ISO 27001:2022 Bilag A 5.20 – Håndtering af informationssikkerhed inden for leverandøraftaler

Hvad er formålet med ISO 27001:2022 Annex A 5.20?

ISO 27001 Annex A Kontrol 5.20 regulerer, hvordan en organisation indgår en kontrakt med en leverandør baseret på deres krav til sikkerhed. Dette er baseret på de typer leverandører, de arbejder med.

Som en del af bilag A Kontrol 5.20 skal organisationer og deres leverandører aftale gensidigt acceptabel informationssikkerhed forpligtelser til at opretholde risiko.

Hvem har ejerskab til bilag A 5.20?

Bilagskontrol 5.20 bør bestemmes af, om organisationen driver sin egen juridiske afdeling, samt arten af ​​den aftale, der er underskrevet.

Håndtering af eventuelle ændringer i forsyningskæden politikker, procedurer og kontroller, herunder vedligeholdelse og forbedring af eksisterende informationssikkerhedspolitikker, procedurer og kontroller, betragtes som effektiv kontrol.

Dette bestemmes ved at tage hensyn til vigtigheden af ​​forretningsinformation, arten af ​​ændringen, typen/typerne af leverandører, der er berørt, de involverede systemer og processer og revurdering af risikofaktorer. Ændring af de tjenester, en leverandør leverer, bør også tage hensyn til forholdets intimitet og organisationens evne til at påvirke eller kontrollere ændringen.

Ejerskab af 5.20 bør ligge hos den person, der er ansvarlig for juridisk bindende aftaler i organisationen (kontrakter, aftalememoer, serviceniveauaftaler osv.), hvis organisationen har den juridiske kapacitet til at udarbejde, ændre og opbevare sine kontraktaftaler uden involvering af tredjeparter.

Et medlem af den øverste ledelse i organisationen, der fører tilsyn med organisationens kommercielle drift og opretholder direkte relationer til dens leverandører, bør tage ansvaret for bilag A Kontrol 5.20, hvis organisationen outsourcer sådanne aftaler.

ISO 27001:2022 Bilag A 5.20 Generel vejledning

Kontrol 5.20 i bilag A indeholder 25 vejledningspunkter, som ISO angiver er "mulige at overveje" (dvs. ikke nødvendigvis alle), for at organisationer kan opfylde deres informationssikkerhedskrav.

Bilag A Kontrol 5.20 specificerer, at uanset vedtagne foranstaltninger skal begge parter komme ud af processen med en "klar forståelse" af hinandens informationssikkerhedsforpligtelser.

1. Det er vigtigt at give en klar beskrivelse af de oplysninger, der skal tilgås, og hvordan disse oplysninger vil blive tilgået.
2. Organisationer bør klassificere oplysninger efter deres offentliggjorte klassifikationsskemaer (se bilag A kontrol 5.10, 5.12 og 5.13).
3. Informationsklassificering på leverandørens side bør overvejes sammen med, hvordan det forholder sig til det på organisationens side.
4. Generelt kan begge parters rettigheder opdeles i fire kategorier: juridiske, lovbestemte, regulatoriske og kontraktmæssige. Som det er standard med kommercielle aftaler, bør forskellige forpligtelser klart skitseres inden for disse fire områder, herunder adgang til personlige oplysninger, intellektuelle ejendomsrettigheder og ophavsretlige bestemmelser. Kontrakten bør også dække, hvordan disse nøgleområder vil blive behandlet separat.
5. Som en del af bilag A-kontrolsystemet bør hver part være forpligtet til at implementere samtidige foranstaltninger designet til at overvåge, vurdere og styre informationssikkerhedsrisici (såsom adgangskontrolpolitikker, kontraktlige gennemgange, overvågning, rapportering og periodisk revision). Endvidere bør det klart fremgå af aftalen, at leverandørpersonale skal overholde organisationens informationssikkerhedsstandarder (se ISO 27001 Bilag A Kontrol 5.20).
6. Begge parter skal klart forstå, hvad der udgør acceptabel og uacceptabel brug af information samt fysiske og virtuelle aktiver.
7. For at sikre, at personale på leverandørsiden kan få adgang til og se en organisations information, bør der indføres procedurer (f.eks. leverandørrevision og serveradgangskontrol).
8. Ud over at overveje leverandørens IKT-infrastruktur, er det vigtigt at forstå, hvordan det forholder sig til den type information, organisationen vil få adgang til. Dette er et supplement til organisationens kernesæt af forretningskrav.
9. Hvis leverandøren misligholder kontrakten eller ikke overholder individuelle vilkår, bør organisationen overveje, hvilke skridt den kan tage.
10. Konkret skal aftalen beskrive en procedure for gensidig hændelseshåndtering, der tydeliggør, hvordan problemer skal håndteres, når de opstår. Dette inkluderer, hvordan begge parter skal kommunikere, når en hændelse opstår.
11. Begge parter bør sørge for passende bevidsthedstræning (hvor standardtræning ikke er tilstrækkelig) inden for nøgleområder i aftalen, især inden for risikoområder såsom Incident Management og Informationsdeling.
12. Brugen af ​​underleverandører bør behandles tilstrækkeligt. Organisationer bør sikre, at hvis leverandøren har tilladelse til at bruge underleverandører, skal sådanne personer eller virksomheder overholde de samme informationssikkerhedsstandarder som leverandøren.
13. Så vidt det er juridisk og operationelt muligt, bør organisationer overveje, hvordan leverandørpersonale screenes, før de interagerer med deres oplysninger. Derudover bør de overveje, hvordan screeninger registreres og rapporteres til organisationen, herunder ikke-screenet personale og bekymringsområder.
14. Tredjepartsattest, såsom uafhængig rapporter og tredjepartsrevisioner, bør kræves af organisationer for leverandører, der overholder deres krav til informationssikkerhed.
15. ISO 27001:2022 Bilag A Kontrol 5.20 kræver, at organisationer har ret til at evaluere og revidere deres leverandørers procedurer.
16. En leverandør bør forpligtes til at levere periodiske rapporter (med varierende intervaller), der opsummerer effektiviteten af ​​deres processer og procedurer, og hvordan de har til hensigt at løse eventuelle rejste problemer.
17. Under forholdet bør aftalen indeholde foranstaltninger til at sikre, at eventuelle mangler eller konflikter bliver løst rettidigt og grundigt.
18. En passende BUDR-politik bør implementeres af leverandøren, skræddersyet til at imødekomme organisationens behov, som imødekommer tre nøgleovervejelser: a) Backup-type (fuld server, fil og mappe, trinvis), b) Backup-hyppighed (dagligt, ugentlig osv.). ) C) Backup-placering og kildemedier (on-site, offsite).
19. Det er vigtigt at sikre datamodstandsdygtighed ved at operere fra et katastrofegendannelsesanlæg adskilt fra leverandørens primære IKT-sted. Denne facilitet er ikke underlagt samme risikoniveau som hoved-IKT-stedet.
20. Leverandører bør opretholde en omfattende ændringsstyringspolitik, der giver organisationen mulighed for på forhånd at afvise ændringer, der kan påvirke informationssikkerheden.
21. Fysisk sikkerhedskontrol bør implementeres afhængigt af, hvilke oplysninger de har tilladelse til at få adgang til (bygningsadgang, besøgende adgang, værelsesadgang, skrivebordssikkerhed).
22. Når data overføres mellem aktiver, websteder, servere eller lagersteder, bør leverandører sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption.
23. Som en del af aftalen bør hver part være forpligtet til at foretage en omfattende liste over handlinger i tilfælde af opsigelse (se bilag A Kontrol 5.20). Disse handlinger omfatter (men er ikke begrænset til): a) bortskaffelse af aktiver og/eller flytning, b) sletning af oplysninger, c) returnering af IP, d) fjernelse af adgangsrettigheder e) fortsatte fortrolighedsforpligtelser.
24. Ud over punkt 23 bør leverandøren diskutere detaljeret, hvordan den agter at ødelægge/permanent slette organisationens oplysninger, når de ikke længere er nødvendige (dvs. ved kontraktens ophør).
25. Når en kontrakt ophører, og der opstår behov for at overføre support og/eller tjenester til en anden udbyder, der ikke er opført på kontrakten, tages der skridt til at sikre, at forretningsdriften ikke afbrydes.

Medfølgende bilag A kontrol

• ISO 27001:2022 Bilag A 5.10
• ISO 27001:2022 Bilag A 5.12
• ISO 27001:2022 Bilag A 5.13
• ISO 27001:2022 Bilag A 5.20

Supplerende vejledning om bilag A 5.20

Bilag A Kontrol 5.20 anbefaler, at organisationer fører et register over aftaler for at hjælpe dem med at administrere deres leverandørforhold.

Optegnelser over alle aftaler, der indgås med andre organisationer, bør opbevares, kategoriseret efter forholdets art. Dette omfatter kontrakter, aftalememoranda og aftaler vedrørende informationsdeling.

Hvad er ændringerne fra ISO 27001:2013?

Der er foretaget en ændring af ISO 27001:2013 Bilag A 15.1.2 (Tilpasning af sikkerhed indenfor leverandøraftaler) til ISO 27001: 2022 Bilag A Kontrol 5.20.

Adskillige yderligere retningslinjer er indeholdt i bilag A kontrol 5.20 i ISO 27001:2022, der omhandler en bred vifte af tekniske, juridiske og overholdelsesrelaterede spørgsmål, herunder:

• Overdragelsesproceduren.
• Ødelæggelse af information.
• Bestemmelser for opsigelse.
• Kontrol til fysisk sikkerhed.
• Forandringsledelse.
• Informationsredundans og backups.

Som en generel regel understreger ISO 27001:2022 Annex A 5.20, hvordan en leverandør opnår redundans og dataintegritet gennem en kontrakt.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvad er fordelene ved at bruge ISMS.online til leverandørforhold?

En trin-for-trin tjekliste guider dig gennem det hele ISO 27001 implementeringsproces, fra at definere omfanget af dit ISMS til at identificere risici og implementere kontroller.

Gennem ISMS.onlines brugervenlige Accounts relations (f.eks. leverandør) område kan du sikre, at dine relationer er nøje udvalgt, administreret godt i livet og overvåget og gennemgået. ISMS.onlines samarbejdsprojektarbejdsrum har nemt opfyldt dette kontrolmål. Disse arbejdsrum er nyttige for leverandør om bording, fælles initiativer, off boarding osv., som revisor også nemt kan se, når det er nødvendigt.

Vi har også gjort dette kontrolmål lettere for din organisation ved at give dig mulighed for at demonstrere, at leverandøren formelt har forpligtet sig til at overholde kravene. Dette gøres gennem vores Politikpakker. Disse politikpakker er især nyttige for organisationer med specifikke politikker og kontroller, som de ønsker, at deres leverandører skal overholde, så de kan have tillid til, at deres leverandører har læst disse politikker og har forpligtet sig til at overholde dem.

Det kan være nødvendigt at tilpasse ændringen til A.6.1.5 Informationssikkerhed i projektledelse afhængigt af ændringens art (f.eks. ved mere væsentlige ændringer).

Book en demo i dag.