ISO 27701 – Klousule 6.12 – Verskafferverhoudings

ISO 27701 Klousule 6.12 beklemtoon die bestuur van verskafferverhoudings om die sekuriteit van Persoonlik Identifiseerbare Inligting (PII) te verseker deur duidelike ooreenkomste, gereelde monitering en die handhawing van sekuriteit regdeur die voorsieningsketting.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 25 Februarie 2025
LinkedIn Twitter Twitter

ISO 27701 Klousule 6.12: Verskafferbestuur noodsaaklikhede

Die vorming en instandhouding van produktiewe verskaffersverhoudings vorm 'n groot deel van die meeste moderne data-gebaseerde besighede – hetsy deur die verskaffing van toerusting, ondersteuningsdienste of subkontraktering.

Vanaf die begin van die verhouding, en gedurende die duur van die dienskontrak, moet beide partye voortdurend bewus wees van hul verpligtinge teenoor privaatheidinligtingsekuriteit, en standaarde moet in lyn gebring word om PII te beskerm en die integriteit van sensitiewe inligting te waarborg.

Wat word gedek in ISO 27701 Klousule 6.12

ISO 27701 Klousule 6.12 bestaan ​​uit twee samestellende dele:

  • ISO 27701 6.12.1 – Inligtingsekerheid in verskafferverhoudings
  • ISO 27701 6.12.2 – Verskafferdiensleweringsbestuur

Oor hierdie twee afdelings is daar 5 subklousules wat leiding bevat van ISO 27002, toegepas binne die konteks van privaatheidsinligtingbestuur en sekuriteit:

  • ISO 27701 6.12.1.1 – Inligtingsekuriteitsbeleid vir verskafferverhoudings (ISO 27002 Beheer 5.19)
  • ISO 27701 6.12.1.2 – Aanspreek van sekuriteit binne verskaffersooreenkomste (ISO 27002 Beheer 5.20)
  • ISO 27701 6.12.1.3 – Inligting- en kommunikasietegnologie-voorsieningsketting (ISO 27002 Beheer 5.21)
  • ISO 27701 6.12.2.1 – Monitering en hersiening van verskaffersdienste (ISO 27002 Beheer 5.22)
  • ISO 27701 6.12.2.2 – Bestuur van veranderinge aan verskaffersdienste (ISO 27002 Beheer 5.22)

Slegs een artikel bevat leiding wat van toepassing is op die Verenigde Koninkryk BBP wetgewing – (ISO 27701 6.12.1.2). Die artikelnommers is vir u gerief verskaf.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.



Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.12.1.1 – Beskerming van toetsdata

Verwysings ISO 27002 Beheer 5.19

Organisasies moet beleide en prosedures implementeer wat nie net die organisasie se gebruik van verskafferhulpbronne en wolkplatforms beheer nie, maar ook die basis vorm van hoe hulle van hul verskaffers verwag om hulself voor en deur die termyn van die kommersiële verhouding te gedra, veral met betrekking tot PII en privaatheidverwante bates.

ISO 27701 6.12.1.1 kan beskou word as die noodsaaklike kwalifiserende dokument wat bepaal hoe privaatheidsinligtingbestuur in die loop van 'n verskafferkontrak hanteer word.

Organisasies moet:

  • Handhaaf 'n rekord van tipes verskaffers wat die potensiaal het om privaatheidinligtingsekuriteit te beïnvloed.
  • Verstaan ​​hoe om verskaffers te veearts, gebaseer op verskillende risikovlakke.
  • Identifiseer verskaffers wat voorafbestaande privaatheidsinligtingsekuriteitskontroles in plek het.
  • Identifiseer areas van die organisasie se IKT-infrastruktuur waartoe verskaffers toegang sal kan verkry of bekyk.
  • Definieer hoe die verskaffers se eie infrastruktuur op privaatheidsbeskerming kan impakteer.
  • Identifiseer en bestuur die privaatheidsrisiko's verbonde aan:
    • Gebruik van vertroulike inligting.
    • Gebruik van beskermde bates.
    • Foutiewe hardeware of wanfunksionele sagteware.
  • Moniteer voldoening aan privaatheidinligtingsekuriteit op 'n onderwerpspesifieke of verskaffer-tipe basis.
  • Beperk die enige ontwrigting wat veroorsaak word as gevolg van nie-nakoming.
  • Werk met 'n voorvalbestuursprosedure.
  • Implementeer 'n deeglike opleidingsplan wat personeel inlig oor hoe hulle met verskaffers moet omgaan.
  • Wees baie versigtig met die oordrag van privaatheidinligting en fisiese en virtuele bates tussen die organisasie en verskaffers.
  • Verseker dat verskafferverhoudings beëindig word met privaatheidinligtingsekuriteit in gedagte.

Organisasies moet bogenoemde riglyne gebruik wanneer hulle nuwe verhoudings met verskaffers vorm, en nie-nakoming op 'n geval-tot-geval basis oorweeg.

ISO erken dat kommersiële verhoudings baie verskil van sektor-tot-sektor en besigheid tot besigheid, en gee organisasies ruimte deur die ondersoeke van "kompenserende beheermaatreëls" aan te beveel wat poog om dieselfde onderliggende privaatheidsbeskermingsbeginsels te bereik.

ISO 27701 Klousule 6.12.1.2 – Aanspreek van sekuriteit binne verskaffersooreenkomste

Verwysings ISO 27002 Beheer 5.20

Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.

Sodoende moet organisasies:

  • Bied 'n duidelike beskrywing wat die privaatheidsinligting wat toegang moet kry, en hoe toegang tot daardie inligting verkry gaan word, uiteensit.
  • Klassifiseer die privaatheidsinligting waartoe toegang verkry moet word in ooreenstemming met 'n aanvaarde klassifikasieskema (sien ISO 27002 Kontroles 5.10, 5.12 en 5.13).
  • Gee voldoende oorweging aan die verskaffer se eie klassifikasieskema.
  • Kategoriseer regte in vier hoofareas – wetlik, statutêr, regulatories en kontraktueel – met 'n gedetailleerde beskrywing van verpligtinge per gebied.
  • Verseker dat elke party verplig is om 'n reeks beheermaatreëls in te stel wat privaatheidsinligtingsekuriteitrisikovlakke monitor, assesseer en bestuur.
  • Skets die behoefte aan verskafferspersoneel om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien ISO 27002 Beheer 5.20).
  • Fasiliteer 'n duidelike begrip van wat beide aanvaarbare en onaanvaarbare gebruik van privaatheidsinligting en fisiese en virtuele bates van enige party uitmaak.
  • Stel magtigingskontroles in wat vereis word vir verskafferkantpersoneel om toegang tot 'n organisasie se privaatheidsinligting te verkry of dit te bekyk.
  • Gee oorweging aan wat gebeur in die geval van 'n kontrakbreuk, of enige versuim om aan individuele bepalings te voldoen.
  • Gee 'n uiteensetting van 'n Voorvalbestuurprosedure, insluitend hoe groot gebeurtenisse gekommunikeer word.
  • Verseker dat personeel opleiding in sekuriteitsbewustheid ontvang.
  • (As die verskaffer toegelaat word om subkontrakteurs te gebruik) voeg vereistes by om te verseker dat subkontrakteurs in lyn is met dieselfde stel privaatheidsinligtingsekuriteitstandaarde as die verskaffer.
  • Oorweeg hoe verskafferspersoneel gekeur word voor interaksie met privaatheidsinligting.
  • Bepaal die behoefte aan derdeparty-attesters wat die verskaffer se vermoë om te voldoen aan organisatoriese privaatheidinligtingsekuriteitvereistes aanspreek.
  • Het die kontraktuele reg om 'n verskaffer se prosedures te oudit.
  • Vereis dat verskaffers verslae lewer wat die doeltreffendheid van hul eie prosesse en prosedures uiteensit.
  • Fokus daarop om stappe te neem om die tydige en deeglike oplossing van enige gebreke of konflikte te beïnvloed.
  • Verseker dat verskaffers met 'n voldoende BUDR-beleid werk om die integriteit en beskikbaarheid van PII en privaatheidverwante bates te beskerm.
  • Vereis 'n verskaffer-kant veranderingsbestuurbeleid wat die organisasie inlig oor enige veranderinge wat die potensiaal het om privaatheidbeskerming te beïnvloed.
  • Implementeer fisiese sekuriteitskontroles wat eweredig is aan die sensitiwiteit van die data wat gestoor en verwerk word.
  • (Waar data oorgedra moet word) vra verskaffers om te verseker dat data en bates teen verlies, skade of korrupsie beskerm word.
  • Skets 'n lys van aksies wat deur enige party geneem moet word in die geval van beëindiging.
  • Vra die verskaffer om te verduidelik hoe hulle van voorneme is om privaatheidinligting te vernietig na beëindiging, of van die data word nie meer benodig nie.
  • Neem stappe om minimale besigheidsonderbreking tydens 'n oorhandigingstydperk te verseker.

Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.

Toepaslike GDPR-artikels

  • Artikel 5(1)(f)
  • Artikel 28 (1)
  • Artikel 28 (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), (3)(g) , (3)(h)
  • Artikel 30 (2)(d)
  • Artikel 32 (1)(b)

Relevante ISO 27002-kontroles

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.20


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.12.1.3 – Inligting- en kommunikasietegnologievoorsieningsketting

Verwysings ISO 27002 Beheer 5.21

Wanneer organisasies elemente van hul voorsieningsketting uitkontrakteer, ten einde PII en privaatheidverwante bates te beskerm, moet organisasies:

  • Stel 'n duidelike stel privaatheidsinligtingsekuriteitstandaarde op waarmee verskaffers en kontrakteurs ten volle vertroud is.
  • Vra verskaffers om inligting te verskaf oor enige sagtewarekomponente wat gebruik word om 'n diens te lewer.
  • Identifiseer die sekuriteitsfunksies van enige produk of diens wat gelewer word, en stel vas hoe genoemde produkte en dienste bedryf moet word op 'n manier wat nie privaatheidinligtingsekuriteit in gevaar stel nie.
  • Konsepprosedures wat verseker dat enige produkte of dienste binne aanvaarde industriestandaarde val.
  • Voldoen aan 'n proses wat elemente van 'n produk of diens identifiseer en aanteken wat noodsaaklik is vir die handhawing van kernfunksionaliteit.
  • Vra verskaffers om versekering te gee dat sekere komponente 'n aangehegte ouditlogboek het wat beweging deur die voorsieningsketting bewys.
  • Soek versekering dat produkte en dienste geen kenmerke bevat wat 'n sekuriteitsrisiko kan inhou nie.
  • Verseker dat verskaffers teen-peutermaatreëls regdeur die ontwikkelingslewensiklus oorweeg.
  • Soek versekering dat enige produkte of dienste wat gelewer word in ooreenstemming is met industriestandaard-privaatheidsinligtingsekuriteitvereistes.
  • Neem stappe om te verseker dat verskaffers bewus is van hul verpligtinge wanneer hulle privaatheidsinligting regdeur die verskaffingsketting deel.
  • Konsepprosedures wat risiko bestuur wanneer daar met onbeskikbare, nie-ondersteunde of verouderde komponente gewerk word.

Dit is belangrik om daarop te let dat gehaltebeheer nie noodwendig strek tot korrelige inspeksie van die verskaffer se eie prosedures nie.

Organisasies moet verskaffer-spesifieke tjeks implementeer wat derdeparty-organisasies as 'n betroubare bron, binne die sfeer van privaatheidsinligtingbestuur, bevestig.

ISO 27701 Klousule 6.12.2.1 – Monitering en hersiening van verskaffersdienste

Verwysings ISO 27002 Beheer 5.22

Organisasies moet voortdurend bewus wees van hoe verskaffersdienste gelewer word – en op watter vlakke – om 'n veilige, veilige privaatheidinligtingbestuursoperasie te handhaaf.

Om dit te bereik, moet organisasies:

  • Monitor diensvlakke in ooreenstemming met gepubliseerde SLA's.
  • Pak enige dienstekorte of gebeurtenisse so vinnig as moontlik aan, veral dié wat 'n impak het op PII of privaatheidverwante bates.
  • Monitor enige veranderinge wat deur die verskaffer aan hul eie bedryf gemaak word wat die potensiaal het om privaatheidbeskerming te beïnvloed, insluitend enige diensspesifieke veranderinge.
  • Vra om van gereelde diensverslae en geskeduleerde hersieningsvergaderings voorsien te word.
  • Ondersoek uitkontrakteringsvennote en subkontrakteurs, en streef na enige areas vir kommer.
  • Werk binne ooreengekome Voorvalbestuurstandaarde en -praktyke.
  • Hou rekord van privaatheidsinligtingsekuriteitsgebeure, bedryfsprobleme en foute.
  • Beklemtoon enige inligtingsekuriteitskwesbaarhede en versag dit tot die volle mate.
  • Wees bedag op die verskaffers se verhoudings met sy eie verskaffers en subkontrakteurs, en hoe dit 'n impak het op privaatheidbeskerming binne die grense van die organisasie self.
  • Identifiseer verskaffer-kant personeel wat verantwoordelik is vir die handhawing van die bepalings van die dienskontrak.
  • Voer oudits uit wat 'n verskaffer se vermoë bevestig om voldoende privaatheidinligtingstandaarde te handhaaf.

Relevante ISO 27002-kontroles

  • ISO 27002 5.29
  • ISO 27002 5.30
  • ISO 27002 5.35
  • ISO 27002 5.36
  • ISO 27002 8.14


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.12.2.2 – Bestuur van veranderinge aan verskaffersdienste

Verwysings ISO 27002 Beheer 5.22

Sien ISO 27701 Klousule 6.12.2.1

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule Identifiseerder ISO 27701 Klousule Naam ISO 27002-vereiste Geassosieerde GDPR-artikels
6.12.1.1 Inligtingsekuriteitsbeleid vir Verskaffersverhoudings
5.19 – Inligtingsekuriteit in verskafferverhoudings vir ISO 27002
 		Geen
6.12.1.2 Aanspreek van sekuriteit binne verskaffersooreenkomste
5.20 – Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste vir ISO 27002
 		Artikels (5), (28), (30), (32)
6.12.1.3 Inligting en Kommunikasie Tegnologie Voorsieningsketting
5.21 – Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting vir ISO 27002
 		Geen
6.12.2.1 Monitering en Hersiening van Verskaffersdienste
5.22 – Monitering, hersiening en veranderingsbestuur van verskafferdienste vir ISO 27002
 		Geen
6.12.2.2 Bestuur van veranderinge aan verskaffersdienste
5.22 – Monitering, hersiening en veranderingsbestuur van verskafferdienste vir ISO 27002
 		Geen

Hoe ISMS.online help

Dit kan moeilik wees om te weet waar om met ISO 27701 te begin, veral as jy nog nooit so iets moes doen nie. Dit is waar ISMS.online inkom!

Ons ISO 27701-oplossings bied raamwerke wat jou organisasie toelaat om voldoening aan ISO 27701 te demonstreer.

Ons inligtingsekuriteitskundiges kan saam met jou werk om te verseker dat jy 'n logiese implementeringsproses ontwikkel wat in lyn is met die aanlyn dokumentasieraamwerk.

Kom meer te wete deur bespreek 'n praktiese demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!