Formål med kontrol 5.20
Kontrol 5.20 regulerer, hvordan en organisation danner en kontrakt forhold til en leverandør, baseret på deres sikkerhedskrav og den type leverandører, de handler med.
5.20 er en forebyggende kontrol at fastholder risiko ved at etablere gensidigt acceptable forpligtelser mellem organisationer og deres leverandører, der beskæftiger sig med informationssikkerhed.
Hvorimod Control 5.19 styrer med informationssikkerhed hele forholdet er Kontrol 5.20 optaget af, hvordan organisationer danner bindende aftaler fra de starte af et forhold.
Kontrolattributter 5.20
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Sikkerhed for leverandørforhold | #Governance og økosystem |
| #Integritet | #Beskyttelse | |||
| #Tilgængelighed |
Ejerskab af kontrol 5.20
Ejerskab af kontrol 5.20 bør afhænge af, om organisationen driver deres egen juridiske afdeling eller ej, og den underliggende karakter af enhver underskrevet aftale.
Hvis organisationen har den juridiske kapacitet til at udarbejde, ændre og opbevare deres egne kontraktlige aftaler uden tredjeparts involvering, bør ejerskabet af 5.20 ligge hos den person, der har det endelige ansvar for juridisk bindende aftaler i organisationen (kontrakter, aftalememoer, SLA'er osv.) .)
Hvis organisationen outsourcer sådanne aftaler, bør ejerskabet af Control 5.20 ligge hos et medlem af den øverste ledelse, der fører tilsyn med en organisationens kommercielle drift, og opretholder et direkte forhold til en organisations leverandører, såsom en Chief Operating Officer.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om kontrol 5.20
Kontrol 5.20 indeholder 25 vejledningspunkter, som ISO angiver "kan overvejes" (dvs. ikke nødvendigvis alle) for at opfylde en organisations informationssikkerhedskrav.
Uanset hvilke foranstaltninger der vedtages, angiver Kontrol 5.20 eksplicit, at begge parter skal forlade processen med en "klar forståelse" af deres informationssikkerhedsforpligtelser over for hinanden.
- Der bør gives en klar beskrivelse, der beskriver de oplysninger, der skal tilgås på nogen måde, og hvordan disse oplysninger skal tilgås.
- Organisationen bør klassificere de oplysninger, der skal tilgås, i overensstemmelse med dens offentliggjorte klassifikationsskema (se kontrol 5.10, kontrol 5.12 og kontrol 5.13).
- Der bør tages tilstrækkeligt hensyn til klassifikationsordningen på leverandørsiden, og hvordan den forholder sig til organisationens klassificering af oplysninger.
- Begge parters rettigheder bør kategoriseres i fire hovedområder – juridiske, lovbestemte, lovgivningsmæssige og kontraktmæssige. Inden for disse fire områder bør forskellige forpligtelser klart skitseres, som det er standard i kommercielle aftaler, herunder adgang til PII, intellektuelle ejendomsrettigheder og copyright-bestemmelser. Aftalen bør også dække, hvordan hvert af disse nøgleområder vil blive behandlet på skift.
- Hver part bør være forpligtet til at indføre en række samtidige kontroller, der overvåger, vurderer og administrerer informationssikkerhedsrisiko niveauer (såsom adgangskontrolpolitikker, kontraktlige gennemgange, systemovervågning, rapportering og periodisk revision). Derudover bør aftalen klart skitsere behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se kontrol 5.20).
- Der bør være en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af information og fysiske og virtuelle aktiver fra begge parter.
- Der bør indføres procedurer, der omhandler de autorisationsniveauer, der kræves for personale på leverandørsiden til at få adgang til eller se en organisations oplysninger (f.eks. autoriserede brugerlister, leverandørrevisioner, serveradgangskontroller).
- Informationssikkerhed bør overvejes sammen med leverandørens egen ikt-infrastruktur, og hvordan det forholder sig til den type information, som organisationen har givet adgang til, risikokriterier og organisationens basissæt af forretningskrav.
- Det bør overvejes, hvilke fremgangsmåder organisationen er i stand til at tage i tilfælde af kontraktbrud fra leverandørens side eller manglende overholdelse af individuelle bestemmelser.
- Aftalen bør klart skitsere en gensidig Incident Management procedure der tydeligt angiver, hvad der skal ske, når der opstår problemer, især med hensyn til, hvordan hændelsen kommunikeres mellem begge parter.
- Der skal gives personale fra begge parter tilstrækkelig bevidsthedstræning (hvor standardtræning ikke er tilstrækkelig) på nøgleområder i aftalen, specifikt vedrørende nøglerisikoområder såsom Incident Management og tilvejebringelse af adgang til information.
- Der bør lægges tilstrækkelig vægt på brugen af underleverandører. Hvis leverandøren har tilladelse til at bruge underleverandører, bør organisationerne tage skridt til at sikre, at sådanne personer eller virksomheder er tilpasset det samme sæt informationssikkerhedskrav som leverandøren.
- Hvor det er juridisk muligt og operationelt relevant, bør organisationer overveje, hvordan leverandørpersonale screenes, før de interagerer med deres oplysninger, og hvordan screening registreres og rapporteres til organisationen, herunder ikke-screenet personale og områder, der giver anledning til bekymring.
- Organisationer bør fastlægge behovet for tredjepartsattester, der verificerer leverandørens evne til at opfylde organisatoriske informationssikkerhedskrav, herunder uafhængige rapporter og tredjepartsrevisioner.
- Organisationer bør have den kontraktmæssige ret til at vurdere og revidere en leverandørs procedurer i forbindelse med kontrol 5.20.
- Leverandører bør have en forpligtelse til at levere rapporter (med forskellige intervaller), der dækker effektiviteten af deres egne processer og procedurer, og hvordan de har til hensigt at løse eventuelle problemer, der rejses i en sådan rapport.
- Aftalen bør tage skridt til at sikre rettidig og grundig løsning af eventuelle defekter eller konflikter, der finder sted i løbet af forholdet.
- Hvor det er relevant, bør leverandøren operere med en robust BUDR-politik i tråd med organisationens behov, der dækker over tre hovedhensyn:
a) Sikkerhedskopieringstype (fuld server, fil og mappe osv., trinvis osv.)
b) Sikkerhedskopieringsfrekvens (dagligt, ugentligt osv.)
c) Sikkerhedskopieringsplacering og kildemedier (onsite, offsite) - Datamodstandsdygtighed bør opnås ved at arbejde med en katastrofegendannelsesplacering, der er adskilt fra leverandørens primære IKT-sted og ikke er underlagt samme risikoniveau.
- Leverandøren bør arbejde med en omfattende forandringsledelsespolitik der på forhånd giver organisationen besked om ændringer, der kan påvirke informationssikkerheden, og giver organisationen mulighed for at afvise sådanne ændringer.
- Fysisk sikkerhedskontrol (bygningsadgang, besøgende adgang, værelsesadgang, skrivebordssikkerhed) bør vedtages, som er relevante for den type information, de har tilladelse til at få adgang til.
- Når behovet opstår for at overføre information mellem aktiver, websteder, servere eller lagersteder, bør leverandøren sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption under hele processen.
- Aftalen bør skitsere en omfattende liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse (se også kontrol 5.20), herunder (men ikke begrænset til):
a) Afhændelse og/eller flytning af aktiver
b) Sletning af oplysninger
c) Returnering af IP
d) Fjernelse af adgangsrettigheder
e) Løbende tavshedspligt - I forlængelse af punkt 23 bør leverandøren præcist redegøre for, hvordan den agter at ødelægge/permanent slette organisationens oplysninger i det øjeblik, de ikke længere er nødvendige (dvs. i tilfælde af en opsigelse).
- Hvis der ved udløbet af en kontrakt opstår behov for at overdrage support og/eller ydelser til en anden udbyder, der ikke er opført på aftalen, tages der skridt til at sikre, at processen medfører nul forretningsafbrydelser.
Understøttende kontroller
- 5.10
- 5.12
- 5.13
- 5.20
Supplerende vejledning
For at hjælpe organisationer med at håndtere leverandørforhold, angiver kontrol 5.20, at organisationer skal opretholde en overenskomstregister.
Registrene bør angive alle aftaler, der indgås med andre organisationer, og kategoriseres efter forholdets karakter, som f.eks kontrakter, aftalememorandums og aftaler om informationsdeling.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
ISO 27002:2022-5.20 erstatter 27002:2013-15.1.2 (Håndtering af sikkerhed indenfor leverandøraftaler).
ISO 27002:2022-5.20 indeholder adskillige yderligere vejledninger, der omhandler en bred vifte af tekniske, juridiske og overholdelsesrelaterede emner, herunder:
- Overdragelsesprocedurer
- Informations ødelæggelse
- Opsigelsesklausuler
- Fysisk sikkerhedskontrol
- Forandringsledelse
- Backups og informationsredundans
I store træk lægger ISO 27002:2022-5.20 meget større vægt på, hvad der sker i slutningen af et leverandørforhold, og tildeler langt større betydning for, hvordan en leverandør opnår redundans og dataintegritet i løbet af en aftale.
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
