ISO 27002:2022, Beheer 5.20 – Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste

Algemene riglyne oor beheer 5.20

Beheer 5.20 bevat 25 riglyne wat ISO noem "oorweeg kan word" (dws nie noodwendig almal nie) om aan 'n organisasie se inligtingsekuriteitvereistes te voldoen.

Ongeag watter maatreëls aangeneem word, stel Beheer 5.20 uitdruklik dat beide partye die proses moet verlaat met 'n "duidelike begrip" van hul inligtingsekuriteitsverpligtinge teenoor mekaar.

1. 'n Duidelike beskrywing moet verskaf word met besonderhede oor die inligting wat op enige manier verkry moet word, en hoe toegang tot daardie inligting verkry gaan word.
2. Die organisasie moet die inligting waartoe toegang verkry moet word klassifiseer in ooreenstemming met sy gepubliseerde klassifikasieskema (sien Beheer 5.10, Beheer 5.12 en Beheer 5.13).
3. Voldoende oorweging moet gegee word aan die verskaffer-kant klassifikasieskema, en hoe dit verband hou met die organisasie se klassifikasie van inligting.
4. Beide partye se regte moet in vier hoofareas gekategoriseer word – wetlik, statutêr, regulatories en kontraktueel. Binne hierdie vier gebiede moet verskeie verpligtinge duidelik uiteengesit word, soos standaard in kommersiële ooreenkomste, insluitend toegang tot PII, intellektuele eiendomsregte en kopieregbepalings. Die ooreenkoms moet ook dek hoe elkeen van hierdie sleutelareas om die beurt aangespreek sal word.
5. Elke party moet verplig word om 'n reeks gelyktydige kontroles in te stel wat moniteer, assesseer en bestuur inligtingsekuriteitsrisiko vlakke (soos toegangsbeheerbeleide, kontraktuele hersiening, stelselmonitering, verslagdoening en periodieke ouditering). Daarbenewens moet die ooreenkoms die behoefte aan verskafferspersoneel duidelik uiteensit om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien Beheer 5.20).
6. Daar moet 'n duidelike begrip wees van wat beide aanvaarbare en onaanvaarbare gebruik van inligting, en fisiese en virtuele bates van enige party uitmaak.
7. Prosedures moet in plek gestel word wat handel oor die vlakke van magtiging wat vereis word vir personeel aan verskafferkant om toegang tot 'n organisasie se inligting te verkry of dit te bekyk (bv. gemagtigde gebruikerslyste, oudits aan verskafferkant, bedienertoegangskontroles).
8. Inligtingsekerheid moet saam met die verskaffer se eie IKT-infrastruktuur oorweeg word, en hoe dit verband hou met die tipe inligting waartoe die organisasie toegang verleen het, die risikokriteria en die organisasie se basiese stel besigheidsvereistes.
9. Oorweging moet gegee word aan watter aksies die organisasie in staat is om te volg in die geval van 'n kontrakbreuk aan die kant van die verskaffer, of versuim om aan individuele bepalings te voldoen.
10. Die ooreenkoms moet 'n onderlinge duidelik uiteensit Voorvalbestuursprosedure wat duidelik stipuleer wat moet gebeur wanneer probleme opduik, veral oor hoe die voorval tussen beide partye gekommunikeer word.
11. Personeel van beide partye moet gegee word voldoende bewusmakingsopleiding (waar standaard opleiding nie voldoende is nie) oor sleutelareas van die ooreenkoms, spesifiek rakende sleutelrisikoareas soos Voorvalbestuur en die verskaffing van toegang tot inligting.
12. Voldoende aandag moet aan die gebruik van subkontrakteurs gegee word. Indien die verskaffer toegelaat word om subkontrakteurs te gebruik, moet die organisasies stappe doen om te verseker dat enige sodanige individue of maatskappye in lyn is met dieselfde stel inligtingsekuriteitsvereistes as die verskaffer.
13. Waar dit wetlik moontlik en operasioneel relevant is, moet organisasies oorweeg hoe verskafferspersoneel gekeur word voor interaksie met hul inligting, en hoe keuring aangeteken word en aan die organisasie gerapporteer word, insluitend nie-gekeurde personeel en areas vir kommer.
14. Organisasies moet die behoefte aan derdeparty-attesters stipuleer wat die verskaffer se vermoë om te voldoen aan organisatoriese inligtingsekuriteitvereistes verifieer, insluitend onafhanklike verslae en derdeparty-oudits.
15. Organisasies behoort die kontraktuele reg te hê om 'n verskaffer se prosedures met betrekking tot Beheer 5.20 te assesseer en te oudit.
16. Verskaffers behoort 'n verpligting te hê om verslae (met wisselende intervalle) te lewer wat die doeltreffendheid van hul eie prosesse en prosedures dek, en hoe hulle van plan is om enige kwessies wat in so 'n verslag geopper word, aan te spreek.
17. Die ooreenkoms moet stappe neem om die tydige en deeglike oplossing van enige gebreke of konflikte wat tydens die verhouding plaasvind, te verseker.
18. Waar relevant, moet die verskaffer werk met 'n robuuste BUDR-beleid, in lyn met die organisasie se behoeftes, wat drie hoofoorwegings dek:
    
    a) Rugsteuntipe (volledige bediener, lêer en gids, ens., inkrementeel, ens.)
    b) Rugsteunfrekwensie (daagliks, weekliks, ens.)
    c) Rugsteun ligging en bronmedia (ter plaatse, buite die perseel)
19. Dataveerkragtigheid moet bereik word deur te werk met 'n rampherstelplek wat apart is van die verskaffer se hoof-IKT-terrein, en nie aan dieselfde vlak van risiko onderhewig is nie.
20. Die verskaffer moet werk met 'n omvattende veranderingsbestuursbeleid wat vooraf kennisgewing aan die organisasie gee van enige veranderinge wat inligtingsekuriteit kan beïnvloed, en die organisasie die vermoë bied om sulke veranderinge te verwerp.
21. Fisiese sekuriteitskontroles (gebou toegang, besoekers toegang, kamer toegang, lessenaar sekuriteit) moet verorden word wat relevant is vir die soort inligting wat hulle toegelaat word om toegang te verkry.
22. Wanneer die behoefte ontstaan ​​om oor te dra inligting tussen bates, werwe, bedieners of bergingsplekke, moet die verskaffer verseker dat data en bates deur die proses beskerm word teen verlies, skade of korrupsie.
23. Die ooreenkoms moet 'n omvattende lys uiteensit van aksies wat deur enige party geneem moet word in die geval van beëindiging (sien ook Beheer 5.20), insluitend (maar nie beperk nie tot):
    
    a) Batevervreemding en/of hervestiging
    b) Inligting verwydering
    c) Terugkeer van IP
    d) Verwydering van toegangsregte
    e) Deurlopende vertroulikheidsverpligtinge
24. Verder tot punt 23, moet die verskaffer presies uiteensit hoe hy van plan is om die organisasie se inligting te vernietig/permanent uitvee sodra dit nie meer benodig word nie (dws in die geval van 'n beëindiging).
25. Indien, aan die einde van 'n kontrak, die behoefte ontstaan ​​om ondersteuning en/of dienste aan 'n ander verskaffer wat nie op die ooreenkoms gelys is, te oorhandig nie, word stappe gedoen om te verseker dat die proses geen besigheidsonderbreking tot gevolg het nie.

Ondersteunende kontroles

• 5.10
• 5.12
• 5.13
• 5.20

Aanvullende leiding

Om organisasies te help met die bestuur van verskafferverhoudings, bepaal Beheer 5.20 dat organisasies a register van ooreenkomste.

Registers moet alle ooreenkomste wat met ander organisasies gehou word, en volgens die aard van die verhouding gekategoriseer word, soos bv kontrakte, memorandums van verstandhouding en ooreenkomste vir die deel van inligting.

Veranderinge en verskille vanaf ISO 27002:2013

ISO 27002:2022-5.20 vervang 27002:2013-15.1.2 (aanspreek sekuriteit binne verskaffersooreenkomste).

ISO 27002:2022-5.20 bevat talle bykomende riglyne wat handel oor 'n wye reeks tegniese, wetlike en voldoeningsverwante onderwerpe, insluitend:

• Oorhandigingsprosedures
• Inligting vernietiging
• Beëindigingsklousules
• Fisiese sekuriteitskontroles
• Veranderings bestuur
• Rugsteun en inligting oortolligheid

In die breë gesproke plaas ISO 27002:2022-5.20 'n veel groter klem op wat aan die einde van 'n verskaffersverhouding plaasvind, en gee baie meer belang aan hoe 'n verskaffer oortolligheid en data-integriteit deur die loop van 'n ooreenkoms bereik.

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.