ISO 27701 klausul 6.12: Supplier Management Essentials
At danne og vedligeholde produktive leverandørrelationer udgør en stor del af de fleste moderne databaserede virksomheder – hvad enten det er gennem levering af udstyr, supporttjenester eller underleverandører.
Fra begyndelsen af forholdet og i hele servicekontraktens varighed skal begge parter være opmærksomme på deres forpligtelser i forhold til privatlivsinformationssikkerhed, og standarder bør tilpasses for at beskytte PII og garantere integriteten af følsomme oplysninger.
Hvad er dækket af ISO 27701 klausul 6.12
ISO 27701 paragraf 6.12 består af to bestanddele:
- ISO 27701 6.12.1 – Informationssikkerhed i leverandørforhold
- ISO 27701 6.12.2 – Leverandørservice leveringsstyring
På tværs af disse to afsnit er der 5 underpunkter, der indeholder vejledning fra ISO 27002, anvendt inden for rammerne af håndtering af privatlivsoplysninger og sikkerhed:
- ISO 27701 6.12.1.1 – Informationssikkerhedspolitik for leverandørforhold (ISO 27002 Kontrol 5.19)
- ISO 27701 6.12.1.2 – Håndtering af sikkerhed inden for leverandøraftaler (ISO 27002 Kontrol 5.20)
- ISO 27701 6.12.1.3 – Informations- og kommunikationsteknologiens forsyningskæde (ISO 27002 Kontrol 5.21)
- ISO 27701 6.12.2.1 – Overvågning og gennemgang af leverandørtjenester (ISO 27002 Kontrol 5.22)
- ISO 27701 6.12.2.2 – Håndtering af ændringer i leverandørtjenester (ISO 27002 kontrol 5.22)
Kun én artikel indeholder vejledning, der gælder for Storbritannien GDPR lovgivning – (ISO 27701 6.12.1.2). Artikelnumrene er angivet for din bekvemmelighed.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 Klausul 6.12.1.1 – Beskyttelse af testdata
Referencer ISO 27002 Kontrol 5.19
Organisationer skal implementere politikker og procedurer, der ikke kun styrer organisationens brug af leverandørressourcer og cloudplatforme, men også danner grundlag for, hvordan de forventer, at deres leverandører opfører sig forud for og i hele løbetiden af det kommercielle forhold, især vedrørende PII og privatlivsrelaterede aktiver.
ISO 27701 6.12.1.1 kan ses som det væsentlige kvalificerende dokument, der dikterer, hvordan styring af privatlivsoplysninger håndteres i løbet af en leverandørkontrakt.
Organisationer bør:
- Oprethold en fortegnelse over leverandørtyper, der har potentiale til at påvirke datasikkerheden i privatlivets fred.
- Forstå, hvordan du vet leverandører, baseret på forskellige risikoniveauer.
- Identificer leverandører, der har eksisterende kontrolelementer til beskyttelse af privatlivets fred på plads.
- Identificer områder af organisationens IKT-infrastruktur, som leverandører vil kunne få adgang til eller se.
- Definer, hvordan leverandørernes egen infrastruktur kan påvirke beskyttelsen af privatlivets fred.
- Identificer og administrer de privatlivsrisici, der er forbundet med:
- Brug af fortrolige oplysninger.
- Brug af beskyttede aktiver.
- Defekt hardware eller funktionsfejl software.
- Overvåg overholdelse af fortrolighedsinformationssikkerhed på et emnespecifikt grundlag eller leverandørtype.
- Begræns enhver forstyrrelse forårsaget som følge af manglende overholdelse.
- Arbejd med en hændelseshåndteringsprocedure.
- Implementer en grundig uddannelsesplan, der informerer personalet om, hvordan de skal interagere med leverandører.
- Vær meget omhyggelig med at overføre privatlivsoplysninger og fysiske og virtuelle aktiver mellem organisationen og leverandørerne.
- Sørg for, at leverandørforhold afsluttes med privatlivsinformationssikkerhed i tankerne.
Organisationer bør bruge ovenstående vejledning, når de danner nye relationer med leverandører, og overveje manglende overholdelse fra sag til sag.
ISO anerkender, at kommercielle forhold varierer voldsomt fra sektor til sektor og virksomhed til virksomhed, og giver organisationer spillerum ved at anbefale udforskningen af "kompenserende kontroller", der søger at opnå de samme underliggende principper for beskyttelse af privatlivets fred.
ISO 27701 klausul 6.12.1.2 – Håndtering af sikkerhed inden for leverandøraftaler
Referencer ISO 27002 Kontrol 5.20
Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.
I den forbindelse bør organisationer:
- Tilbyd en klar beskrivelse, der beskriver de privatlivsoplysninger, der skal tilgås, og hvordan disse oplysninger skal tilgås.
- Klassificer de privatlivsoplysninger, der skal tilgås, i overensstemmelse med et accepteret klassifikationssystem (se ISO 27002 kontrol 5.10, 5.12 og 5.13).
- Tag tilstrækkeligt hensyn til leverandørens eget klassifikationssystem.
- Kategoriser rettigheder i fire hovedområder – juridiske, lovpligtige, regulatoriske og kontraktmæssige – med en detaljeret beskrivelse af forpligtelser pr. område.
- Sørg for, at hver part er forpligtet til at indføre en række kontroller, der overvåger, vurderer og administrerer risikoniveauer for beskyttelse af privatlivets fred.
- Skitsér behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se ISO 27002 Kontrol 5.20).
- Fremme en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af privatlivsoplysninger og fysiske og virtuelle aktiver fra begge parter.
- Indfør autorisationskontroller, der kræves for, at personale på leverandørsiden kan få adgang til eller se en organisations privatlivsoplysninger.
- Overvej, hvad der sker i tilfælde af kontraktbrud eller manglende overholdelse af individuelle bestemmelser.
- Skitser en Incident Management-procedure, herunder hvordan større begivenheder kommunikeres.
- Sørg for, at personalet får undervisning i sikkerhedsbevidsthed.
- (Hvis leverandøren har tilladelse til at bruge underleverandører) tilføjer krav for at sikre, at underleverandører er tilpasset det samme sæt standarder for privatlivsinformationssikkerhed som leverandøren.
- Overvej, hvordan leverandørpersonale screenes, før de interagerer med privatlivsoplysninger.
- Fastlæg behovet for tredjepartsattester, der adresserer leverandørens evne til at opfylde organisatoriske krav til beskyttelse af privatlivets fred.
- Har den kontraktlige ret til at revidere en leverandørs procedurer.
- Kræv, at leverandører leverer rapporter, der beskriver effektiviteten af deres egne processer og procedurer.
- Fokuser på at tage skridt til at påvirke rettidig og grundig løsning af eventuelle defekter eller konflikter.
- Sikre, at leverandører opererer med en passende BUDR-politik for at beskytte integriteten og tilgængeligheden af PII og privatlivsrelaterede aktiver.
- Kræv en ændringsstyringspolitik på leverandørsiden, der informerer organisationen om alle ændringer, der har potentiale til at påvirke beskyttelsen af privatlivets fred.
- Implementer fysiske sikkerhedskontroller, der er proportionale med følsomheden af de data, der lagres og behandles.
- (Hvor data skal overføres) bede leverandører om at sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption.
- Skitser en liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse.
- Bed leverandøren om at skitsere, hvordan de har til hensigt at ødelægge privatlivsoplysninger efter opsigelse, eller at dataene ikke længere er nødvendige.
- Tag skridt til at sikre minimal forretningsafbrydelse i en overdragelsesperiode.
Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.
Gældende GDPR-artikler
- Artikel 5, stk. 1, litra f)
- Artikel 28 (1)
- Artikel 28, stk. 3, litra a), (3)(b), (3)(c), (3)(d),(3)(e),(3)(f),(3)(g) , (3)(h)
- Artikel 30, stk. 2, litra d)
- Artikel 32, stk. 1, litra b)
Relevante ISO 27002 kontroller
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.20
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.12.1.3 – Informations- og kommunikationsteknologiens forsyningskæde
Referencer ISO 27002 Kontrol 5.21
Når organisationer udliciterer elementer af deres forsyningskæde for at beskytte PII og privatlivsrelaterede aktiver, bør organisationer:
- Udarbejd et klart sæt af sikkerhedsstandarder for privatlivsinformation, som leverandører og entreprenører er fuldt fortrolige med.
- Bed leverandører om at give oplysninger om eventuelle softwarekomponenter, der bruges til at levere en service.
- Identificer sikkerhedsfunktionerne for ethvert produkt eller en tjeneste, der leveres, og fastlæg, hvordan de nævnte produkter og tjenester skal betjenes på en måde, der ikke kompromitterer privatlivsinformationssikkerheden.
- Udkast til procedurer, der sikrer, at produkter eller tjenester falder inden for accepterede industristandarder.
- Overhold en proces, der identificerer og registrerer elementer af et produkt eller en tjeneste, der er afgørende for at opretholde kernefunktionalitet.
- Bed leverandørerne om at give forsikringer om, at visse komponenter har en vedhæftet revisionslog, der beviser bevægelse gennem hele forsyningskæden.
- Søg sikkerhed for, at produkter og tjenester ikke indeholder funktioner, der kan udgøre en sikkerhedsrisiko.
- Sørg for, at leverandører overvejer foranstaltninger mod manipulation gennem hele udviklingens livscyklus.
- Søg forsikringer om, at alle leverede produkter eller tjenester er i overensstemmelse med branchestandardens krav til beskyttelse af privatlivsoplysninger.
- Tag skridt til at sikre, at leverandører er opmærksomme på deres forpligtelser, når de deler privatlivsoplysninger i hele forsyningskæden.
- Udkast til procedurer, der styrer risici, når der arbejdes med utilgængelige, ikke-understøttede eller ældre komponenter.
Det er vigtigt at bemærke, at kvalitetskontrol ikke nødvendigvis omfatter granulær inspektion af leverandørens egne procedurer.
Organisationer bør implementere leverandørspecifikke kontroller, der bekræfter tredjepartsorganisationer som en velrenommeret kilde inden for håndtering af privatlivsoplysninger.
ISO 27701 klausul 6.12.2.1 – Overvågning og gennemgang af leverandørtjenester
Referencer ISO 27002 Kontrol 5.22
Organisationer skal hele tiden være opmærksomme på, hvordan leverandørtjenesterne leveres – og til hvilke niveauer – for at opretholde en sikker og sikker håndtering af privatlivsoplysninger.
For at opnå dette bør organisationer:
- Overvåg serviceniveauer i overensstemmelse med offentliggjorte SLA'er.
- Løs eventuelle servicemangler eller begivenheder så hurtigt som muligt, især dem, der påvirker PII eller privatlivsrelaterede aktiver.
- Overvåg eventuelle ændringer foretaget af leverandøren i deres egen drift, som har potentiale til at påvirke beskyttelsen af privatlivets fred, herunder eventuelle servicespecifikke ændringer.
- Bed om at blive forsynet med regelmæssige servicerapporter og planlagte revisionsmøder.
- Undersøg outsourcing partnere og underleverandører, og forfølge eventuelle områder til bekymring.
- Arbejd inden for aftalte Incident Management-standarder og -praksis.
- Hold en fortegnelse over hændelser vedrørende beskyttelse af personlige oplysninger, driftsproblemer og fejl.
- Fremhæv enhver informationssikkerhedssårbarhed og afhjælp dem i videst muligt omfang.
- Vær opmærksom på leverandørernes forhold til deres egne leverandører og underleverandører, og hvordan dette påvirker beskyttelsen af privatlivets fred inden for selve organisationens grænser.
- Identificer personale på leverandørsiden, der er ansvarlige for at opretholde vilkårene i servicekontrakten.
- Udfør revisioner, der bekræfter en leverandørs evne til at opretholde tilstrækkelige standarder for privatlivsoplysninger.
Relevante ISO 27002 kontroller
- ISO 27002 5.29
- ISO 27002 5.30
- ISO 27002 5.35
- ISO 27002 5.36
- ISO 27002 8.14
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.12.2.2 – Håndtering af ændringer til leverandørtjenester
Referencer ISO 27002 Kontrol 5.22
Se ISO 27701 klausul 6.12.2.1
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.12.1.1 | Informationssikkerhedspolitik for leverandørforhold |
5.19 – Informationssikkerhed i leverandørforhold for ISO 27002 |
Ingen |
| 6.12.1.2 | Håndtering af sikkerhed inden for leverandøraftaler |
5.20 – Håndtering af informationssikkerhed inden for leverandøraftaler for ISO 27002 |
Artikler (5), (28), (30), (32) |
| 6.12.1.3 | Informations- og kommunikationsteknologi Supply Chain |
5.21 – Håndtering af informationssikkerhed i IKT-forsyningskæden for ISO 27002 |
Ingen |
| 6.12.2.1 | Overvågning og gennemgang af leverandørydelser |
5.22 – Overvågning, gennemgang og ændringsstyring af leverandørtjenester for ISO 27002 |
Ingen |
| 6.12.2.2 | Håndtering af ændringer i leverandørservices |
5.22 – Overvågning, gennemgang og ændringsstyring af leverandørtjenester for ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Det kan være svært at vide, hvor man skal starte med ISO 27701, især hvis man aldrig har skullet gøre noget lignende før. Det er her ISMS.online kommer ind!
Vores ISO 27701-løsninger giver rammer, der giver din organisation mulighed for at demonstrere overholdelse af ISO 27701.
Vores informationssikkerhedseksperter kan arbejde sammen med dig for at sikre, at du udvikler en logisk implementeringsproces, der stemmer overens med onlinedokumentationsrammerne.
Få mere at vide ved booking af en praktisk demo.
