ISO 27002:2022, Kontrol 5.20 – Håndtering af informationssikkerhed inden for leverandøraftaler

Generel vejledning om kontrol 5.20

Kontrol 5.20 indeholder 25 vejledningspunkter, som ISO angiver "kan overvejes" (dvs. ikke nødvendigvis alle) for at opfylde en organisations informationssikkerhedskrav.

Uanset hvilke foranstaltninger der vedtages, angiver Kontrol 5.20 eksplicit, at begge parter skal forlade processen med en "klar forståelse" af deres informationssikkerhedsforpligtelser over for hinanden.

1. Der bør gives en klar beskrivelse, der beskriver de oplysninger, der skal tilgås på nogen måde, og hvordan disse oplysninger skal tilgås.
2. Organisationen bør klassificere de oplysninger, der skal tilgås, i overensstemmelse med dens offentliggjorte klassifikationsskema (se kontrol 5.10, kontrol 5.12 og kontrol 5.13).
3. Der bør tages tilstrækkeligt hensyn til klassifikationsordningen på leverandørsiden, og hvordan den forholder sig til organisationens klassificering af oplysninger.
4. Begge parters rettigheder bør kategoriseres i fire hovedområder – juridiske, lovbestemte, lovgivningsmæssige og kontraktmæssige. Inden for disse fire områder bør forskellige forpligtelser klart skitseres, som det er standard i kommercielle aftaler, herunder adgang til PII, intellektuelle ejendomsrettigheder og copyright-bestemmelser. Aftalen bør også dække, hvordan hvert af disse nøgleområder vil blive behandlet på skift.
5. Hver part bør være forpligtet til at indføre en række samtidige kontroller, der overvåger, vurderer og administrerer informationssikkerhedsrisiko niveauer (såsom adgangskontrolpolitikker, kontraktlige gennemgange, systemovervågning, rapportering og periodisk revision). Derudover bør aftalen klart skitsere behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se kontrol 5.20).
6. Der bør være en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af information og fysiske og virtuelle aktiver fra begge parter.
7. Der bør indføres procedurer, der omhandler de autorisationsniveauer, der kræves for personale på leverandørsiden til at få adgang til eller se en organisations oplysninger (f.eks. autoriserede brugerlister, leverandørrevisioner, serveradgangskontroller).
8. Informationssikkerhed bør overvejes sammen med leverandørens egen ikt-infrastruktur, og hvordan det forholder sig til den type information, som organisationen har givet adgang til, risikokriterier og organisationens basissæt af forretningskrav.
9. Det bør overvejes, hvilke fremgangsmåder organisationen er i stand til at tage i tilfælde af kontraktbrud fra leverandørens side eller manglende overholdelse af individuelle bestemmelser.
10. Aftalen bør klart skitsere en gensidig Incident Management procedure der tydeligt angiver, hvad der skal ske, når der opstår problemer, især med hensyn til, hvordan hændelsen kommunikeres mellem begge parter.
11. Der skal gives personale fra begge parter tilstrækkelig bevidsthedstræning (hvor standardtræning ikke er tilstrækkelig) på nøgleområder i aftalen, specifikt vedrørende nøglerisikoområder såsom Incident Management og tilvejebringelse af adgang til information.
12. Der bør lægges tilstrækkelig vægt på brugen af ​​underleverandører. Hvis leverandøren har tilladelse til at bruge underleverandører, bør organisationerne tage skridt til at sikre, at sådanne personer eller virksomheder er tilpasset det samme sæt informationssikkerhedskrav som leverandøren.
13. Hvor det er juridisk muligt og operationelt relevant, bør organisationer overveje, hvordan leverandørpersonale screenes, før de interagerer med deres oplysninger, og hvordan screening registreres og rapporteres til organisationen, herunder ikke-screenet personale og områder, der giver anledning til bekymring.
14. Organisationer bør fastlægge behovet for tredjepartsattester, der verificerer leverandørens evne til at opfylde organisatoriske informationssikkerhedskrav, herunder uafhængige rapporter og tredjepartsrevisioner.
15. Organisationer bør have den kontraktmæssige ret til at vurdere og revidere en leverandørs procedurer i forbindelse med kontrol 5.20.
16. Leverandører bør have en forpligtelse til at levere rapporter (med forskellige intervaller), der dækker effektiviteten af ​​deres egne processer og procedurer, og hvordan de har til hensigt at løse eventuelle problemer, der rejses i en sådan rapport.
17. Aftalen bør tage skridt til at sikre rettidig og grundig løsning af eventuelle defekter eller konflikter, der finder sted i løbet af forholdet.
18. Hvor det er relevant, bør leverandøren operere med en robust BUDR-politik i tråd med organisationens behov, der dækker over tre hovedhensyn:
    
    a) Sikkerhedskopieringstype (fuld server, fil og mappe osv., trinvis osv.)
    b) Sikkerhedskopieringsfrekvens (dagligt, ugentligt osv.)
    c) Sikkerhedskopieringsplacering og kildemedier (onsite, offsite)
19. Datamodstandsdygtighed bør opnås ved at arbejde med en katastrofegendannelsesplacering, der er adskilt fra leverandørens primære IKT-sted og ikke er underlagt samme risikoniveau.
20. Leverandøren bør arbejde med en omfattende forandringsledelsespolitik der på forhånd giver organisationen besked om ændringer, der kan påvirke informationssikkerheden, og giver organisationen mulighed for at afvise sådanne ændringer.
21. Fysisk sikkerhedskontrol (bygningsadgang, besøgende adgang, værelsesadgang, skrivebordssikkerhed) bør vedtages, som er relevante for den type information, de har tilladelse til at få adgang til.
22. Når behovet opstår for at overføre information mellem aktiver, websteder, servere eller lagersteder, bør leverandøren sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption under hele processen.
23. Aftalen bør skitsere en omfattende liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse (se også kontrol 5.20), herunder (men ikke begrænset til):
    
    a) Afhændelse og/eller flytning af aktiver
    b) Sletning af oplysninger
    c) Returnering af IP
    d) Fjernelse af adgangsrettigheder
    e) Løbende tavshedspligt
24. I forlængelse af punkt 23 bør leverandøren præcist redegøre for, hvordan den agter at ødelægge/permanent slette organisationens oplysninger i det øjeblik, de ikke længere er nødvendige (dvs. i tilfælde af en opsigelse).
25. Hvis der ved udløbet af en kontrakt opstår behov for at overdrage support og/eller ydelser til en anden udbyder, der ikke er opført på aftalen, tages der skridt til at sikre, at processen medfører nul forretningsafbrydelser.

Understøttende kontroller

• 5.10
• 5.12
• 5.13
• 5.20

Supplerende vejledning

For at hjælpe organisationer med at håndtere leverandørforhold, angiver kontrol 5.20, at organisationer skal opretholde en overenskomstregister.

Registrene bør angive alle aftaler, der indgås med andre organisationer, og kategoriseres efter forholdets karakter, som f.eks kontrakter, aftalememorandums , aftaler om informationsdeling.

Ændringer og forskelle fra ISO 27002:2013

ISO 27002:2022-5.20 erstatter 27002:2013-15.1.2 (Håndtering af sikkerhed indenfor leverandøraftaler).

ISO 27002:2022-5.20 indeholder adskillige yderligere vejledninger, der omhandler en bred vifte af tekniske, juridiske og overholdelsesrelaterede emner, herunder:

• Overdragelsesprocedurer
• Informations ødelæggelse
• Opsigelsesklausuler
• Fysisk sikkerhedskontrol
• Forandringsledelse
• Backups og informationsredundans

I store træk lægger ISO 27002:2022-5.20 meget større vægt på, hvad der sker i slutningen af ​​et leverandørforhold, og tildeler langt større betydning for, hvordan en leverandør opnår redundans og dataintegritet i løbet af en aftale.

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Kontakt i dag for book en demo.