ISO 27001:2022 Bilag A Kontrol 5.19

Generel vejledning om ISO 27001:2022 Bilag A 5.19

Overholdelse af bilag A Kontrol 5.19 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til informationssikkerhed i leverandørforhold.

En organisation ønsker måske, at leverandører får adgang til og bidrager til visse informationsaktiver af høj værdi (f.eks. softwarekodeudvikling, regnskabsmæssige lønoplysninger). De skal derfor have klare aftaler om, præcis hvilken adgang de giver dem, så de kan kontrollere sikkerheden omkring det.

Dette er især vigtigt med flere og flere informationshåndtering, -behandling og teknologitjenester, der outsources. Det betyder, at der er et sted at vise, at forvaltningen af ​​forholdet sker; kontrakter, kontakter, hændelser, relationsaktivitet og risikostyring osv. Hvor leverandøren også er tæt involveret i organisationen, men måske ikke har sit eget certificerede ISMS, så er det også værd at sikre, at leverandørpersonalet er uddannet og bevidst om sikkerhed, trænet i dine politikker osv.

Emnespecifikke tilgange tilskynder organisationer til at skabe leverandørrelaterede politikker, der er skræddersyet til individuelle forretningsfunktioner, i stedet for at overholde en generel leverandørstyringspolitik, der gælder for enhver og alle tredjepartsrelationer på tværs af en organisations kommercielle drift.

Det er vigtigt at bemærke, at ISO 27001 Annex A Kontrol 5.19 beder organisationen om at implementere politikker og procedurer, der ikke kun styrer organisationens brug af leverandørressourcer og cloudplatforme, men også danner grundlag for, hvordan de forventer, at deres leverandører opfører sig før og i hele handelsforholdets løbetid.

Som sådan kan bilag A Kontrol 5.19 ses som det væsentlige kvalificerende dokument, der dikterer, hvordan informationssikkerhedsstyring håndteres i løbet af en leverandørkontrakt.

ISO 27001 bilag A Kontrol 5.19 indeholder 14 hovedvejledningspunkter, der skal overholdes:

1) Oprethold en nøjagtig registrering af leverandørtyper (f.eks. finansielle tjenester, IKT-hardware, telefoni), der har potentiale til at påvirke informationssikkerhedens integritet.

Overholdelse – Udarbejd en liste over alle leverandører, som din organisation arbejder med, kategoriser dem i henhold til deres forretningsfunktion og tilføj kategorier til nævnte leverandørtyper efter behov.

2) Forstå, hvordan leverandører skal kontrolleres, baseret på risikoniveauet for deres leverandørtype.

Overholdelse – Forskellige leverandørtyper vil kræve forskellige due diligence-tjek. Overvej at bruge kontrolmetoder på leverandør-for-leverandør-basis (f.eks. branchereferencer, regnskaber, vurderinger på stedet, sektorspecifikke certificeringer såsom Microsoft-partnerskaber).

3) Identificer leverandører, der har eksisterende informationssikkerhedskontrol på plads.

Overholdelse – Bed om at se kopier af leverandørers relevante informationssikkerhedsstyringsprocedurer for at vurdere risikoen for din egen organisation. Hvis de ikke har nogen, er det ikke et godt tegn.

4) Identificer og definer de specifikke områder af din organisations IKT-infrastruktur, som dine leverandører enten selv vil kunne få adgang til, overvåge eller gøre brug af.

Overholdelse – Det er vigtigt fra starten at fastslå præcist, hvordan dine leverandører vil interagere med dine IKT-aktiver – det være sig fysiske eller virtuelle – og hvilke niveauer af adgang de får i overensstemmelse med deres kontraktlige forpligtelser.

5) Definer, hvordan leverandørernes egen IKT-infrastruktur kan påvirke dine egne data og dine kunders.

Overholdelse – En organisations første forpligtelse er dens eget sæt af informationssikkerhedsstandarder. Leverandørernes IKT-aktiver skal gennemgås i overensstemmelse med deres potentiale for at påvirke oppetid og integritet i hele din organisation.

6) Identificer og administrer de forskellige informationssikkerhedsrisici knyttet til:

en. Leverandørbrug af fortrolige oplysninger eller beskyttede aktiver (f.eks. begrænset til ondsindet brug og/eller kriminel hensigt).

b. Defekt leverandørhardware eller funktionsfejl softwareplatform forbundet med on-premise eller cloud-baserede tjenester.

Overholdelse – Organisationer skal hele tiden være opmærksomme på de informationssikkerhedsrisici, der er forbundet med katastrofale hændelser, såsom uhyggelig leverandørsidebrugeraktivitet eller større uforudsete softwarehændelser, og deres indvirkning på organisatorisk informationssikkerhed.

7) Overvåg overholdelse af informationssikkerhed på et emnespecifikt eller leverandørtypebasis.

Overholdelse – Organisationens behov for at værdsætte informationssikkerhed implikationer, der er iboende inden for hver leverandørtype, og justere deres overvågningsaktivitet for at imødekomme forskellige risikoniveauer.

8) Begræns mængden af ​​skader og/eller forstyrrelser forårsaget af manglende overholdelse.

Overholdelse – Leverandøraktivitet bør overvåges på en passende måde og i varierende grad i overensstemmelse med deres risikoniveau. Hvis manglende overholdelse opdages, enten proaktivt eller reaktivt, bør der træffes øjeblikkelige foranstaltninger.

9) Oprethold en robust incident management procedure, der adresserer en rimelig mængde uforudsete hændelser.

Overholdelse – Organisationer bør forstå præcist, hvordan de skal reagere, når de står over for en bred vifte af begivenheder i forbindelse med levering af tredjepartsprodukter og -tjenester, og skitsere afhjælpende handlinger, der omfatter både leverandøren og organisationen.

10) Indføre foranstaltninger, der imødekommer tilgængeligheden og behandlingen af ​​leverandørens oplysninger, uanset hvor de bruges, og derved sikre integriteten af ​​organisationens egne oplysninger.

Overholdelse – Der bør tages skridt til at sikre, at leverandørsystemer og data håndteres på en måde, der ikke går på kompromis med tilgængeligheden og sikkerheden af ​​organisationens egne systemer og informationer.

11) Udarbejd en grundig uddannelsesplan, der giver vejledning i, hvordan personalet skal interagere med leverandørpersonale og information på leverandør-for-leverandør-basis eller type-for-type-basis.

Overholdelse – Uddannelse bør dække hele spektret af styring mellem en organisation og dens leverandører, herunder engagement, granulære risikostyringskontroller og emnespecifikke procedurer.

12) Forstå og administrere risikoniveauet, der er forbundet med overførsel af information og fysiske og virtuelle aktiver mellem organisationen og deres leverandører.

Overholdelse – Organisationer bør kortlægge hvert trin i overførselsprocessen og uddanne personalet i de risici, der er forbundet med at flytte aktiver og information fra en kilde til en anden.

13) Sikre, at leverandørforhold afsluttes med informationssikkerhed for øje, herunder fjernelse af adgangsrettigheder og mulighed for at få adgang til organisationsoplysninger.

Overholdelse – Dine IKT-teams bør have en klar forståelse af, hvordan man tilbagekalder en leverandørs adgang til information, herunder:

• Granulær analyse af eventuelle tilknyttede domæner og/eller skybaserede konti.
• Fordeling af intellektuel ejendomsret.
• Portering af information mellem leverandører eller tilbage til din organisation.
• Record management.
• Returnering af aktiver til deres oprindelige ejer.
• Tilstrækkelig bortskaffelse af fysiske og virtuelle aktiver, herunder information.
• Overholdelse af eventuelle kontraktmæssige krav, herunder fortrolighedsklausuler og/eller eksterne aftaler.

14) Skitsér præcis, hvordan du forventer, at leverandøren opfører sig med hensyn til fysiske og virtuelle sikkerhedsforanstaltninger.

Overholdelse – Organisationer bør stille klare forventninger fra begyndelsen af ​​ethvert kommercielt forhold, som specificerer, hvordan personale på leverandørsiden forventes at opføre sig, når de interagerer med dit personale eller eventuelle relevante aktiver.

Supplerende vejledning om bilag A 5.19

ISO anerkender, at det ikke altid er muligt at pålægge en leverandør et komplet sæt politikker, der opfylder hvert eneste krav fra ovenstående liste, som ISO 27001 Annex A Control 5.19 har til hensigt, især når man har at gøre med rigide offentlige organisationer.

Når det er sagt, angiver bilag A Kontrol 5.19 klart, at organisationer bør bruge ovenstående vejledning, når de danner relationer med leverandører, og overveje manglende overholdelse fra sag til sag.

Hvor fuld overholdelse ikke er opnåelig, giver bilag A Kontrol 5.19 organisationer spillerum ved at anbefale "kompenserende kontroller", der opnår tilstrækkelige niveauer af risikostyring, baseret på en organisations unikke omstændigheder.

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.19 erstatter ISO 27001:2013 Bilag A 15.1.1 (Informationssikkerhedspolitik for leverandørforhold).

ISO 27001:2022 Annex A 5.19 overholder stort set de samme underliggende begreber, som er indeholdt i 2013-kontrollen, men indeholder flere yderligere vejledningsområder, der enten er udeladt fra ISO 27001:2013 Annex A 5.1.1, eller i det mindste ikke er dækket af så mange detaljer, herunder:

• Kontrol af leverandører baseret på deres leverandørtype og risikoniveau.
• Behovet for at sikre integriteten af ​​leverandøroplysninger for at sikre deres egne data og sikre forretningskontinuitet.
• De forskellige trin, der kræves ved afslutning af et leverandørforhold, herunder nedlæggelse af adgangsrettigheder, IP-distribution, kontraktlige aftaler mv.

ISO 27001:2022 Annex A 5.19 er også eksplicit i anerkendelsen af ​​leverandørforholdets meget varierende karakter (baseret på type, sektor og risikoniveau), og giver organisationer et vist spillerum, når de overvejer muligheden for manglende overholdelse af en given vejledning punkt, baseret på forholdets karakter (se 'Supplerende vejledning' ovenfor).

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

Hvordan hjælper ISMS.online med leverandørforhold?

ISMS.online har gjort dette kontrolmål meget nemt ved at fremlægge bevis for, at dine relationer er nøje udvalgt, forvaltes godt i livet, inklusive at blive overvåget og gennemgået. Vores brugervenlige kontoforhold (f.eks. leverandør) område gør netop det. Samarbejdsprojekternes arbejdsrum er gode til vigtige leverandør-on-boarding, fælles initiativer, off-boarding osv. som revisor også kan se med lethed, når det er nødvendigt.

ISMS.online har også gjort dette kontrolmål lettere for din organisation ved at gøre det muligt for dig at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået sit ansvar for informationssikkerhed gennem vores politikpakker. Politikpakker er ideelle, hvor organisationen har specifikke politikker og kontroller, den ønsker, at leverandørpersonalet skal følge og have tillid til, at de har læst dem og forpligtet sig til at overholde – ud over de bredere aftaler mellem kunde og leverandør.

Afhængigt af ændringens art (dvs. for mere væsentlige ændringer) kan der være et bredere krav om at tilpasse sig A.6.1.5 informationssikkerhed i projektledelse.

Ved at bruge ISMS.online kan du:

• Implementer hurtigt et Information Security Management System (ISMS).
• Administrer nemt dokumentationen for dit ISMS.
• Strømline overholdelse af alle relevante standarder.
• Administrer alle aspekter af informationssikkerhed, fra risikostyring til træning i sikkerhedsbevidsthed.
• Kommuniker effektivt i hele din organisation ved hjælp af vores indbyggede kommunikationsfunktionalitet.

Kontakt i dag for book en demo.