerhet för sekretessinformation.
- Vidta åtgärder för att säkerställa att leverantörer är medvetna om sina skyldigheter när de delar integritetsinformation genom hela leverantörskedjan.
- Utkast till procedurer som hanterar risker när man arbetar med otillgängliga, ostödda eller äldre komponenter.
Det är viktigt att notera att kvalitetskontroll inte nödvändigtvis omfattar granulär inspektion av leverantörens egna rutiner.
Organisationer bör implementera leverantörsspecifika kontroller som bekräftar att tredjepartsorganisationer är en ansedd källa inom området för hantering av sekretessinformation.
ISO 27701 klausul 6.12.2.1 – Övervakning och granskning av leverantörstjänster
Referenser ISO 27002 Kontroll 5.22
Organisationer måste ständigt vara medvetna om hur leverantörstjänster levereras – och till vilka nivåer – för att upprätthålla en säker och säker integritetsinformationshantering.
För att uppnå detta bör organisationer:
- Övervaka servicenivåer i enlighet med publicerade SLA.
- Åtgärda eventuella tjänstebrister eller händelser så snabbt som möjligt, särskilt de som påverkar PII eller integritetsrelaterade tillgångar.
- Övervaka alla ändringar som görs av leverantören i sin egen verksamhet som har potential att påverka integritetsskyddet, inklusive alla tjänstespecifika ändringar.
- Be att få regelbundna servicerapporter och schemalagda granskningsmöten.
- Granska outsourcingpartners och underleverantörer och följ eventuella problemområden.
- Arbeta inom överenskomna Incident Management-standarder och praxis.
- Håll ett register över informationssäkerhetshändelser, driftsproblem och fel.
- Markera eventuella informationssäkerhetssårbarheter och mildra dem till fullo.
- Var uppmärksam på leverantörernas relationer med sina egna leverantörer och underleverantörer och hur detta påverkar integritetsskyddet inom själva organisationens gränser.
- Identifiera personal på leverantörssidan som ansvarar för att villkoren i serviceavtalet upprätthålls.
- Utför revisioner som bekräftar en leverantörs förmåga att upprätthålla adekvata standarder för sekretessinformation.
Relevanta ISO 27002-kontroller
- ISO 27002 5.29
- ISO 27002 5.30
- ISO 27002 5.35
- ISO 27002 5.36
- ISO 27002 8.14
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 6.12.2.2 – Hantera ändringar av leverantörstjänster
Referenser ISO 27002 Kontroll 5.22
Se ISO 27701 klausul 6.12.2.1
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.12.1.1 | Informationssäkerhetspolicy för leverantörsrelationer |
5.19 – Informationssäkerhet i leverantörsrelationer för ISO 27002 |
Ingen |
| 6.12.1.2 | Att hantera säkerhet inom leverantörsavtal |
5.20 – Adressering av informationssäkerhet inom leverantörsavtal för ISO 27002 |
Artiklar Lagring, Lagring, Lagring, Lagring |
| 6.12.1.3 | Försörjningskedja för informations- och kommunikationsteknik |
5.21 – Hantering av informationssäkerhet i IKT-försörjningskedjan för ISO 27002 |
Ingen |
| 6.12.2.1 | Övervakning och granskning av leverantörstjänster |
5.22 – Övervakning, granskning och förändringshantering av leverantörstjänster för ISO 27002 |
Ingen |
| 6.12.2.2 | Hantera ändringar av leverantörstjänster |
5.22 – Övervakning, granskning och förändringshantering av leverantörstjänster för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Det kan vara svårt att veta var man ska börja med ISO 27701, speciellt om du aldrig har behövt göra något liknande tidigare. Det är här ISMS.online kommer in!
Våra ISO 27701-lösningar tillhandahåller ramverk som gör att din organisation kan visa efterlevnad av ISO 27701.
Våra experter på informationssäkerhet kan samarbeta med dig för att säkerställa att du utvecklar en logisk implementeringsprocess som är i linje med ramverket för onlinedokumentation.
Ta reda på mer genom boka en praktisk demo.
