ISO 27001 – Bylae A.15: Verskafferverhoudings

Wat is die doel van Aanhangsel A.15.1?

Bylae A.15.1 handel oor inligtingsekuriteit in verskafferverhoudings. Die doelwit hier is beskerming van die organisasie se waardevolle bates wat toeganklik is vir of geraak word deur verskaffers.

Ons beveel ook aan dat jy ook ander sleutelverhoudings hier oorweeg, byvoorbeeld vennote as hulle nie verskaffers is nie, maar ook 'n impak op jou bates het wat dalk nie bloot deur 'n kontrak alleen gedek word nie.

A.15.1.1 Inligtingsekuriteitsbeleid vir Verskaffersverhoudings

Verskaffers word om twee hoofredes gebruik; een: jy wil hê hulle moet werk doen wat jy gekies het om nie self intern te doen nie, of; twee: jy kan nie maklik die werk so goed of so koste-effektief as die verskaffers doen nie.

Daar is baie belangrike dinge om in ag te neem in benadering tot verskafferkeuse en bestuur, maar een grootte pas nie almal nie en sommige verskaffers sal belangriker wees as ander. As sodanig behoort jou beheermaatreëls en beleide dit ook te weerspieël en 'n segmentering van die voorsieningsketting is sinvol; ons bepleit vier kategorieë verskaffers gebaseer op die waarde en risiko in die verhouding. Dit wissel van diegene wat sakekrities is tot ander verskaffers wat geen wesenlike impak op jou organisasie het nie.

Sommige verskaffers is ook kragtiger as hul kliënte (stel jou voor dat jy vir Amazon sê wat om te doen as jy hul AWS-dienste vir hosting gebruik), so dit is sinloos om kontroles en beleide in plek te hê waaraan die verskaffers nie sal voldoen nie. Daarom is vertroue op hul standaardbeleide, beheermaatreëls en ooreenkomste meer waarskynlik – wat beteken dat die verskafferkeuse en risikobestuur selfs belangriker word.

Om 'n meer vooruitstrewende benadering tot inligtingsekuriteit in die verskaffingsketting met die meer strategiese (hoë waarde / hoër risiko) verskaffers te volg, moet organisasies ook binêre 'voldoen of sterf' risiko-oordragpraktyke vermy, bv. aaklige kontrakte wat goeie samewerking verhoed. In plaas daarvan beveel ons aan dat hulle nouer werksverhoudings ontwikkel met daardie verskaffers waar waardevolle inligting en bates in gevaar is, of hulle op een of ander (positiewe) manier by jou inligtingsbates voeg. Dit sal waarskynlik tot verbeterde werksverhoudings lei en dus ook beter besigheidsresultate lewer.

'n Goeie beleid beskryf die verskaffersegmentering, -seleksie, -bestuur, -uitgang, hoe inligtingsbates rondom verskaffers beheer word om die gepaardgaande risiko's te versag, maar tog in staat te stel om die besigheidsdoelwitte en -doelwitte te bereik. Slim organisasies sal hul inligtingsekuriteitsbeleid vir verskaffers in 'n breër verhoudingsraamwerk omvou en vermy om net op sekuriteit per se te konsentreer, en ook na die ander aspekte kyk.

'n Organisasie wil dalk hê dat verskaffers toegang tot sekere hoëwaarde-inligtingsbates moet verkry en daartoe bydra (bv. sagtewarekode-ontwikkeling, rekeningkundige betaalstaatinligting). Hulle sal dus duidelike ooreenkomste moet hê van presies watter toegang hulle hulle toelaat, sodat hulle die sekuriteit rondom dit kan beheer. Dit is veral belangrik met al hoe meer inligtingsbestuur, verwerking en tegnologiedienste wat uitgekontrakteer word. Dit beteken om 'n plek te hê om te wys dat die bestuur van die verhouding plaasvind; kontrakte, kontakte, insidente, verhoudingsaktiwiteit en risikobestuur, ens. Waar die verskaffer ook intiem betrokke is by die organisasie, maar dalk nie sy eie gesertifiseerde ISMS het nie, moet verseker word dat die verskaffer se personeel opgevoed en bewus is van sekuriteit, opgelei is oor jou beleide, ens. is ook die moeite werd om nakoming rondom te demonstreer.

A.15.1.2 Aanspreek van sekuriteit binne verskaffersooreenkomste

Alle relevante inligtingsekuriteitsvereistes moet in plek wees by elke verskaffer wat toegang het tot of die organisasie se inligting (of bates wat dit verwerk) kan beïnvloed. Weereens, dit behoort nie 'n een-grootte-pas-almal te wees nie - neem 'n risiko-gebaseerde benadering rondom die verskillende tipes verskaffers betrokke en werk wat hulle doen. Om met verskaffers te werk wat reeds aan die meerderheid van jou organisasie se inligtingsekuriteitsbehoeftes voldoen vir die dienste wat hulle aan jou verskaf en 'n goeie rekord het om inligtingsekuriteitskwessies verantwoordelik aan te spreek, is 'n baie goeie idee – aangesien dit al hierdie prosesse baie makliker sal maak.

In eenvoudige terme, soek verskaffers wat reeds 'n onafhanklike ISO 27001-sertifisering of ekwivalent self behaal het. Dit is ook belangrik om te verseker dat die verskaffers op hoogte gehou word en betrokke is by enige veranderinge aan die ISMS of spesifiek betrokke is by die dele wat hul dienste raak. Jou ouditeur sal dit bewys wil sien – so, deur 'n rekord hiervan te hou in jou verskaffer-aanboordprojekte of jaarlikse oorsigte sal dit maklik wees om dit te doen.

Dinge wat by die verskaffingsomvang en ooreenkomste ingesluit moet word, sluit gewoonlik in: die werk en die omvang daarvan; inligting in gevaar en klassifikasie; wetlike en regulatoriese vereistes, bv. nakoming van GDPR en of ander toepaslike wetgewing; verslagdoening en resensies; nie-openbaarmaking; IPR; voorvalbestuur; spesifieke beleide waaraan voldoen moet word indien belangrik vir die ooreenkoms; verpligtinge op subkontrakteurs; sifting op personeel ens.

'n Goeie standaardkontrak sal hierdie punte hanteer, maar soos hierbo is dit soms dalk nie nodig nie, en kan ver bo die top wees vir die tipe verskaffing, of dit is dalk nie moontlik om 'n verskaffer te dwing om jou idee van goeie praktyk te volg nie. . Wees pragmaties en risikogesentreerd in die benadering. Hierdie beheerdoelwit sluit ook nou aan by Bylae A.13.2.4 waar vertroulikheid en nie-openbaarmakingsooreenkomste die hooffokus is.

A.15.1.3 Inligting- en Kommunikasietegnologie-voorsieningsketting

'n Goeie beheer bou op A.15.1.2 en is gefokus op die IKT-verskaffers wat dalk iets bykomend of in plaas van die standaardbenadering nodig het. ISO 27002 bepleit talle gebiede vir implementering en hoewel dit alles goed is, is 'n mate van pragmatisme ook nodig. Die organisasie behoort weer sy grootte te erken in vergelyking met sommige van die baie groot verskaffers waarmee hy soms sal werk (bv. datasentrums en gasheerdienste, banke, ens.), wat dus moontlik sy vermoë beperk om praktyke verder in die voorsieningsketting te beïnvloed. Die organisasie moet noukeurig oorweeg watter risiko's daar mag wees gebaseer op die tipe inligting- en kommunikasietegnologiedienste wat verskaf word. Byvoorbeeld, as die verskaffer 'n verskaffer van kritieke infrastruktuurdienste is, en toegang het tot sensitiewe inligting (bv. bronkode vir die vlagskipsagtewarediens), moet dit verseker dat daar groter beskerming is as wanneer die verskaffer bloot aan publiek beskikbare inligting blootgestel word (bv. 'n eenvoudige webwerf).

Wat is die doel van Aanhangsel A.15.2?

Bylae A.15.2 handel oor verskaffersdiensontwikkelingsbestuur. Die doelwit in hierdie Bylae A-beheer is om te verseker dat 'n ooreengekome vlak van inligtingsekuriteit en dienslewering gehandhaaf word in ooreenstemming met verskaffersooreenkomste.

A.15.2.1 Monitering en hersiening van verskaffersdienste
'n Goeie beheer bou op A15.1 en beskryf hoe organisasies gereeld hul verskaffersdienslewering monitor, hersien en oudit. Hersiening en monitering word die beste gedoen op grond van die inligting wat in gevaar is – aangesien 'n een-grootte benadering nie almal sal pas nie. Die organisasie moet daarna streef om sy hersiening in ooreenstemming met die voorgestelde segmentering van verskaffers uit te voer om sodoende hul hulpbronne te optimaliseer en seker te maak dat hulle pogings fokus op monitering en hersiening waar dit die meeste impak sal hê. Soos met A15.1 is daar soms ’n behoefte aan pragmatisme – jy gaan nie noodwendig ’n oudit, menseverhoudingsoorsig en toegewyde diensverbeterings by AWS kry as jy ’n baie klein organisasie is nie. U kan egter nagaan (sê) hul jaarliks ​​gepubliseerde SOC II-verslae en sekuriteitsertifisering bly geskik vir u doel.

Bewyse van monitering moet voltooi word op grond van jou mag, risiko's en waarde, sodat jou ouditeur dus in staat sal wees om te sien dat dit voltooi is, en dat enige nodige veranderinge deur 'n formele veranderingsbeheerproses bestuur is.

A.15.2.2 Bestuur van veranderinge aan verskaffersdienste

'n Goeie kontrole beskryf hoe enige veranderinge aan die verskaffing van dienste deur verskaffers, insluitend die handhawing en verbetering van bestaande inligtingsekuriteitsbeleide, -prosedures en -kontroles, bestuur word. Dit neem die kritiekheid van besigheidsinligting, die aard van die verandering, die tipe verskaffer/s wat geraak word, die betrokke stelsels en prosesse en 'n herbeoordeling van risiko's in ag. Veranderinge aan verskaffersdienste moet ook die intimiteit van die verhouding en die organisasie se vermoë om verandering in die verskaffer te beïnvloed of te beheer, in ag neem.

Hoe help ISMS.online met verskafferverhoudings?

ISMS.online het hierdie beheerdoelwit baie maklik gemaak deur bewyse te verskaf dat jou verhoudings noukeurig gekies is, goed bestuur word in die lewe, insluitend gemonitor en hersien. Ons maklik-om-te gebruik rekeninge verhoudings (bv. verskaffer) area doen presies dit. Die samewerkende projekte werkruimtes is ideaal vir belangrike verskaffers aanboord, gesamentlike inisiatiewe, offboarding ens wat die ouditeur ook met gemak kan bekyk wanneer nodig.

ISMS.online het ook hierdie beheerdoelwit vir jou organisasie makliker gemaak deur jou in staat te stel om bewyse te verskaf dat die verskaffer formeel daartoe verbind het om aan die vereistes te voldoen en sy verantwoordelikhede vir inligtingsekuriteit deur ons Beleidspakkette verstaan ​​het. Beleidspakkette is ideaal waar die organisasie spesifieke beleide en beheermaatreëls het wat hy wil hê dat verskafferspersoneel moet volg en vertroue neem dat hulle dit gelees het en daartoe verbind is om te voldoen – verder as die breër ooreenkomste tussen kliënt en verskaffer.