Kontrol 5.19 beskæftiger sig med en organisations forpligtelse til at sikre, at der ved brug af produkter og tjenester på leverandørsiden (herunder cloud-tjenesteudbydere) tages tilstrækkeligt hensyn til det risikoniveau, der er forbundet med at bruge eksterne systemer, og den deraf følgende indvirkning, der kan have på deres egen overholdelse af informationssikkerhed.
5.19 er en forebyggende kontrol at ændrer risikoen ved at opretholde procedurer, der adresserer iboende sikkerhedsrisici forbundet med brugen af produkter og tjenester leveret af tredjeparter.
Hvor kontrol 5.20 omhandler informationssikkerhed inden for leverandøraftaler, er kontrol 5.19 i store træk optaget af overholdelse gennem hele forholdet.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse |
Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
Mens kontrol 5.19 indeholder en masse vejledning om brugen af ikt-tjenester, omfatter det bredere omfang af kontrollen mange andre aspekter af en organisations forhold til dens leverandørbase, herunder leverandørtyper, logistik, forsyningsvirksomheder, finansielle tjenester og infrastrukturkomponenter).
Som sådan bør ejerskabet af kontrol 5.19 ligge hos et medlem af den øverste ledelse, der fører tilsyn med en organisations kommercielle drift og opretholder et direkte forhold til en organisations leverandører, som f.eks. Chief Operating Officer.
Overholdelse af kontrol 5.19 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til informationssikkerhed i leverandørforhold.
Emnespecifikke tilgange tilskynder organisationer til at skabe leverandørrelaterede politikker, der er skræddersyet til individuelle forretningsfunktioner i stedet for at overholde et tæppe leverandørstyringspolitik der gælder for alle tredjepartsforhold på tværs af en organisations kommercielle drift.
Det er vigtigt at bemærke, at Control 5.19 beder organisationen om at implementere politikker og procedurer, der ikke kun styrer organisationens brug af leverandørressourcer og cloud-platforme, men også danner grundlaget for, hvordan de forventer, at deres leverandører opfører sig forud for og gennem hele perioden af det kommercielle forhold.
Som sådan kan Kontrol 5.19 ses som det væsentlige kvalificerende dokument, der dikterer, hvordan informationssikkerhedsstyring håndteres i løbet af en leverandørkontrakt.
Kontrol 5.19 indeholder 14 hovedvejledningspunkter, der skal overholdes:
1) Oprethold en nøjagtig registrering af leverandørtyper (f.eks. finansielle tjenester, IKT-hardware, telefoni), der har potentiale til at påvirke informationssikkerhedens integritet.
Overholdelse – Udarbejd en liste over alle leverandører, som din organisation arbejder med, kategoriser dem i henhold til deres forretningsfunktion og tilføj kategorier til nævnte leverandørtyper efter behov.
2) Forstå, hvordan du kontrollerer leverandører, baseret på risikoniveauet for deres leverandørtype.
Overholdelse – Forskellige leverandørtyper vil kræve forskellige due diligence-tjek. Overvej at bruge kontrolmetoder på leverandør-for-leverandør-basis (f.eks. branchereferencer, regnskaber, vurderinger på stedet, sektorspecifikke certificeringer såsom Microsoft-partnerskaber).
3) Identificer leverandører, der har allerede eksisterende informationssikkerhedskontroller på plads.
Overholdelse – Bed om at se kopier af leverandørers relevante informationssikkerhedsstyringsprocedurer for at vurdere risikoen for din egen organisation. Hvis de ikke har nogen, er det ikke et godt tegn.
4) Identificer og definer de specifikke områder af din organisations IKT-infrastruktur, som dine leverandører enten selv vil kunne få adgang til, overvåge eller gøre brug af.
Overholdelse – Det er vigtigt fra starten at fastslå præcist, hvordan dine leverandører vil interagere med dine IKT-aktiver – det være sig fysiske eller virtuelle – og hvilke niveauer af adgang de får i overensstemmelse med deres kontraktlige forpligtelser.
5) Definer, hvordan leverandørernes egen IKT-infrastruktur kan påvirke dine egne data og dine kunders.
Overholdelse – En organisations første forpligtelse er dens eget sæt af informationssikkerhedsstandarder. Leverandørens IKT-aktiver skal gennemgås i overensstemmelse med deres potentiale til påvirke oppetid og integritet i hele din organisation.
6) Identificere og styre de forskellige informationssikkerhedsrisici fastgjort til:
a. Leverandørbrug af fortrolige oplysninger eller beskyttede aktiver (f.eks. begrænset til ondsindet brug og/eller kriminel hensigt).
b. Defekt leverandørhardware eller funktionsfejl softwareplatform forbundet med on-premise eller cloud-baserede tjenester.
Overholdelse – Organisationer skal hele tiden være opmærksomme på de informationssikkerhedsrisici, der er forbundet med katastrofale hændelser, såsom uhyggelig leverandørsidebrugeraktivitet eller større uforudsete softwarehændelser, og deres indvirkning på organisatorisk informationssikkerhed.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er omkostningseffektive og hurtige
7) Overvåg overholdelse af informationssikkerhed på et emnespecifikt eller leverandørtypebasis.
Overholdelse – Organisationens behov for at forstå de informationssikkerhedsmæssige konsekvenser, der er iboende inden for hver leverandørtype, og justere deres overvågningsaktivitet for at imødekomme forskellige risikoniveauer.
8) Begræns mængden af skader og/eller forstyrrelser forårsaget af manglende overholdelse.
Overholdelse – Leverandøraktivitet bør overvåges på en passende måde og i varierende grad i overensstemmelse med deres risikoniveau. Hvis manglende overholdelse opdages, enten proaktivt eller reaktivt, bør der træffes øjeblikkelige foranstaltninger.
9) Vedligehold en robust hændelseshåndteringsprocedure der imødekommer en rimelig mængde uforudsete.
Overholdelse – Organisationer bør forstå præcist, hvordan de skal reagere, når de står over for en bred vifte af begivenheder i forbindelse med levering af tredjepartsprodukter og -tjenester, og skitsere afhjælpende handlinger, der omfatter både leverandøren og organisationen.
10) Indfør foranstaltninger, der imødekommer tilgængeligheden og behandlingen af leverandørens oplysninger, uanset hvor de bruges, og sikrer dermed integriteten af organisationens egne oplysninger.
Overholdelse – Der bør tages skridt til at sikre, at leverandørsystemer og data håndteres på en måde, der ikke går på kompromis med tilgængeligheden og sikkerheden af organisationens egne systemer og informationer.
11) Udarbejd en grundig uddannelsesplan, der giver vejledning i, hvordan personalet skal interagere med leverandørpersonale og information fra leverandør for leverandør eller type for type.
Overholdelse – Uddannelse bør dække hele spektret af styring mellem en organisation og dens leverandører, herunder engagement, detaljeret risikostyringskontrol og emnespecifikke procedurer.
12) Forstå og administrere risikoniveauet, der er forbundet med overførsel af information og fysiske og virtuelle aktiver mellem organisationen og deres leverandører.
Overholdelse – Organisationer bør kortlægge hvert trin i overførselsprocessen og uddanne personalet i risici forbundet med flytning af aktiver og information fra en kilde til en anden.
13) Sikre, at leverandørforhold afsluttes med informationssikkerhed for øje, herunder fjernelse af adgangsrettigheder og mulighed for at få adgang til organisationsoplysninger.
Overholdelse – Dine IKT-teams bør have en klar forståelse af, hvordan man tilbagekalder en leverandørs adgang til information, herunder:
14) Skitsér præcis, hvordan du forventer, at leverandøren opfører sig med hensyn til fysiske og virtuelle sikkerhedsforanstaltninger.
Overholdelse – Organisationer bør stille klare forventninger fra begyndelsen af ethvert kommercielt forhold, som specificerer, hvordan personale på leverandørsiden forventes at opføre sig, når de interagerer med dit personale eller eventuelle relevante aktiver.
ISO anerkender, at det ikke altid er muligt at påtvinge en leverandør et komplet sæt politikker, der opfylder hvert eneste krav fra ovenstående liste, som Control 5.19 har til hensigt, især når man har at gøre med rigide offentlige organisationer.
Når det er sagt, siger kontrol 5.19 klart, at organisationer bør bruge ovenstående vejledning, når de danner relationer med leverandører, og overveje manglende overholdelse fra sag til sag.
Hvor fuld overholdelse ikke er opnåelig, giver Control 5.19 organisationer spillerum ved at anbefale "kompenserende kontroller", der opnår tilstrækkelige niveauer af risikostyring, baseret på en organisations unikke omstændigheder.
27002:2022-5.19 erstatter 27002:2013-5.1.1 (Informationssikkerhedspolitik for leverandørforhold).
27002:2022-5.19 følger i store træk de samme underliggende begreber indeholdt i 2013-kontrollen, men indeholder flere yderligere vejledningsområder, der enten er udeladt fra 27002:2013-5.1.1, eller i det mindste ikke er dækket så meget detaljeret, inklusive:
27002:2022-5.19 er også eksplicit i at anerkende den meget varierende karakter af leverandørforhold (baseret på type, sektor og risikoniveau), og giver organisationer en vis grad af spillerum, når de overvejer muligheden for manglende overholdelse af et givet vejledningspunkt, baseret på forholdets karakter (se 'Supplerende vejledning' ovenfor).
Ved brug af ISMS.online kan du:
Det er et simpelt spørgsmål om at oprette en gratis prøvekonto og følge de trin, vi tilbyder.
Kontakt i dag for book en demo.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
