Beheer 5.19 het te make met 'n organisasie se verpligting om te verseker dat, wanneer verskafferkant produkte en dienste gebruik word (insluitend wolkdiensverskaffers), voldoende oorweging gegee word aan die vlak van risiko inherent aan die gebruik van eksterne stelsels, en die gevolglike impak wat dit mag hê op hulle eie nakoming van inligtingsekuriteit.
5.19 is 'n voorkomende beheer Wat risiko verander deur prosedures te handhaaf wat inherente sekuriteitsrisiko's aanspreek wat verband hou met die gebruik van produkte en dienste verskaf deur derde partye.
Terwyl Beheer 5.20 handel oor inligtingsekuriteit binne verskaffersooreenkomste, is Beheer 5.19 breedweg gemoeid met nakoming deur die loop van die verhouding.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Identifiseer | #Verskaffersverhoudingsekuriteit | #Beheer en ekosisteem #Beskerming |
Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
Terwyl Beheer 5.19 baie leiding bevat oor die gebruik van IKT-dienste, sluit die breër omvang van die beheer baie ander aspekte van 'n organisasie se verhouding met sy verskaffersbasis in, insluitend verskaffertipes, logistiek, nutsdienste, finansiële dienste en infrastruktuurkomponente).
As sodanig behoort eienaarskap van Beheer 5.19 by 'n lid van senior bestuur te berus wat toesig hou oor 'n organisasie se kommersiële bedrywighede, en 'n direkte verhouding met 'n organisasie se verskaffers handhaaf, soos 'n Chief Operating Officer.
Voldoening aan Beheer 5.19 behels die nakoming van wat bekend staan as 'n 'onderwerpspesifieke' benadering tot inligtingsekuriteit in verskafferverhoudings.
Onderwerpspesifieke benaderings moedig organisasies aan om verskaffer-verwante beleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om by 'n kombers te hou verskafferbestuursbeleid wat van toepassing is op enige en alle derdeparty-verhoudings oor 'n organisasie se kommersiële bedrywighede.
Dit is belangrik om daarop te let dat Beheer 5.19 die organisasie vra om beleide en prosedures te implementeer wat nie net die organisasie se gebruik van verskafferhulpbronne en wolkplatforms beheer nie, maar ook die basis vorm van hoe hulle van hul verskaffers verwag om hulself voor en deur die termyn van die kommersiële verhouding.
As sodanig kan Beheer 5.19 beskou word as die noodsaaklike kwalifiserende dokument wat bepaal hoe inligtingsekuriteitsbestuur in die loop van 'n verskafferkontrak hanteer word.
Beheer 5.19 bevat 14 hoofriglyne waaraan voldoen moet word:
1) Handhaaf 'n akkurate rekord van tipes verskaffers (bv. finansiële dienste, IKT-hardeware, telefonie) wat die potensiaal het om die integriteit van inligtingsekuriteit te beïnvloed.
Compliance – Stel 'n lys op van enige en alle verskaffers waarmee jou organisasie werk, kategoriseer hulle volgens hul besigheidsfunksie en voeg kategorieë by genoemde verskaffertipes soos en wanneer nodig.
2) Verstaan hoe om verskaffers te veearts, gebaseer op die vlak van risiko inherent aan hul tipe verskaffer.
Compliance – Verskillende tipes verskaffers sal verskillende omsigtigheidsondersoeke vereis. Oorweeg dit om keuringsmetodes op 'n verskaffer-vir-verskaffer-grondslag te gebruik (bv. bedryfsverwysings, finansiële state, ter plaatse assesserings, sektorspesifieke sertifiserings soos Microsoft Vennootskappe).
3) Identifiseer verskaffers wat voorafbestaande inligtingsekuriteitskontroles in plek het.
Compliance – Vra om afskrifte van verskaffers se relevante inligtingsekuriteitbestuursprosedures te sien om die risiko vir jou eie organisasie te evalueer. As hulle nie het nie, is dit nie 'n goeie teken nie.
4) Identifiseer en definieer die spesifieke areas van jou organisasie se IKT-infrastruktuur waartoe jou verskaffers óf toegang sal kan kry, moniteer óf self sal kan gebruik.
Compliance – Dit is belangrik om uit die staanspoor presies vas te stel hoe jou verskaffers met jou IKT-bates omgaan – hetsy fisies of virtueel – en watter vlakke van toegang hulle ingevolge hul kontraktuele verpligtinge toegestaan word.
5) Definieer hoe die verskaffers se eie IKT-infrastruktuur 'n impak kan hê op jou eie data, en dié van jou kliënte.
Compliance – 'n Organisasie se eerste verpligting is aan sy eie stel inligtingsekuriteitstandaarde. Verskaffer-IKT-bates moet hersien word in ooreenstemming met hul potensiaal om uptyd en integriteit regdeur jou organisasie beïnvloed.
6) Identifiseer en bestuur die verskillende inligtingsekuriteitsrisiko's verbonde aan:
a. Verskaffergebruik van vertroulike inligting of beskermde bates (bv. beperk tot kwaadwillige gebruik en/of kriminele opset).
b. Foutiewe verskaffer hardeware of wanfunksionele sagteware platform wat verband hou met op die perseel of wolk gebaseerde dienste.
Compliance – Organisasies moet voortdurend bedag wees op die inligtingsekuriteitsrisiko’s wat met katastrofiese gebeure geassosieer word, soos onheilspellende verskaffer-kant gebruikeraktiwiteit of groot onvoorsiene sagteware-voorvalle, en die impak daarvan op organisatoriese inligtingsekuriteit.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
7) Monitor inligtingsekuriteitnakoming op 'n onderwerpspesifieke of verskaffertipe basis.
Compliance – Organisasie se behoefte om die inligtingsekuriteitsimplikasies inherent binne elke tipe verskaffer te waardeer, en hul moniteringsaktiwiteit aan te pas om verskillende vlakke van risiko te akkommodeer.
8) Beperk die hoeveelheid skade en/of ontwrigting wat veroorsaak word deur nie-nakoming.
Compliance – Verskafferaktiwiteit moet op 'n toepaslike wyse en in verskillende mate gemonitor word in ooreenstemming met die risikovlak daarvan. Waar nie-nakoming ontdek word, hetsy proaktief of reaktief, moet onmiddellik opgetree word.
9) Handhaaf a robuuste voorvalbestuursprosedure wat 'n redelike hoeveelheid gebeurlikhede aanspreek.
Compliance – Organisasies moet presies verstaan hoe om te reageer wanneer hulle te staan kom voor 'n wye reeks gebeurtenisse wat verband hou met die verskaffing van derdepartyprodukte en -dienste, en regstellende aksies uiteensit wat beide die verskaffer en die organisasie insluit.
10) Stel maatreëls in wat voorsiening maak vir die beskikbaarheid en verwerking van die verskaffer se inligting, waar dit ook al gebruik word, om sodoende die integriteit van die organisasie se eie inligting te verseker.
Compliance – Stappe moet geneem word om te verseker dat verskafferstelsels en data hanteer word op 'n manier wat nie die beskikbaarheid en sekuriteit van die organisasie se eie stelsels en inligting in gevaar stel nie.
11) Stel 'n deeglike opleidingsplan op wat leiding bied oor hoe personeel met verskafferspersoneel en inligting moet omgaan op 'n verskaffer-vir-verskaffer-basis, of op 'n tipe-vir-tipe basis.
Compliance – Opleiding moet die volle spektrum van bestuur tussen 'n organisasie en sy verskaffers dek, insluitend betrokkenheid, korrelig risikobestuurkontroles en onderwerpspesifieke prosedures.
12) Verstaan en bestuur die vlak van risiko wat inherent is wanneer inligting en fisiese en virtuele bates tussen die organisasie en hul verskaffers oorgedra word.
Compliance – Organisasies moet elke stadium van die oordragproses uitbeeld en personeel opvoed oor die risiko's verbonde aan die verskuiwing van bates en inligting van een bron na 'n ander.
13) Verseker dat verskafferverhoudings beëindig word met inligtingsekuriteit in gedagte, insluitend die verwydering van toegangsregte en die vermoë om toegang tot organisatoriese inligting te verkry.
Compliance – Jou IKT-spanne moet 'n duidelike begrip hê van hoe om 'n verskaffer se toegang tot inligting te herroep, insluitend:
14) Gee 'n uiteensetting van presies hoe jy van die verskaffer verwag om hulself te gedra met betrekking tot fisiese en virtuele sekuriteitsmaatreëls.
Compliance – Organisasies moet duidelike verwagtinge stel van die begin af van enige kommersiële verhouding, wat spesifiseer hoe verskaffer-kant personeel verwag word om hulself op te tree wanneer hulle met jou personeel of enige relevante bates interaksie het.
ISO erken dat dit nie altyd moontlik is om 'n volledige stel beleide op 'n verskaffer af te dwing wat aan elke vereiste van die bogenoemde lys voldoen soos Beheer 5.19 beoog nie, veral wanneer dit met rigiede openbare sektor-organisasies te doen het.
Dit gesê, Beheer 5.19 stel dit duidelik dat organisasies bogenoemde riglyne moet gebruik wanneer hulle verhoudings met verskaffers vorm, en nie-nakoming op 'n geval-tot-geval basis moet oorweeg.
Waar volle nakoming nie haalbaar is nie, gee Beheer 5.19 organisasies ruimte deur “kompenserende beheermaatreëls” aan te beveel wat voldoende vlakke van risikobestuur bereik, gebaseer op 'n organisasie se unieke omstandighede.
27002:2022-5.19 vervang 27002:2013-5.1.1 (Inligtingsekerheidsbeleid vir verskafferverhoudings).
27002:2022-5.19 voldoen breedweg aan dieselfde onderliggende konsepte wat in die 2013-kontrole vervat is, maar bevat wel verskeie bykomende leidingsareas wat óf uit 27002:2013-5.1.1 weggelaat word, óf ten minste nie in soveel detail gedek word nie, insluitend:
27002:2022-5.19 is ook eksplisiet in die erkenning van die hoogs veranderlike aard van verskafferverhoudings (gebaseer op tipe, sektor en risikovlak), en gee organisasies 'n sekere mate van speling wanneer hulle die moontlikheid van nie-nakoming van enige gegewe riglynpunt oorweeg, gebaseer op die aard van die verhouding (sien 'Aanvullende leiding' hierbo).
Die gebruik van ISMS.aanlyn kan jy:
Dit is 'n eenvoudige saak om 'n gratis proefrekening te skep en die stappe te volg wat ons verskaf.
Kontak vandag nog om bespreek 'n demo.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
