ISO 27001:2022 Bylae A 5.19 – Inligtingsekerheid in verskafferverhoudings

Doel van ISO 27001:2022 Bylae A 5.19

ISO 27001:2002 Bylae A Beheer 5.19 handel oor 'n organisasie se verpligting om te verseker dat, wanneer verskafferkant produkte en dienste (insluitend wolkdiensverskaffers) gebruik word, voldoende oorweging gegee word aan die vlak van risiko inherent aan die gebruik van eksterne stelsels, en die gevolglike impak wat op hul eie inligtingsekuriteitsnakoming kan hê.

'n Goeie beleid beskryf die verskaffersegmentering, seleksie, bestuur, uitgang, hoe inligtingsbates rondom verskaffers word beheer om die gepaardgaande risiko's te versag, maar tog in staat te stel om die besigheidsdoelwitte en -doelwitte te bereik. Slim organisasies sal hul inligtingsekuriteitsbeleid vir verskaffers in 'n breër verhoudingsraamwerk en vermy om net op sekuriteit per se te konsentreer, en kyk ook na die ander aspekte.

Bylae A Beheer 5.19 is 'n voorkomende beheer wat risiko wysig deur prosedures te handhaaf wat inherente sekuriteitsrisiko's aanspreek wat verband hou met die gebruik van produkte en dienste wat deur derde partye verskaf word.

Wie het eienaarskap van aanhangsel A 5.19?

Terwyl beheer ISO 27001 Bylae A 5.19 bevat baie leiding oor die gebruik van IKT-dienste, die breër omvang van die beheer sluit baie ander aspekte van 'n organisasie se verhouding met sy verskaffersbasis in, insluitend verskaffertipes, logistiek, nutsdienste, finansiële dienste en infrastruktuurkomponente).

As sodanig behoort eienaarskap van Bylae A Beheer 5.19 by 'n lid van senior bestuur te berus wat toesig hou oor 'n organisasie se kommersiële bedrywighede, en 'n direkte verhouding met 'n organisasie se verskaffers handhaaf, soos 'n Chief Operating Officer.

Algemene riglyne oor ISO 27001:2022 Bylae A 5.19

Voldoening aan Bylae A Beheer 5.19 behels die nakoming van wat bekend staan ​​as a 'onderwerpspesifieke' benadering tot inligtingsekuriteit in verskafferverhoudings.

'n Organisasie wil dalk hê dat verskaffers toegang tot sekere hoëwaarde-inligtingsbates moet verkry en daartoe bydra (bv. sagtewarekode-ontwikkeling, rekeningkundige betaalstaatinligting). Hulle sal dus duidelike ooreenkomste moet hê van presies watter toegang hulle hulle toelaat, sodat hulle die sekuriteit rondom dit kan beheer.

Dit is veral belangrik met al hoe meer inligtingsbestuur, verwerking en tegnologiedienste wat uitgekontrakteer word. Dit beteken om 'n plek te hê om te wys dat die bestuur van die verhouding plaasvind; kontrakte, kontakte, insidente, verhoudingsaktiwiteit en risiko bestuur ens. Waar die verskaffer ook intiem betrokke is by die organisasie, maar dalk nie sy eie gesertifiseerde ISMS het nie, dan is dit ook die moeite werd om te verseker dat die verskaffer se personeel opgevoed en bewus is van sekuriteit, opgelei is oor jou beleide, ens.

Onderwerpspesifieke benaderings moedig organisasies aan om verskaffer-verwante beleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene verskafferbestuursbeleid wat van toepassing is op enige en alle derdeparty-verhoudings oor 'n organisasie se kommersiële bedrywighede.

Dit is belangrik om daarop te let dat ISO 27001 Bylae A Beheer 5.19 die organisasie vra om beleide en prosedures te implementeer wat nie net die organisasie se gebruik van verskafferhulpbronne en wolkplatforms beheer nie, maar ook die basis vorm van hoe hulle van hul verskaffers verwag om hulself te gedra voor en regdeur die termyn van die kommersiële verhouding.

As sodanig kan Bylae A Beheer 5.19 beskou word as die noodsaaklike kwalifiserende dokument wat bepaal hoe inligtingsekuriteitsbestuur in die loop van 'n verskafferkontrak hanteer word.

ISO 27001 Bylae A Beheer 5.19 bevat 14 hoof riglyne waaraan voldoen moet word:

1) Handhaaf 'n akkurate rekord van tipes verskaffers (bv. finansiële dienste, IKT-hardeware, telefonie) wat die potensiaal het om inligtingsekuriteitsintegriteit te beïnvloed.

Compliance – Stel 'n lys op van enige en alle verskaffers waarmee jou organisasie werk, kategoriseer hulle volgens hul besigheidsfunksie en voeg kategorieë by genoemde verskaffertipes soos en wanneer nodig.

2) Verstaan ​​hoe om verskaffers te veearts, gebaseer op die vlak van risiko inherent aan hul tipe verskaffer.

Compliance – Verskillende tipes verskaffers sal verskillende omsigtigheidsondersoeke vereis. Oorweeg dit om keuringsmetodes op 'n verskaffer-vir-verskaffer-grondslag te gebruik (bv. bedryfsverwysings, finansiële state, ter plaatse assesserings, sektorspesifieke sertifiserings soos Microsoft Vennootskappe).

3) Identifiseer verskaffers wat voorafbestaande inligtingsekuriteitskontroles in plek het.

Compliance – Vra om afskrifte van verskaffers se relevante inligtingsekuriteitbestuursprosedures te sien om die risiko vir jou eie organisasie te evalueer. As hulle nie het nie, is dit nie 'n goeie teken nie.

4) Identifiseer en definieer die spesifieke areas van jou organisasie se IKT-infrastruktuur waartoe jou verskaffers óf toegang sal kan kry, moniteer óf self sal kan gebruik.

Compliance – Dit is belangrik om uit die staanspoor presies vas te stel hoe jou verskaffers met jou IKT-bates omgaan – hetsy fisies of virtueel – en watter vlakke van toegang hulle ingevolge hul kontraktuele verpligtinge toegestaan ​​word.

5) Definieer hoe die verskaffers se eie IKT-infrastruktuur 'n impak kan hê op jou eie data, en dié van jou kliënte.

Compliance – 'n Organisasie se eerste verpligting is aan sy eie stel inligtingsekuriteitstandaarde. Verskaffers-IKT-bates moet hersien word in ooreenstemming met hul potensiaal om optyd en integriteit regdeur jou organisasie te beïnvloed.

6) Identifiseer en bestuur die verskillende inligtingsekuriteitsrisiko's verbonde aan:

a. Verskaffergebruik van vertroulike inligting of beskermde bates (bv. beperk tot kwaadwillige gebruik en/of kriminele opset).

b. Foutiewe verskaffer hardeware of wanfunksionele sagteware platform wat verband hou met op die perseel of wolk gebaseerde dienste.

Compliance – Organisasies moet voortdurend bedag wees op die inligtingsekuriteitsrisiko’s wat met katastrofiese gebeure geassosieer word, soos onheilspellende verskaffer-kant gebruikeraktiwiteit of groot onvoorsiene sagteware-voorvalle, en die impak daarvan op organisatoriese inligtingsekuriteit.

7) Moniteer voldoening aan inligtingsekuriteit op 'n onderwerpspesifieke of verskaffertipe basis.

Compliance – Organisasie se behoefte om die inligting-sekuriteit implikasies inherent binne elke tipe verskaffer, en pas hul moniteringsaktiwiteit aan om verskillende vlakke van risiko te akkommodeer.

8) Beperk die hoeveelheid skade en/of ontwrigting wat veroorsaak word deur nie-nakoming.

Compliance – Verskafferaktiwiteit moet op 'n toepaslike wyse en in verskillende mate gemonitor word in ooreenstemming met die risikovlak daarvan. Waar nie-nakoming ontdek word, hetsy proaktief of reaktief, moet onmiddellik opgetree word.

9) Handhaaf 'n robuuste voorvalbestuur prosedure wat 'n redelike hoeveelheid gebeurlikhede aanspreek.

Compliance – Organisasies moet presies verstaan ​​hoe om te reageer wanneer hulle te staan ​​kom voor 'n wye reeks gebeurtenisse wat verband hou met die verskaffing van derdepartyprodukte en -dienste, en regstellende aksies uiteensit wat beide die verskaffer en die organisasie insluit.

10) Stel maatreëls in wat voorsiening maak vir die beskikbaarheid en verwerking van die verskaffer se inligting, waar dit ook al gebruik word, om sodoende die integriteit van die organisasie se eie inligting te verseker.

Compliance – Stappe moet geneem word om te verseker dat verskafferstelsels en data hanteer word op 'n manier wat nie die beskikbaarheid en sekuriteit van die organisasie se eie stelsels en inligting in gevaar stel nie.

11) Stel 'n deeglike opleidingsplan op wat leiding bied oor hoe personeel met verskafferspersoneel en inligting moet omgaan op 'n verskaffer-vir-verskaffer-basis, of op 'n tipe-vir-tipe basis.

Compliance – Opleiding behoort die volle spektrum van bestuur tussen 'n organisasie en sy verskaffers te dek, insluitende betrokkenheid, granulêre risikobestuurskontroles en onderwerpspesifieke prosedures.

12) Verstaan ​​en bestuur die vlak van risiko wat inherent is wanneer inligting en fisiese en virtuele bates tussen die organisasie en hul verskaffers oorgedra word.

Compliance – Organisasies moet elke stadium van die oordragproses uitbeeld en personeel opvoed oor die risiko's verbonde aan die verskuiwing van bates en inligting van een bron na 'n ander.

13) Verseker dat verskafferverhoudings beëindig word met inligtingsekuriteit in gedagte, insluitend die verwydering van toegangsregte en die vermoë om toegang tot organisatoriese inligting te verkry.

Compliance – Jou IKT-spanne moet 'n duidelike begrip hê van hoe om 'n verskaffer se toegang tot inligting te herroep, insluitend:

• Granulêre ontleding van enige geassosieerde domein en/of wolkgebaseerde rekeninge.
• Verspreiding van intellektuele eiendom.
• Die oordrag van inligting tussen verskaffers, of terug na jou organisasie.
• Rekordbestuur.
• Die terugbesorging van bates aan hul oorspronklike eienaar.
• Voldoende wegdoening van fisiese en virtuele bates, insluitend inligting.
• Nakoming van enige kontraktuele vereistes, insluitend vertroulikheidsklousules en/of eksterne ooreenkomste.

14) Skets presies hoe jy van die verskaffer verwag om hulself op te tree ten opsigte van fisiese en virtuele sekuriteitsmaatreëls.

Compliance – Organisasies moet duidelike verwagtinge stel van die begin af van enige kommersiële verhouding, wat spesifiseer hoe verskaffer-kant personeel verwag word om hulself op te tree wanneer hulle met jou personeel of enige relevante bates interaksie het.

Aanvullende leiding oor aanhangsel A 5.19

ISO erken dat dit nie altyd moontlik is om 'n volledige stel beleide op 'n verskaffer af te dwing wat aan elke vereiste van die bogenoemde lys voldoen soos ISO 27001 Bylae A Beheer 5.19 beoog nie, veral wanneer dit met rigiede openbare sektor organisasies te doen het.

Dit gesê, Bylae A Beheer 5.19 stel dit duidelik dat organisasies bogenoemde riglyne moet gebruik wanneer hulle verhoudings met verskaffers vorm, en nie-nakoming op 'n geval-tot-geval basis moet oorweeg.

Waar volle nakoming nie haalbaar is nie, gee Bylae A Beheer 5.19 organisasies ruimte deur “kompenserende beheermaatreëls” aan te beveel wat voldoende vlakke van risikobestuur bereik, gebaseer op 'n organisasie se unieke omstandighede.

Wat is die veranderinge vanaf ISO 27001:2013?

ISO 27001:2022 Bylae A 5.19 vervang ISO 27001:2013 Bylae A 15.1.1 (Inligtingsekuriteitsbeleid vir verskafferverhoudings).

ISO 27001:2022 Bylae A 5.19 voldoen breedweg aan dieselfde onderliggende konsepte wat in die 2013-kontrole vervat is, maar bevat verskeie bykomende riglyne wat óf uit ISO 27001:2013 Bylae A 5.1.1 weggelaat word, óf ten minste nie gedek word in soveel detail, insluitend:

• Die keuring van verskaffers gebaseer op hul tipe verskaffer en risikovlak.
• Die behoefte om die integriteit van verskafferinligting te verseker om hul eie data te beveilig, en besigheidskontinuïteit te verseker.
• Die verskillende stappe wat vereis word wanneer 'n verskafferverhouding beëindig word, insluitend die uitskakeling van toegangsregte, IP-verspreiding, kontraktuele ooreenkomste, ens.

ISO 27001:2022 Bylae A 5.19 is ook eksplisiet in die erkenning van die hoogs veranderlike aard van verskafferverhoudings (gebaseer op tipe, sektor en risikovlak), en gee organisasies 'n sekere mate van speling wanneer hulle die moontlikheid van nie-nakoming van enige gegewe riglyne oorweeg punt, gebaseer op die aard van die verhouding (sien 'Aanvullende leiding' hierbo).

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 vind Aanhangsel A Beheer.

Hoe help ISMS.online met verskafferverhoudings?

ISMS.online het hierdie beheerdoelwit baie maklik gemaak deur bewyse te verskaf dat jou verhoudings noukeurig gekies is, goed bestuur word in die lewe, insluitend gemonitor en hersien. Ons maklik-om-te gebruik rekeninge verhoudings (bv. verskaffer) area doen presies dit. Die samewerkende projekte werkruimtes is ideaal vir belangrike verskaffers aan boord, gesamentlike inisiatiewe, off-boarding ens wat die ouditeur ook met gemak kan bekyk wanneer nodig.

ISMS.online het ook hierdie beheerdoelwit vir jou organisasie makliker gemaak deur jou in staat te stel om bewyse te verskaf dat die verskaffer formeel daartoe verbind het om aan die vereistes te voldoen en sy verantwoordelikhede vir inligtingsekuriteit deur ons Beleidspakkette verstaan ​​het. Beleidspakkette is ideaal waar die organisasie spesifieke beleide en beheermaatreëls het wat dit wil hê dat verskafferspersoneel moet volg en vertroue neem dat hulle dit gelees het en daartoe verbind is om te voldoen – verder as die breër ooreenkomste tussen kliënt en verskaffer.

Afhangende van die aard van die verandering (dws vir meer wesenlike veranderinge) kan daar 'n breër vereiste wees om in lyn te kom met A.6.1.5 inligtingsekuriteit in projekbestuur.

Deur ISMS.online te gebruik, kan jy:

• Implementeer vinnig 'n inligtingsekuriteitbestuurstelsel (ISMS).
• Bestuur die dokumentasie van jou ISMS maklik.
• Stroomlyn voldoening aan alle relevante standaarde.
• Bestuur alle aspekte van inligtingsekuriteit, van risikobestuur tot sekuriteitsbewusmakingsopleiding.
• Kommunikeer effektief regdeur jou organisasie deur ons ingeboude kommunikasiefunksies te gebruik.

Kontak vandag nog om bespreek 'n demo.