Kontrol 5.20 regulerer, hvordan en organisation danner en kontrakt forhold til en leverandør, baseret på deres sikkerhedskrav og den type leverandører, de handler med.
5.20 er en forebyggende kontrol at fastholder risiko ved at etablere gensidigt acceptable forpligtelser mellem organisationer og deres leverandører, der beskæftiger sig med informationssikkerhed.
Hvorimod Control 5.19 styrer med informationssikkerhed hele forholdet er Kontrol 5.20 optaget af, hvordan organisationer danner bindende aftaler fra de starte af et forhold.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse |
Ejerskab af kontrol 5.20 bør afhænge af, om organisationen driver deres egen juridiske afdeling eller ej, og den underliggende karakter af enhver underskrevet aftale.
Hvis organisationen har den juridiske kapacitet til at udarbejde, ændre og opbevare deres egne kontraktlige aftaler uden tredjeparts involvering, bør ejerskabet af 5.20 ligge hos den person, der har det endelige ansvar for juridisk bindende aftaler i organisationen (kontrakter, aftalememoer, SLA'er osv.) .)
Hvis organisationen outsourcer sådanne aftaler, bør ejerskabet af Control 5.20 ligge hos et medlem af den øverste ledelse, der fører tilsyn med en organisationens kommercielle drift, og opretholder et direkte forhold til en organisations leverandører, såsom en Chief Operating Officer.
Vi er omkostningseffektive og hurtige
Kontrol 5.20 indeholder 25 vejledningspunkter, som ISO angiver "kan overvejes" (dvs. ikke nødvendigvis alle) for at opfylde en organisations informationssikkerhedskrav.
Uanset hvilke foranstaltninger der vedtages, angiver Kontrol 5.20 eksplicit, at begge parter skal forlade processen med en "klar forståelse" af deres informationssikkerhedsforpligtelser over for hinanden.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
For at hjælpe organisationer med at håndtere leverandørforhold, angiver kontrol 5.20, at organisationer skal opretholde en overenskomstregister.
Registrene bør angive alle aftaler, der indgås med andre organisationer, og kategoriseres efter forholdets karakter, som f.eks kontrakter, aftalememorandums , aftaler om informationsdeling.
ISO 27002:2022-5.20 erstatter 27002:2013-15.1.2 (Håndtering af sikkerhed indenfor leverandøraftaler).
ISO 27002:2022-5.20 indeholder adskillige yderligere vejledninger, der omhandler en bred vifte af tekniske, juridiske og overholdelsesrelaterede emner, herunder:
I store træk lægger ISO 27002:2022-5.20 meget større vægt på, hvad der sker i slutningen af et leverandørforhold, og tildeler langt større betydning for, hvordan en leverandør opnår redundans og dataintegritet i løbet af en aftale.
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |