ISO 27001 – Bilag A.15: Leverandørforhold

Hvad er formålet med bilag A.15.1?

Bilag A.15.1 handler om informationssikkerhed i leverandørforhold. Målet her er beskyttelse af organisationens værdifulde aktiver, som er tilgængelige for eller påvirkes af leverandører.

Vi anbefaler også, at du også her overvejer andre nøglerelationer, for eksempel partnere, hvis de ikke er leverandører, men også har en indflydelse på dine aktiver, som måske ikke blot er omfattet af en kontrakt alene.

A.15.1.1 Informationssikkerhedspolitik for leverandørforhold

Leverandører bruges af to hovedårsager; et: du vil have dem til at udføre arbejde, som du har valgt ikke at gøre internt selv, eller; to: du kan ikke nemt gøre arbejdet så godt eller så omkostningseffektivt som leverandørerne.

Der er mange vigtige ting at overveje i tilgangen til leverandørvalg og -styring, men én størrelse passer ikke alle, og nogle leverandører vil være vigtigere end andre. Som sådan bør dine kontroller og politikker også afspejle det, og en segmentering af forsyningskæden er fornuftig; vi går ind for fire kategorier af leverandører baseret på værdien og risikoen i forholdet. Disse spænder fra dem, der er forretningskritiske til andre leverandører, som ikke har nogen væsentlig indflydelse på din organisation.

Nogle leverandører er også mere magtfulde end deres kunder (forestil dig at fortælle Amazon, hvad de skal gøre, hvis du bruger deres AWS-tjenester til hosting), så det er meningsløst at have kontroller og politikker på plads, som leverandørerne ikke vil overholde. Derfor er afhængighed af deres standardpolitikker, kontroller og aftaler mere sandsynligt - hvilket betyder, at leverandørvalg og risikostyring bliver endnu vigtigere.

For at tage en mere fremadrettet tilgang til informationssikkerhed i forsyningskæden med de mere strategiske (høj værdi/højere risiko) leverandører, bør organisationer også undgå binær "følg eller dø" risikooverførselspraksis, f.eks. forfærdelige kontrakter, der forhindrer godt samarbejde. I stedet anbefaler vi, at de udvikler tættere samarbejdsrelationer med de leverandører, hvor værdifuld information og aktiver er i fare, eller de tilføjer dine informationsaktiver på en eller anden (positiv) måde. Dette vil sandsynligvis føre til forbedrede arbejdsforhold og derfor også levere bedre forretningsresultater.

En god politik beskriver leverandørsegmentering, udvælgelse, styring, exit, hvordan informationsaktiver omkring leverandører kontrolleres for at mindske de tilknyttede risici, men stadig gøre det muligt at nå forretningsmålene og målene. Smarte organisationer vil pakke deres informationssikkerhedspolitik for leverandører ind i en bredere relationsramme og undgå kun at koncentrere sig om sikkerhed i sig selv og også se på de andre aspekter.

En organisation ønsker måske, at leverandører får adgang til og bidrager til visse informationsaktiver af høj værdi (f.eks. softwarekodeudvikling, regnskabsmæssige lønoplysninger). De skal derfor have klare aftaler om, præcis hvilken adgang de giver dem, så de kan kontrollere sikkerheden omkring det. Dette er især vigtigt med flere og flere informationshåndtering, -behandling og teknologitjenester, der outsources. Det betyder, at der er et sted at vise, at forvaltningen af ​​forholdet sker; kontrakter, kontakter, hændelser, relationsaktivitet og risikostyring osv. Hvor leverandøren også er tæt involveret i organisationen, men måske ikke har sit eget certificerede ISMS, så sikre, at leverandørpersonalet er uddannet og bevidst om sikkerhed, trænet i dine politikker osv. er også værd at demonstrere overholdelse omkring.

A.15.1.2 Håndtering af sikkerhed inden for leverandøraftaler

Alle relevante krav til informationssikkerhed skal være på plads hos hver leverandør, der har adgang til eller kan påvirke organisationens information (eller aktiver, der behandler dem). Igen bør dette ikke være en størrelse, der passer alle – tag en risikobaseret tilgang omkring de forskellige typer af leverandører, der er involveret og det arbejde, de udfører. Det er en meget god idé at arbejde med leverandører, der allerede opfylder størstedelen af ​​din organisations informationssikkerhedsbehov for de tjenester, de leverer til dig, og som har en god track record i at håndtere informationssikkerhedsproblemer – da det vil gøre alle disse processer meget nemmere.

Kort sagt, se efter leverandører, der allerede har opnået en uafhængig ISO 27001-certificering eller tilsvarende selv. Det er også vigtigt at sikre, at leverandørerne holdes informeret og engageret med eventuelle ændringer i ISMS eller specifikt engageret omkring de dele, der påvirker deres tjenester. Din revisor vil gerne se dette bevist – så ved at føre en fortegnelse over dette i dine leverandør-onboarding-projekter eller årlige gennemgange vil det være nemt at gøre det.

Ting, der skal medtages i leveringsomfanget og aftalerne omfatter generelt: arbejdet og dets omfang; information i fare og klassificering; juridiske og regulatoriske krav, f.eks. overholdelse af GDPR og eller anden gældende lovgivning; rapportering og anmeldelser; ikke-offentliggørelse; IPR; hændelseshåndtering; specifikke politikker, der skal overholdes, hvis de er vigtige for aftalen; forpligtelser for underleverandører; screening på personale mv.

En god standardkontrakt vil behandle disse punkter, men som ovenfor er det nogle gange ikke nødvendigt, og det kan være langt over toppen for den type levering, eller det er måske ikke muligt at tvinge en leverandør til at følge din idé om god praksis . Vær pragmatisk og risikocentreret i tilgangen. Dette kontrolmål hænger også tæt sammen med bilag A.13.2.4, hvor fortrolighed og tavshedspligt er i fokus.

A.15.1.3 Informations- og kommunikationsteknologiens forsyningskæde

En god kontrol bygger på A.15.1.2 og er fokuseret på de IKT-leverandører, der kan have behov for noget ud over eller i stedet for standardtilgangen. ISO 27002 går ind for adskillige områder for implementering, og selvom disse alle er gode, er der også brug for en vis pragmatisme. Organisationen bør igen anerkende sin størrelse sammenlignet med nogle af de meget store udbydere, som den nogle gange vil arbejde med (f.eks. datacentre og hostingtjenester, banker osv.), hvilket potentielt begrænser dens mulighed for at påvirke praksis længere ind i forsyningskæden. Organisationen bør nøje overveje, hvilke risici der kan være baseret på den type informations- og kommunikationsteknologiske tjenester, der leveres. Hvis leverandøren f.eks. er en udbyder af infrastrukturkritiske tjenester og har adgang til følsom information (f.eks. kildekode til flagskibssoftwaretjenesten), bør den sikre, at der er større beskyttelse, end hvis leverandøren blot udsættes for offentligt tilgængelig information (f.eks. en simpel hjemmeside).

Hvad er formålet med bilag A.15.2?

Bilag A.15.2 handler om leverandørserviceudviklingsstyring. Målet i denne bilag A kontrol er at sikre, at et aftalt niveau for informationssikkerhed og levering af tjenester opretholdes i overensstemmelse med leverandøraftaler.

A.15.2.1 Overvågning og gennemgang af leverandørtjenester
En god kontrol bygger på A15.1 og beskriver, hvordan organisationer regelmæssigt overvåger, gennemgår og auditerer deres leverandørserviceleverance. Gennemførelse af anmeldelser og overvågning udføres bedst baseret på de oplysninger, der er i fare – da en tilgang i én størrelse ikke passer til alle. Organisationen bør sigte mod at gennemføre sine anmeldelser i overensstemmelse med den foreslåede segmentering af leverandører for derfor at optimere deres ressourcer og sikre, at de fokuserer indsatsen på overvågning og gennemgang, hvor det vil have størst effekt. Som med A15.1 er der nogle gange behov for pragmatisme – du får ikke nødvendigvis en revision, gennemgang af menneskelige forhold og dedikerede serviceforbedringer med AWS, hvis du er en meget lille organisation. Du kan dog kontrollere (f.eks.) deres årligt udgivne SOC II-rapporter, og sikkerhedscertificeringer forbliver egnede til dit formål.

Beviser for overvågning bør gennemføres baseret på din magt, risici og værdi, hvilket giver din revisor mulighed for at kunne se, at den er gennemført, og at eventuelle nødvendige ændringer er blevet styret gennem en formel ændringskontrolproces.

A.15.2.2 Håndtering af ændringer af leverandørtjenester

En god kontrol beskriver, hvordan eventuelle ændringer i leverandørernes levering af tjenester, herunder opretholdelse og forbedring af eksisterende informationssikkerhedspolitikker, procedurer og kontroller, styres. Den tager højde for kritikaliteten af ​​forretningsinformation, ændringens art, den eller de berørte leverandørtyper, de involverede systemer og processer og en revurdering af risici. Ændringer af leverandørtjenester bør også tage højde for intimiteten i forholdet og organisationens evne til at påvirke eller kontrollere ændringer hos leverandøren.

Hvordan hjælper ISMS.online med leverandørforhold?

ISMS.online har gjort dette kontrolmål meget nemt ved at fremlægge bevis for, at dine relationer er nøje udvalgt, forvaltes godt i livet, inklusive at blive overvåget og gennemgået. Vores brugervenlige kontoforhold (f.eks. leverandør) område gør netop det. Samarbejdsprojekternes arbejdsrum er gode til vigtige leverandør-onboarding, fælles initiativer, offboarding osv., som revisor også kan se med lethed, når det er nødvendigt.

ISMS.online har også gjort dette kontrolmål lettere for din organisation ved at gøre det muligt for dig at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået sit ansvar for informationssikkerhed gennem vores politikpakker. Policy Packs er ideelle, hvor organisationen har specifikke politikker og kontroller, som den ønsker, at leverandørpersonalet skal følge og have tillid til, at de har læst dem og forpligtet sig til at overholde – ud over de bredere aftaler mellem kunde og leverandør.