Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste

Doel van beheer 5.20

Beheer 5.20 reguleer hoe 'n organisasie 'n kontraktuele vorm verhouding met 'n verskaffer, gebaseer op hul sekuriteitsvereistes en die tipe verskaffers waarmee hulle te doen het.

5.20 is 'n voorkomende beheer Wat risiko handhaaf deur wedersyds aanvaarbare verpligtinge daar te stel tussen organisasies en hul verskaffers wat te doen het met inligtingsekuriteit.

Terwyl Beheer 5.19 met inligtingsekuriteit regeer regdeur die verhouding, Beheer 5.20 is besig met hoe organisasies bindende ooreenkomste vorm uit die Begin van 'n verhouding.

Eienskappe van beheer 5.20

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Identifiseer	#Verskaffersverhoudingsekuriteit	#Beheer en ekosisteem
	#Integriteit			#Beskerming
	#Beskikbaarheid

Eienaarskap van beheer 5.20

Eienaarskap van Beheer 5.20 behoort afhanklik te wees van of die organisasie hul eie regsafdeling bedryf of nie, en die onderliggende aard van enige getekende ooreenkoms.

Indien die organisasie die regsbevoegdheid het om hul eie kontraktuele ooreenkomste op te stel, te wysig en te stoor sonder derdeparty-betrokkenheid, behoort eienaarskap van 5.20 te berus by die persoon wat uiteindelike verantwoordelikheid dra vir wetlik bindende ooreenkomste binne die organisasie (kontrakte, memorandums van verstandhouding, SLA's, ens. .)

Indien die organisasie sulke ooreenkomste uitkontrakteer, behoort eienaarskap van Beheer 5.20 by 'n lid van senior bestuur te berus wat toesig hou oor 'n organisasie se kommersiële bedrywighede, en handhaaf 'n direkte verhouding met 'n organisasie se verskaffers, soos a Chief Operating Officer.

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Algemene riglyne oor beheer 5.20

Beheer 5.20 bevat 25 riglyne wat ISO noem "oorweeg kan word" (dws nie noodwendig almal nie) om aan 'n organisasie se inligtingsekuriteitvereistes te voldoen.

Ongeag watter maatreëls aangeneem word, stel Beheer 5.20 uitdruklik dat beide partye die proses moet verlaat met 'n "duidelike begrip" van hul inligtingsekuriteitsverpligtinge teenoor mekaar.

'n Duidelike beskrywing moet verskaf word met besonderhede oor die inligting wat op enige manier verkry moet word, en hoe toegang tot daardie inligting verkry gaan word.
Die organisasie moet die inligting waartoe toegang verkry moet word klassifiseer in ooreenstemming met sy gepubliseerde klassifikasieskema (sien Beheer 5.10, Beheer 5.12 en Beheer 5.13).
Voldoende oorweging moet gegee word aan die verskaffer-kant klassifikasieskema, en hoe dit verband hou met die organisasie se klassifikasie van inligting.
Beide partye se regte moet in vier hoofareas gekategoriseer word – wetlik, statutêr, regulatories en kontraktueel. Binne hierdie vier gebiede moet verskeie verpligtinge duidelik uiteengesit word, soos standaard in kommersiële ooreenkomste, insluitend toegang tot PII, intellektuele eiendomsregte en kopieregbepalings. Die ooreenkoms moet ook dek hoe elkeen van hierdie sleutelareas om die beurt aangespreek sal word.
Elke party moet verplig word om 'n reeks gelyktydige kontroles in te stel wat moniteer, assesseer en bestuur inligtingsekuriteitsrisiko vlakke (soos toegangsbeheerbeleide, kontraktuele hersiening, stelselmonitering, verslagdoening en periodieke ouditering). Daarbenewens moet die ooreenkoms die behoefte aan verskafferspersoneel duidelik uiteensit om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien Beheer 5.20).
Daar moet 'n duidelike begrip wees van wat beide aanvaarbare en onaanvaarbare gebruik van inligting, en fisiese en virtuele bates van enige party uitmaak.
Prosedures moet in plek gestel word wat handel oor die vlakke van magtiging wat vereis word vir personeel aan verskafferkant om toegang tot 'n organisasie se inligting te verkry of dit te bekyk (bv. gemagtigde gebruikerslyste, oudits aan verskafferkant, bedienertoegangskontroles).
Inligtingsekerheid moet saam met die verskaffer se eie IKT-infrastruktuur oorweeg word, en hoe dit verband hou met die tipe inligting waartoe die organisasie toegang verleen het, die risikokriteria en die organisasie se basiese stel besigheidsvereistes.
Oorweging moet gegee word aan watter aksies die organisasie in staat is om te volg in die geval van 'n kontrakbreuk aan die kant van die verskaffer, of versuim om aan individuele bepalings te voldoen.
Die ooreenkoms moet 'n onderlinge duidelik uiteensit Voorvalbestuursprosedure wat duidelik stipuleer wat moet gebeur wanneer probleme opduik, veral oor hoe die voorval tussen beide partye gekommunikeer word.
Personeel van beide partye moet gegee word voldoende bewusmakingsopleiding (waar standaard opleiding nie voldoende is nie) oor sleutelareas van die ooreenkoms, spesifiek rakende sleutelrisikoareas soos Voorvalbestuur en die verskaffing van toegang tot inligting.
Voldoende aandag moet aan die gebruik van subkontrakteurs gegee word. Indien die verskaffer toegelaat word om subkontrakteurs te gebruik, moet die organisasies stappe doen om te verseker dat enige sodanige individue of maatskappye in lyn is met dieselfde stel inligtingsekuriteitsvereistes as die verskaffer.
Waar dit wetlik moontlik en operasioneel relevant is, moet organisasies oorweeg hoe verskafferspersoneel gekeur word voor interaksie met hul inligting, en hoe keuring aangeteken word en aan die organisasie gerapporteer word, insluitend nie-gekeurde personeel en areas vir kommer.
Organisasies moet die behoefte aan derdeparty-attesters stipuleer wat die verskaffer se vermoë om te voldoen aan organisatoriese inligtingsekuriteitvereistes verifieer, insluitend onafhanklike verslae en derdeparty-oudits.
Organisasies behoort die kontraktuele reg te hê om 'n verskaffer se prosedures met betrekking tot Beheer 5.20 te assesseer en te oudit.
Verskaffers behoort 'n verpligting te hê om verslae (met wisselende intervalle) te lewer wat die doeltreffendheid van hul eie prosesse en prosedures dek, en hoe hulle van plan is om enige kwessies wat in so 'n verslag geopper word, aan te spreek.
Die ooreenkoms moet stappe neem om die tydige en deeglike oplossing van enige gebreke of konflikte wat tydens die verhouding plaasvind, te verseker.
Waar relevant, moet die verskaffer werk met 'n robuuste BUDR-beleid, in lyn met die organisasie se behoeftes, wat drie hoofoorwegings dek:
a) Rugsteuntipe (volledige bediener, lêer en gids, ens., inkrementeel, ens.)
b) Rugsteunfrekwensie (daagliks, weekliks, ens.)
c) Rugsteun ligging en bronmedia (ter plaatse, buite die perseel)

Dataveerkragtigheid moet bereik word deur te werk met 'n rampherstelplek wat apart is van die verskaffer se hoof-IKT-terrein, en nie aan dieselfde vlak van risiko onderhewig is nie.
Die verskaffer moet werk met 'n omvattende veranderingsbestuursbeleid wat vooraf kennisgewing aan die organisasie gee van enige veranderinge wat inligtingsekuriteit kan beïnvloed, en die organisasie die vermoë bied om sulke veranderinge te verwerp.
Fisiese sekuriteitskontroles (gebou toegang, besoekers toegang, kamer toegang, lessenaar sekuriteit) moet verorden word wat relevant is vir die soort inligting wat hulle toegelaat word om toegang te verkry.
Wanneer die behoefte ontstaan om oor te dra inligting tussen bates, werwe, bedieners of bergingsplekke, moet die verskaffer verseker dat data en bates deur die proses beskerm word teen verlies, skade of korrupsie.
Die ooreenkoms moet 'n omvattende lys uiteensit van aksies wat deur enige party geneem moet word in die geval van beëindiging (sien ook Beheer 5.20), insluitend (maar nie beperk nie tot):
a) Batevervreemding en/of hervestiging
b) Inligting verwydering
c) Terugkeer van IP
d) Verwydering van toegangsregte
e) Deurlopende vertroulikheidsverpligtinge

Verder tot punt 23, moet die verskaffer presies uiteensit hoe hy van plan is om die organisasie se inligting te vernietig/permanent uitvee sodra dit nie meer benodig word nie (dws in die geval van 'n beëindiging).
Indien, aan die einde van 'n kontrak, die behoefte ontstaan om ondersteuning en/of dienste aan 'n ander verskaffer wat nie op die ooreenkoms gelys is, te oorhandig nie, word stappe gedoen om te verseker dat die proses geen besigheidsonderbreking tot gevolg het nie.

Ondersteunende kontroles

5.10
5.12
5.13
5.20

Aanvullende leiding

Om organisasies te help met die bestuur van verskafferverhoudings, bepaal Beheer 5.20 dat organisasies a register van ooreenkomste.

Registers moet alle ooreenkomste wat met ander organisasies gehou word, en volgens die aard van die verhouding gekategoriseer word, soos bv kontrakte, memorandums van verstandhouding en ooreenkomste vir die deel van inligting.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

ISO 27002:2022-5.20 vervang 27002:2013-15.1.2 (aanspreek sekuriteit binne verskaffersooreenkomste).

ISO 27002:2022-5.20 bevat talle bykomende riglyne wat handel oor 'n wye reeks tegniese, wetlike en voldoeningsverwante onderwerpe, insluitend:

Oorhandigingsprosedures
Inligting vernietiging
Beëindigingsklousules
Fisiese sekuriteitskontroles
Veranderings bestuur
Rugsteun en inligting oortolligheid

In die breë gesproke plaas ISO 27002:2022-5.20 'n veel groter klem op wat aan die einde van 'n verskaffersverhouding plaasvind, en gee baie meer belang aan hoe 'n verskaffer oortolligheid en data-integriteit deur die loop van 'n ooreenkoms bereik.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld