Hoe A.5.20 in ISO 27001 MSP-verskafferkontrakte en -oudits transformeer

Waarom MSP-kontrakte 'n ISO 27001:2022-brandpunt is

MSP-kontrakte is 'n ISO 27001:2022-brandpunt omdat ouditeure nou verskafferooreenkomste as primêre bewyse beskou van hoe jou beheermaatreëls tot in die voorsieningsketting strek. Hulle verwag skriftelike verpligtinge, rolle en voorvalprosesse wat wys dat jou ISMS die dienste wat jy koop en verskaf, bereik, nie net interne diagramme of beleide nie. Kommentare en implementeringsriglyne vir ISO/IEC 27001:2022 beklemtoon dat organisasies moet demonstreer hoe beheermaatreëls op relevante verskaffers van toepassing is, en sertifiseringsliggame gebruik algemeen kontrakte as deel van daardie bewysstel. Vir bestuurde diensverskaffers dien alledaagse kommersiële kontrakte nou ook as sekuriteitsartefakte wat sertifisering en kliëntevertroue kan versterk of verswak.

MSP-ooreenkomste is nie meer net kommersiële gereedskap nie; hulle is deel van jou sekuriteitshouding. ISO 27001:2022 verwag dat sekuriteitsverpligtinge, verantwoordelikhede en voorvalhantering weerspieël word in kontrakte en verwante dokumente, wat in baie organisasies meesterdiensooreenkomste (MSA's), werkverklarings (SoW's), diensvlakooreenkomste (SLA's), dataverwerkingsooreenkomste (DPA's) en sekuriteitskedules sal insluit, al skryf die standaard nie spesifieke dokumentetikette voor nie. As daardie elemente ontbreek of vaag is, sal ouditeure sukkel om te sien hoe jou Aanhangsel A-beheermaatreëls in die werklike wêreld werk.

Inligting hier is algemeen en vorm nie regsadvies nie; kontraktuele besluite vereis insette van gekwalifiseerde regsverteenwoordigers.

Hoe ISO 27001:2022 MSP-kontrakte in die omvang insluit

ISO 27001:2022 sluit MSP-kontrakte in die omvang in deur verskaffersekuriteit te behandel as 'n kontraktuele verantwoordelikheid wat skriftelik gedefinieer en ooreengekom moet word. Die standaard verwag dat u in u ooreenkomste sal wys hoe inligtingsekuriteitsverantwoordelikhede, datahanteringsreëls en voorvalprosesse tussen kliënte, MSP's en stroomopverskaffers toegeken word. Daardie verskuiwing plaas direkte oudit-aandag op die kontrakte waarop u besigheid staatmaak.

In die 2025 ISMS.online-opname oor die toestand van inligtingsekuriteit het ongeveer 41% van organisasies die bestuur van derdeparty-risiko en die dophou van verskaffersnakoming as 'n top-uitdaging vir inligtingsekuriteit genoem.

Bestuurde diensverskaffers sit in die middel van lang voorsieningskettings. Jy is afhanklik van wolkplatforms, datasentrums, sekuriteitsinstrumente en gespesialiseerde SaaS, en jou kliënte is afhanklik van jou. Wanneer voorvalle deur hierdie kettings gekaskadeer het, het ondersoekbeamptes herhaaldelik dieselfde patroon gesien: kommersiële terme was gedetailleerd, maar sekuriteitsrolle, datahantering, voorvalreaksie en toesig was vaag of ontbreek in kontrakte. Resensies van voorsieningsketting-aanvalle in wolk- en uitkontrakteringskontekste beklemtoon dikwels dat kontraktuele aandag op prys en dienskenmerke gefokus is terwyl sekuriteitsverantwoordelikhede geïmpliseer gelaat is, wat hefboomwerking aansienlik beperk het wanneer mislukkings plaasgevind het. As verwagtinge geïmpliseer eerder as geskrewe is, het jy min hefboomwerking wanneer iets verkeerd loop.

Die 2025-opname oor die toestand van inligtingsekuriteit het bevind dat 'n meerderheid organisasies in die vorige jaar deur ten minste een derdeparty- of verskafferverwante sekuriteitsvoorval geraak is.

Reguleerders en kliënte het gereageer deur baie skerper vrae te vra. Dit is nie meer genoeg om te sê "ons is ISO-gebaseerd" of "ons verskaffers volg bedryfstandaarde" nie. Kopers wil weet hoe verantwoordelikhede gedeel word, hoe vinnig jy hulle van probleme sal inlig, hoe subverwerkers beheer word en wat met data gebeur wanneer 'n verhouding eindig. Toesighoudende riglyne in baie sektore verwys nou eksplisiet na geskrewe uitkontrakteringsreëlings en verwag dat firmas moet bewys lewer van hoe hulle toesig hou oor derde partye, sodat ouditeure gereeld daardie reëlings moet monster wanneer hulle beheerdoeltreffendheid beoordeel. In gebiede soos finansiële dienste se operasionele veerkragtigheid en uitkontraktering, byvoorbeeld, spel prudensiële reëls die behoefte aan gedokumenteerde verantwoordelikhede, kennisgewingspligte en uittredebepalings in uitkontrakteringskontrakte uit, en daardie denke word toenemend weerspieël in breër derdeparty-risikopraktyk.

Vir MSP's beteken dit dat kontrakte nou deel is van die aanvalsoppervlak en deel van die bewysstel. Indien sekuriteitsvereistes, diensvlakke, voorvalprosesse en ouditregte nie gedokumenteer word nie, sal ouditeure twyfel of Aanhangsel A-beheermaatreëls werklik tot in die voorsieningsketting strek. Meer belangrik, jy kan die vermoë verloor om op remediëring of samewerking aan te dring wanneer 'n stroomopverskaffer misluk of ondersoek weerstaan.

'n Platform soos ISMS.online kan help deur verskafferrekords, risikobepalings en kontrakbewyse op een plek te koppel, maar jou beginpunt is 'n duidelike beeld van wat Aanhangsel A.5.20 verwag dat jou ooreenkomste moet bevat.

Duidelike kontrakte verander veronderstelde sekuriteit in afdwingbare verantwoordelikheid.

Waarom dit saak maak vir MSP-oudits en kliëntevertroue

Duidelike, sekuriteitsbewuste kontrakte maak MSP-oudits gladder en gee kliënte meer vertroue in u dienste. Wanneer ooreenkomste wys wie verantwoordelik is vir sleutelbeheermaatreëls, hoe voorvalle hanteer sal word en hoe data beskerm word, word u verduidelikings tydens assesserings en verkoopsgesprekke meer presies en minder defensief.

Volgens die 2025 ISMS.online-opname verwag kliënte toenemend dat hul verskaffers sal in lyn wees met formele raamwerke soos ISO 27001, ISO 27701, GDPR, Cyber Essentials, SOC 2 en opkomende KI-standaarde.

Om kontrakte as sekuriteitsartefakte te behandel, verander hoe jou oudits voel en hoe kliënte jou beoordeel. Ouditeure kan risiko's tot verpligtinge herlei; kliënte sien dat sekuriteit deel is van die manier waarop jy sake doen, nie 'n nagedagte nie. Wanneer daardie elemente ontbreek, word beide groepe gedwing om te raai wat jy bedoel het, en daardie onsekerheid ondermyn vertroue.

Vir MSP's is die praktiese effek eenvoudig: elke keer as jy 'n ooreenkoms onderhandel of hernu, versterk of verswak jy jou sekuriteitshouding. As jy sterk klousules standaardiseer en dit konsekwent toepas, bou jy 'n verdedigbare basislyn wat standhou in sertifiseringsoudits, RFP's en reguleerderhersienings. As jy op ad hoc-bewoording staatmaak, skep jy veranderlikheid wat sigbaar word op presies die oomblikke wanneer jy die meeste voorspelbaarheid en beheer wil hê.

Bespreek 'n demo

Wat ISO 27001:2022 A.5.20 eintlik vereis

ISO 27001:2022 A.5.20 vereis dat u inligtingsekuriteitsvereistes vir elke verskafferverhouding identifiseer en dit in afdwingbare ooreenkomste insluit. Waar 'n verskaffer die vertroulikheid, integriteit of beskikbaarheid van u inligting of dienste kan beïnvloed, moet u definieer wat u van hulle verwag in kontrakte of ekwivalente dokumente wat beide kante verstaan en waarop kan optree. Dit stem ooreen met die bewoording van Aanhangsel A.5.20 in ISO/IEC 27001:2022, wat vereis dat inligtingsekuriteitsvereistes vir verskafferverhoudinge geïdentifiseer en in ooreenkomste geïmplementeer word, sodat daardie geskrewe verwagtinge dan deel van u ouditbewyse vorm.

In die praktyk skuif Aanhangsel A.5.20 sekuriteitsvereistes uit interne dokumente alleen na die ooreenkomste wat bepaal hoe dienste gelewer word. Vir MSP's beteken dit dat kliëntkontrakte en stroomop-verskafferkontrakte moet wys hoe sekuriteitsverantwoordelikhede gedeel word, hoe data hanteer word en hoe voorvalle bestuur word. Ouditeure sal soek na daardie naspeurbare skakel tussen verskafferrisiko's, interne beheermaatreëls en kontrakbewoording.

Onderskeid van A.5.20 van ander verskafferkontroles

A.5.20 verskil van aangrensende verskafferkontroles omdat dit fokus op wat in kontrakte geskryf is eerder as hoe verskaffers gekies of gemonitor word. Om hierdie onderskeid te verstaan, help jou om die regte bewyse vir elke kontrole te ontwerp en te vermy om alles as 'n enkele, vae vereiste te behandel.

A.5.19, “Inligtingsekuriteit in verskaffersverhoudings”, fokus op die algehele lewensiklus: die keuse van verskaffers, die assessering van risiko, die monitering van prestasie en die bestuur van verandering. A.5.21, “Die bestuur van inligtingsekuriteit in die IKT-voorsieningsketting”, beklemtoon komplekse kettings, subverskaffers en privaatheids- of persoonlike datarisiko, veral waar verskeie verskaffers saamwerk om 'n diens te lewer. Oorsigte van ISO/IEC 27001:2022 en verwante riglyne bied A.5.19 konsekwent aan as die lewensiklusbeheerbeheer en A.5.21 as die spesifieke IKT-voorsieningskettingbeheer, wat die gebruik daarvan saam met A.5.20 ondersteun eerder as om dit as duplikate te behandel. Saam beskryf hulle hoe jy derdeparty-risiko oor tyd beheer.

Aanhangsel A.5.20, “Die aanspreek van inligtingsekuriteit binne verskafferooreenkomste”, fokus op inhoud: wat in kontrakte, skedules en terme verskyn. Ouditeure sien dikwels goeie werk op A.5.19 (verskafferregisters, risikobepalings, vraelyste vir omsigtigheidsondersoek), maar swak uitvoering op A.5.20, waar kontrakte steeds min meer sê as “die verskaffer sal voldoen aan toepaslike wette en bedryfstandaarde.” Daardie soort taal toon selde dat spesifieke risiko's vertaal is in verpligtinge wat afgedwing en getoets kan word.

Kernverpligtinge A.5.20 plaas op MSP-ooreenkomste

A.5.20 plaas verskeie kernverpligtinge op MSP-ooreenkomste, gesentreer op die dokumentering van duidelike verantwoordelikhede en minimum sekuriteitsverwagtinge. Vir elke verskaffer wat u ISMS beïnvloed, moet u kan aantoon waar rolle, datahanteringsreëls, voorvalprosesse, regulatoriese pligte en toesigmeganismes deur beide partye gedefinieer en aanvaar word.

In konkrete terme verwag A.5.20 dat jy:

Definieer sekuriteitsrelevante rolle en verantwoordelikhede tussen u en elke verskaffer in eenvoudige taal.
Spesifiseer hoe inligting deur daardie verskaffer verkry, verwerk, gestoor, oorgedra en verwyder kan word.
Leg vereistes vir voorvalkennisgewing en samewerking vas, insluitend tydsberekening en kommunikasiekanale.
Weerspieël relevante regulatoriese verpligtinge, veral rondom persoonlike data en uitkontrakteringsreëls.
Voorsiening maak vir monitering, hersiening en, waar toepaslik, oudit- of onafhanklike versekeringsmeganismes.

Vir MSP's moet "verskaffer" breed geïnterpreteer word. Wolkplatforms, konnektiwiteitsverskaffers, kaartjie-instrumente, sagteware vir afstandmonitering, SOC-vennote, subkontrakteursingenieurs en sommige strategiese konsultante kan almal onder die bestek val as hulle kliëntedienste kan beïnvloed of sensitiewe inligting kan hanteer. Die standaard neem nie aan dat slegs groot, voor die hand liggende uitkontrakteerders saak maak nie.

Die sleutel is naspeurbaarheid. Vir elke belangrike verskafferrisiko wat jy in jou ISMS aanteken, sal 'n ouditeur wil weet waar dit aangespreek word: in tegniese beheermaatreëls, in operasionele prosesse en in kontrakklousules. A.5.20 is waar jou interne verwagtinge eksterne verbintenisse word wat kliënte, reguleerders en ouditeure kan sien.

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Die vertaling van A.5.20 in konkrete MSP-kontrakonderwerpe

Die vertaling van A.5.20 in konkrete MSP-kontrakonderwerpe beteken om breë sekuriteitsverwagtinge in 'n kort, herhaalbare lys van klousulegebiede te omskep. As elke belangrike verskafferooreenkoms hierdie gebiede op 'n toepaslike vlak van detail dek, voldoen jy aan die meeste van die beheermaatreëls se bedoeling en maak oudits en hernuwings makliker om te bestuur.

Vir MSP's is die voordeel van 'n onderwerpgebaseerde benadering konsekwentheid. Sodra jy besluit watter temas in byna elke kontrak moet verskyn, kan jou regs-, sekuriteits- en kommersiële spanne vanaf 'n gedeelde kontrolelys werk eerder as om bewoording van geval tot geval te improviseer. Dit maak dit makliker om ooreenkomste te vergelyk, gapings raak te sien en jou benadering aan ouditeure en kliënte te verduidelik.

Basisonderwerpe wat elke MSP-verskafferkontrak moet dek

Basislynkontrakonderwerpe is die herhalende temas wat jy in byna elke verskafferooreenkoms wil sien wat jou ISMS raak. Dit gee jou spanne 'n pragmatiese hersieningskontrolelys en help jou om ouditeure te wys dat spesifieke risiko's in konsekwente, verstaanbare taal aangespreek is, eerder as verspreide, eenmalige klousules.

'n Praktiese basislyn sluit gewoonlik ten minste die volgende in:

Omvang en gebruik van inligting: – gemagtigde data en stelsels, toegelate gebruike, verbode gebruike.
Toegangsbeheer verwagtinge: – verifikasiemetodes, toegang met die minste voorregte, toegang op afstand en rekeninglewensiklusreëls.
Logboekregistrasie en monitering: – vereiste logboeke, bewaringsperiodes en beskikbaarheid van rekords tydens ondersoeke.
Kwetsbaarheidsbestuur en -opdatering: – eienaarskap van ontdekking, assessering en remediëring, met tydsraamwerke vir hoërisiko-kwessies.
Insidentopsporing en -kennisgewing: – wat as 'n sekuriteitsvoorval tel, hoe vinnig jy ingelig word en hoe julle saamwerk.
Besigheidskontinuïteit en rampherstel: – minimum beskikbaarheid, herstelteikens en deelname aan toetse waar relevant.
Subkontrakteurs en subverwerkers: – wanneer hulle gebruik mag word, hoe jy ingelig word of goedkeur, en hoe verpligtinge afvloei.
Databeskerming en privaatheid: – voorwaardes vir die verwerking van persoonlike data, liggings, oordragmeganismes, vertroulikheid en ondersteuning van onderwerpregte.
Databewaring, terugbesorging en verwydering: – bewaringsperiodes, terugstuurformate by uitgang, en hoe veilige verwydering bewys word.
Versekering en toesig: – verslae, sertifisering, vraelyste of ooreengekome oudits waarop u kan staatmaak, en wanneer dit verskaf word.

Hierdie onderwerpe benodig nie almal lang klousules nie, maar hulle moet herkenbaar wees in jou standaardposisies en hoërisiko-kontrakte. Nadat jy 'n voorbeeld van ooreenkomste hersien het, behoort jy met vertroue te kan antwoord: "Waar dek ons elk van hierdie punte, en hoe verander dit volgens verskaffervlak?"

Vir MSP's wat persoonlike data namens kliënte hanteer, moet privaatheidsbepalings ooreenstem met hierdie sekuriteitsklousules. Verwerkingsinstruksies, vertroulikheidsondernemings, reëls oor subverwerkers en ouditregte moet u breër sekuriteitsvereistes ondersteun, nie daarmee bots nie. Dit vermy 'n situasie waar die dataverwerkingsooreenkoms een ding sê, die sekuriteitskedule 'n ander, en nie een ooreenstem met die kontroles wat in u ISMS beskryf word nie.

Koppel kontrakonderwerpe aan interne ISMS-vrae

Om kontrakonderwerpe aan interne ISMS-vrae te koppel, beteken om seker te maak dat elke klousulefamilie 'n duidelike risikovraag beantwoord wat jy reeds dophou. Wanneer jou risikoregisters, kontroles en kontrakte dieselfde denkmodel gebruik, word dit baie makliker om aan ouditeure te verduidelik hoe jy verskaffers van begin tot einde bestuur.

’n Kort tabel kan jou help om hierdie onderwerpe in lyn te bring met die vrae wat jy intern vra:

Kontrakonderwerp	Sleutelvraag om te beantwoord	Tipiese dokumentligging
Toegangsbeheer	Wie kan toegang tot wat kry, en hoe word toegang toegestaan of verwyder?	Sekuriteitskedule / werksverklaring
Voorvalkennisgewing	Wanneer en hoe sal jy van voorvalle hoor?	Sekuriteitskedule / diensvlakooreenkoms
Subverwerkers	Wie anders is betrokke en wie keur hulle goed?	Dataverwerkingsooreenkoms / subkontrakteringsklousule
Data-terugbesorging en -verwydering	Wat gebeur met data wanneer die verhouding eindig?	Uittrede- of beëindigingsbepalings
Oudit en versekering	Hoe kan jy bevestig dat sekuriteit werk soos ooreengekom?	Ouditregte of versekeringsafdeling

Sodra daardie skakels duidelik is, kan jy vir elke belangrike verskaffer dokumenteer waar spesifieke risiko's aangespreek word. Dit gee ouditeure vertroue dat jy nie op generiese bewoording staatmaak nie en gee kliënte 'n konsekwente storie wanneer hulle vra hoe jy uitkontrakteringsrisiko bestuur.

Ontwerp van 'n herbruikbare MSP-kontrakbasislyn

Die ontwerp van 'n herbruikbare MSP-kontrakbasislyn beteken die skep van 'n standaardstruktuur en klousulestel wat oor baie transaksies met risikogebaseerde variasies werk. In plaas daarvan om elke keer bewoording te herontwerp, handhaaf jy een beheerde basislyn en pas diepte en sterkte aan afhangende van die verskaffer se impak op jou dienste en kliënte.

’n Herbruikbare basislyn verander ’n lang lys onderwerpe in ’n praktiese kontrakstruktuur wat jy oor jou portefeulje kan uitrol. Die doel is om te verhoed dat elke transaksie van nuuts af opgestel word en om ’n enkele stel posisies te handhaaf wat jy op ’n risikogebaseerde manier kan verskerp of verslap, terwyl jy algehele konsekwentheid behou.

Die bou van 'n modulêre kontrakstruktuur vir MSP's

’n Modulêre kontrakstruktuur laat jou toe om een samehangende basislyn te handhaaf terwyl regs-, kommersiële en tegniese spanne duidelike eienaarskap van hul afdelings gee. Deur diensbeskrywings, regsstandaarde en sekuriteitsinhoud te skei, maak jy opdaterings makliker en verminder jy die risiko dat ’n verandering in een area per ongeluk ’n ander verswak.

Die meeste MSP's vind dat 'n modulêre struktuur die beste werk omdat dit jou toelaat om individuele dele op te dateer sonder om alles te herskryf. Duidelike skeiding tussen wetlike standaard, diensbeskrywings en sekuriteitsverwagtinge help ook verskillende spanne om hul afdelings te beheer.

Tipiese komponente sluit in:

A Meesterdiensooreenkoms (MSA) wat kernregsterme en hoëvlakverantwoordelikhede bevat.
Een of meer Werkverklarings (WW's) spesifieke dienste, bates en liggings beskryf.
A diensvlak-aanhangsel definisie van beskikbaarheid, reaksie- en oplossingsteikens, rapportering en dienskrediete.
A sekuriteitskedule wat die inligtingsekuriteits- en privaatheidsverpligtinge wat deur A.5.19–A.5.21 vereis word, konsentreer.
Waar persoonlike data verwerk word, 'n dataverwerkingsooreenkoms (DPA) in lyn met die sekuriteitskedule.

Binne daardie struktuur word die sekuriteitskedule die primêre voertuig vir A.5.20. Dit hoef nie lank te wees nie, maar dit moet sistematies die kernonderwerpe van die vorige afdeling dek. Deur kort, genommerde paragrawe of tabelle te gebruik, eerder as verspreide verwysings, maak dit vir beide kante makliker om die inhoud oor tyd te verstaan en te onderhou.

Omskep jou basislyn in 'n lewende klousulebiblioteek

Om jou basislyn in 'n lewende klousulebiblioteek te omskep, beteken om herbruikbare bewoording vas te lê, dit aan kontroles te koppel en dit vir spanne maklik te maak om die regte variant toe te pas. Jou doel is om eenmalige frases wat in ou kontrakte begrawe is, te vermy en eerder 'n saamgestelde stel klousules te handhaaf wat ontwikkel met jou risiko-aptyt en regulatoriese konteks.

Om van teorie na daaglikse gebruik oor te skakel, benodig jy bewoording wat tegnologie-agnosties is, naspeurbaar is na kontroles en maklik aanpasbaar is vir verskillende risikovlakke. Op dié manier kan jy dieselfde kernposisies toepas op gasheerdienste, SOC, SaaS en professionele dienste, terwyl jy steeds hul verskillende risikoprofiele weerspieël.

Om 'n basislyn te bou, kan jy:

Stap 1 – Begin vanaf jou ISMS

Begin deur die beheermaatreëls en beleide te identifiseer wat verskaffers moet respekteer, soos wagwoordstandaarde, enkripsieverwagtinge, logging en tydsraamwerke vir voorvalreaksies, sodat jy weet watter vereistes in kontrakte moet verskyn.

Stap 2 – Groepeer vereistes in kontrakte

Groepeer elke verwagting in 'n klousule-area soos toegangsbeheer, voorvalbestuur, kontinuïteit of datahantering, sodat jy duplisering verminder en vinnig kan sien waar gapings in konsepooreenkomste bestaan.

Stap 3 – Konsepneutrale, uitkomsgebaseerde bewoording

Skryf klousules wat verantwoordelikhede en uitkomste beskryf, nie spesifieke gereedskap of konfigurasies nie, sodat jou bewoording tegnologiese veranderinge oorleef en relevant bly oor verskillende tipes verskaffers.

Stap 4 – Merk klousules intern aan ISO-kontroles

Teken in u interne dokumentasie aan watter ISO 27001 en verwante beheermaatreëls elke klousule ondersteun om ouditverduidelikings te vereenvoudig, beheertoetsing te ondersteun en enige oorvleueling of konflikte uit te lig.

Stap 5 – Definieer standaard- en verbeterde variante

Skep 'n standaardklousule plus strenger weergawes vir hoërrisiko-situasies, soos korter voorvaltydlyne of sterker ouditregte vir kritieke dienste, sodat onderhandelaars weet van watter posisies om te begin en wanneer om te eskaleer.

Die uitrol van die basislyn is op sigself 'n veranderingsprogram. 'n Algemene benadering is om die basislyn toe te pas op alle nuwe kliënt- en verskafferstransaksies, hernuwings en beduidende veranderinge te gebruik om bestaande hoërisiko-kontrakte op te gradeer, en 'n register van uitsonderings te handhaaf waar jy swakker terme aanvaar met gedokumenteerde redes en kompenserende beheermaatreëls.

ISMS.online kan dit ondersteun deur jou klousulebiblioteek te stoor, elke klousule aan kontroles en verskaffers te koppel, en aan te teken watter weergawe van die basislyn elke kontrak gebruik. Dit verminder administratiewe oorhoofse koste en maak dit makliker om vrae te beantwoord soos "Watter gasheerverskaffers is steeds op die ouer standaard vir kennisgewing van oortredings?"

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Vereniging van A.5.19, A.5.20 en A.5.21 in "altyd-aan"-klousules

Om A.5.19, A.5.20 en A.5.21 in "altyd-aan"-klousules te verenig, beteken om 'n klein stel klousulefamilies te ontwerp wat gesamentlik verskafferslewensiklusbestuur, kontraktinhoud en IKT-voorsieningskettingrisiko's dek. In plaas daarvan om drie beheermaatreëls as afsonderlike projekte te behandel, gebruik jy herhaalbare bewoording wat saam aan hulle voldoen waar die risikoprofiel dit vereis.

As jy A.5.19, A.5.20 en A.5.21 as drie losstaande kontrolelyste behandel, word verskaffersbestuur vinnig kompleks en moeilik om te verduidelik. Prudensiële en operasionele risikostandaarde in sektore soos finansiële dienste het beweeg na geïntegreerde uitkontraktering en derdeparty-raamwerke eerder as gefragmenteerde lyste van vereistes, en dieselfde logika geld wanneer jy beheermaatreëls vir ISO 27001-verskafferklousules ontwerp. Die ontwerp van klousulefamilies wat verskaffers van aanboord tot uitgang volg, gee jou een narratief: hoe jy verskaffers kies, hoe jy met hulle kontrakteer en hoe jy hul sekuriteit dwarsdeur die verhouding toesig hou.

Die meeste organisasies in die 2025-opname oor die toestand van inligtingsekuriteit het berig dat hulle reeds derdeparty-risikobestuur versterk het en beplan het om verder daarin te belê.

Klausulefamilies wat saam aan A.5.19, A.5.20 en A.5.21 voldoen

Klausulefamilies is groepe verwante verpligtinge wat strek oor verskafferkeuse, kontraktering en deurlopende toesig. Deur hierdie een keer te definieer en dit dwarsdeur die lewensiklus toe te pas, maak jy jou benadering makliker om te verduidelik, makliker om te onderhandel en meer veerkragtig wanneer personeel of verskaffers verander.

Nuttige families sluit in:

Aanboordneming en behoorlike sorgvuldigheid: – openbaarmaking van belangrike sekuriteitsinligting tydens seleksie, aanvaarding van u basislyn en bevestiging van relevante sertifisering of verslae.
Prestasie- en sekuriteitsoorsig: – gereelde vergaderings, statistieke, rapportering van voorvalle en kwesbaarhede, en die reg om remediëringsplanne aan te vra.
Veranderings bestuur: – kennisgewing van wesenlike veranderinge aan infrastruktuur, subverwerkers, liggings of sekuriteitsbeheermaatreëls voordat dit plaasvind, plus die reg om beswaar te maak of risiko te herevalueer.
Onderverskafferbestuur: – deursigtigheid oor die verskaffer se eie ketting, voorafgoedkeuring vir nuwe subverwerkers en afskaling van minimum verpligtinge.
Uitgang en oorgang: – sekuriteitsbewuste beëindigingsklousules wat beheerde oorhandiging, data-terugbesorging of -vernietiging en terugtrekking van toegang verseker.

Hierdie families laat jou toe om A.5.19 se lewensiklusbeheer (keuse, monitering, verandering, beëindiging), A.5.20 se kontraktinhoud en A.5.21 se fokus op komplekse IKT-voorsieningskettings te implementeer sonder om drie verskillende stelle klousules te skryf. Jy beskryf die lewensiklus een keer en pas dan die intensiteit volgens verskaffervlak aan eerder as om die struktuur elke keer te herontwerp.

Risikogebaseerde vlakindeling vir verskafferkontrakte

Risikogebaseerde vlakke vir verskafferkontrakte beteken dat u klousulefamilies op verskillende sterktes toegepas word, afhangende van hoeveel skade 'n mislukking by daardie verskaffer kan veroorsaak. Deur vlakke en ooreenstemmende verwagtinge vooraf te definieer, vermy u geval-tot-geval-improvisasie en kan u aan ouditeure verduidelik waarom sommige kontrakte strenger is as ander.

Risikogebaseerde vlakke verfyn klousulefamilies sodat kritieke verskaffers sterker verpligtinge dra terwyl roetineverskaffers steeds aan 'n minimum basislyn voldoen. Dit help jou om aan ouditeure en kliënte te verduidelik waarom sekuriteitsverwagtinge verskil en toon dat die variasie opsetlik is, nie lukraak nie.

Byvoorbeeld, jy kan definieer:

Vlak 1 – Kritieke verskaffers: soos primêre gasheer- of SOC-vennote, met ouditregte op die perseel, strenger voorvalkennisgewingstye, sterker kontinuïteitsverpligtinge en meer gedetailleerde verslagdoening.
Vlak 2 – Belangrike verskaffers: soos SaaS-verskaffers van 'n spesifieke besigheid, wat staatmaak op onafhanklike versekeringsverslae plus geteikende vraelyste en standaard kennisgewingstye.
Vlak 3 – Standaardverskaffers: soos klein gereedskap, met behulp van 'n vereenvoudigde basislyn met nie-onderhandelbare klousules oor vertroulikheid, voorvalkennisgewing en subkontrakteurs.

Oor alle vlakke heen moet sekere verwagtinge "altyd aan" wees: vertroulikheid, gedefinieerde omvang van verwerking, minimum samewerking met voorvalle, en verpligtinge om u klassifikasie- en hanteringsreëls vir sensitiewe inligting te respekteer. Vlakke word dan 'n kwessie van versterking, nie verwydering, van daardie fondamente.

Deur klousules op hierdie manier te ontwerp, kan jy ouditeure en kliënte wys dat verskaffers toesig gestruktureerd eerder as ad hoc is en dat kontraktuele verwagtinge sterker word met risiko. Dit maak dit ook makliker om te besluit waar om remediëringspogings te fokus wanneer jy swakpunte in bestaande ooreenkomste ontdek.

Algemene ouditgapings in MSP-kontrakte en die gevolge daarvan

Algemene ouditgapings in MSP-kontrakte verskyn wanneer belangrike sekuriteitsonderwerpe ontbreek, vaag of teenstrydig is met ooreenkomste. Ouditeure en kliënte merk vinnig patrone op soos swak voorvaltydlyne, afwesige subkontrakteursbepalings en onvoldoende ouditregte, en daardie gapings eskaleer dikwels in bevindinge, remediëringsplanne of verlore geleenthede.

Wanneer sertifiseringsliggame en kliënte MSP-kontrakte teen A.5.20 hersien, vind hulle herhaaldelik soortgelyke swakpunte. Regulatoriese riglyne oor wolk- en uitkontrakteringsreëlings dokumenteer ook herhalende kwessies soos vae sekuriteitsterme, ondeursigtigheid van subkontrakteurs en swak ouditregte, wat weerspieël wat baie ouditeure rapporteer wanneer hulle MSP-kontrakte monster. Deur hierdie patrone vroegtydig te herken, is dit makliker om dit aan te spreek voordat dit in nie-ooreenstemming, regulatoriese vrae of kontraktuele geskille verander.

Patrone wat ouditeure en kliënte in MSP-ooreenkomste merk

Patrone wat ouditeure en kliënte in MSP-ooreenkomste uitwys, is geneig om rondom vae bewoording in 'n paar herhalende areas te groepeer. Wanneer gemonsterde kontrakte dieselfde sagte taal vir voorvalle, subkontrakteurs, ouditregte en regulatoriese pligte toon, bevraagteken beoordelaars vinnig of jou verskafferbasislyn sterk genoeg is vir die risiko's wat jy in die gesig staar.

Ouditeure begin gewoonlik deur 'n klein aantal kontrakte te steekproef om te sien hoe jou basislyn in die praktyk toegepas word. As daardie steekproewe vae verpligtinge en ontbrekende onderwerpe toon, kan hulle vinnig kommer oor jou verskaffertoesig meer algemeen eskaleer. Ooreenstemmingsbeoordeling en interne ouditstandaarde onderskei tipies tussen geringe en groot bevindinge gebaseer op erns en die omvang van dekking, dus kan swak klousules anders gegradeer word afhangende van hoe wydverspreid hulle is en hoeveel skade hulle kan toelaat.

Tipiese gapings sluit in:

Vae sekuriteitsbeloftes: waar frases soos "bedryfstandaardsekuriteit" nie besonderhede oor toegangsbeheer, logging of voorvalreaksie bevat nie.
Ongedefinieerde voorvaltydlyne: waar verskaffers belowe om "sonder onnodige vertraging" verslag te doen, maar geen tydsraamwerk vir aanvanklike kennisgewing of opdaterings word vasgestel nie.
Geen melding van subkontrakteurs nie: sodat jy nie kan sien of die verskaffer subverwerkers mag gebruik of hoe verpligtinge afgehandel word nie.
Ontbrekende of swak ouditregte: wat jou geen betroubare manier laat om te verifieer dat die beheermaatreëls soos verwag funksioneer nie.
Wanbelynde regulatoriese pligte: waar kontrakte sektorspesifieke uitkontraktering of databeskermingsvereistes wat op u van toepassing is, weglaat.

Wanneer ouditeure hierdie patrone raaksien, kan hulle dit as geringe of groot nie-ooreenstemmings klassifiseer, afhangende van die erns en dekking. Kliënte, veral in gereguleerde sektore, kan soortgelyke gapings as gronde beskou om remediëringsplanne, strenger terme of, in sommige gevalle, 'n verandering van verskaffer te eis.

Hoe swak klousules in bevindinge, geskille en verlore vertroue verander

Swak klousules verander in bevindinge, geskille en verlore vertroue wanneer voorvalle of meningsverskille die gapings in jou kontraktuele verwagtinge blootlê. Sonder duidelike verantwoordelikhede, tydlyne en eskalasieroetes loop jy die risiko van stadige reaksies, betwiste verpligtinge en 'n narratief wat die vertroue van kliënte en reguleerders ondermyn.

'n Eenvoudige vergelyking illustreer waarom detail belangrik is:

Area	Swak klousule voorbeeld	Voorbeeld van 'n sterk klousule
Voorvalkennisgewing	"Stel sonder onnodige vertraging in kennis."	"Stel binne vier uur na opsporing in kennis, dan daaglikse opdaterings."
Subverwerkers	Geen melding nie.	"Identifiseer, verkry goedkeuring vir en bind alle subverwerkers."
Oudit en versekering	"Verskaf verslae soos versoek waar moontlik."	"Verskaf jaarlikse versekeringsverslae en werk saam met hersienings."

Vertraagde of onvolledige kennisgewings beteken dat u 'n voorval via die pers of u kliënte eerder as u verskaffer kan ontdek, wat u vermoë om geloofwaardig te reageer en te kommunikeer, verminder. Derdeparty-risiko-riglyne in gereguleerde sektore het gevalle gedokumenteer waar swak kennisgewingsverpligtinge organisasies laat leer het oor probleme van eksterne bronne eerder as hul verskaffers, wat presies die scenario is wat u wil vermy. Dubbelsinnige verantwoordelikhede lei tot vingerwysing op die slegste moontlike tyd. 'n Gebrek aan ouditregte maak dit moeiliker om te druk vir remediëring of om oplossings te valideer, veral as reguleerders of kliënte toekyk.

Die positiewe kant is dat bevindinge in hierdie area gewoonlik reggestel kan word. Deur dit in 'n gestruktureerde verbeteringsprogram te omskep – soos die opdatering van basislynsjablone, die heropleiding van onderhandelaars en die teiken van remediëring op die hoogste risiko-kontrakte eerste – gee dit jou 'n duidelike vorderingsverslag met die volgende oudit of kliëntoorsig. ISMS.online kan jou help om daardie program te prioritiseer deur te wys waar ouer klousules of swakker posisies steeds bestaan en hoe dit verband hou met verskaffers se risikovlakke.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Bestuur: hou jou basislyn in lyn en ouditeerbaar

Bestuur hou jou A.5.20-basislyn in lyn en ouditeerbaar deur eienaarskap, hersieningsiklusse en bewyse vir verskaffersekuriteitsklousules te definieer. Sonder duidelike bestuur kan selfs 'n goed ontwerpte klousulebiblioteek mettertyd afdwaal en stil gapings skep tussen jou verklaarde risiko-aptyt, jou kontrakte en jou operasionele werklikheid.

In die 2025-verslag oor die stand van inligtingsekuriteit het ongeveer twee derdes van organisasies gesê dat die spoed en omvang van regulatoriese veranderinge dit moeiliker maak om voldoening te handhaaf.

'n Kontrakbasislyn lewer slegs waarde as dit konsekwent gehandhaaf en toegepas word. Bestuur is die laag wat jou klousulebiblioteek verbind met daaglikse besluite, verskaffersverhoudinge en ouditbewyse, en dit is dikwels die verskil tussen 'n eenmalige skoonmaak en 'n volhoubare A.5.20-implementering.

Toekenning van eienaarskap vir verskaffersekuriteitskontrakte

Die toewysing van eienaarskap vir verskaffersekuriteitskontrakte beteken om eksplisiet te wees oor wie verwagtinge definieer, wie die bewoording onderhandel, wie prestasie monitor en wie belyning toets. Wanneer daardie verantwoordelikhede duidelik is, is dit baie minder waarskynlik dat belangrike klousules verwater of in newe-ooreenkomste omseil sal word.

'n Eenvoudige model begin dikwels met:

Inligtings sekuriteit: die definisie van beheerverwagtinge, risiko-aptyt en nie-onderhandelbare posisies.
Regs- en kontrakte spanne: die vertaling hiervan in afdwingbare bewoording en die bestuur van onderhandelinge.
Diens- en verskafferbestuurders: monitering van prestasie, toesig oor verpligtinge en die vaslegging van bewyse.
Interne oudit of 'n ekwivalente funksie: gereeld toets of kontrakte en praktyke ooreenstem.

Deur hersienings van die basislyn aan jou ISMS-prosesse te koppel, bly dit op datum. Wanneer risikobepalings nuwe bedreigings uitlig, wanneer groot voorvalle plaasvind of wanneer regulasies verander, moet daardie snellers in geskeduleerde sjabloonhersienings ingesluit word. Bestuursoorsigte kan dan oorweeg of kontrakklousules steeds ooreenstem met die organisasie se risikohouding en of verdere veranderinge nodig is.

Gereedskap en oorsigte wat A.5.20-bewyse op datum hou

Gereedskap en oorsigte hou A.5.20-bewyse op datum deur jou sigbaarheid te gee van watter kontrakte watter klousules gebruik en waar afwykings bestaan. Met daardie oorsig kan jy opdaterings prioritiseer, onderhandelinge ondersteun en ouditeure 'n duidelike verduideliking gee van hoe verskafferverwagtinge oor tyd gehandhaaf word.

Bestuur is makliker wanneer jy met een oogopslag kan sien watter kontrakte watter klousules gebruik en waar uitsonderings geleë is. Daardie sigbaarheid ondersteun beide operasionele besluitneming en ouditvoorbereiding, veral in MSP-omgewings met baie kliënte en verskaffers. Praktyke uit weergawebeheer- en veranderingsbestuurdissiplines toon dat die dophou van watter dokumentweergawes in watter kontekste van toepassing is, 'n sleuteldeel is van die demonstrasie van beheer, en dieselfde beginsel geld vir kontrakbasislyne en afwykings.

'n Praktiese gereedskapskis vir bestuur sluit dikwels die volgende in:

A kontrak- en verskafferregister wat wys watter basislynweergawe elke verhouding gebruik, die risikovlak, sleuteldatums en enige goedgekeurde afwykings.
A afwykingsproses om te dokumenteer wie uitsonderings op die basislyn kan goedkeur, op watter gronde en met watter kompenserende beheermaatreëls.
Opleiding en leiding: vir verkope-, verkrygings- en regspanne sodat hulle verstaan watter sekuriteitsposisies nie-onderhandelbaar is en hoe om dit te verduidelik.
Voorbeeld toets: deur interne oudit, waar 'n seleksie van kontrakte met die basislyn- en A.5.20-vereistes vergelyk word, en gekontroleer word of die operasionele werklikheid met die ooreenkomste ooreenstem.

Deur 'n stelsel eerder as sigblaaie te gebruik, word dit baie makliker. 'n ISMS-platform kan verskaffervoorraad hou, dit aan kontrakte en beheermaatreëls koppel, en hersienings en goedkeurings naspoor. ISMS.online kan byvoorbeeld aanteken watter verskaffers onder watter risikovlak val, watter klousulestelle van toepassing is en waar uitsonderings gemagtig is. Dit bied 'n duidelike ouditspoor en verminder die kans dat 'n stil kontrakverandering jou sekuriteitsposisie ondermyn.

Met beheer in plek, hou jou A.5.20-implementering op om 'n eenmalige remediëringsoefening te wees en word dit 'n volhoubare deel van hoe jy derdeparty-risiko bestuur en gerusstelling aan kliënte en ouditeure demonstreer.

Bespreek vandag 'n demonstrasie met ISMS.online

ISMS.online help jou om ISO 27001 A.5.20 te omskep in 'n herhaalbare MSP-kontrakbasislyn wat jou verskafferooreenkomste veilig, konsekwent en ouditeerbaar hou. Deur verskafferrekords, klousulebiblioteke, beheerkarterings en bewyse te sentraliseer, maak die platform dit makliker om aan te toon dat inligtingsekuriteitsvereistes in ooreenkomste aangespreek word en deur die daaglikse praktyk ondersteun word.

Sien hoe jou A.5.20-basislyn in 'n werklike ISMS werk

Om jou A.5.20-basislyn in 'n werklike ISMS te sien werk, beteken dat jy verskaffers, risiko's, kontrakte en beheermaatreëls in 'n enkele omgewing kan opspoor. Wanneer jy dit kan doen, verskuif gesprekke met ouditeure en kliënte van die soek na dokumente na die verduideliking van hoe jou verskafferbestuur werk en hoe uitsonderings bestuur word.

Wanneer jy verskaffers, risiko's, kontrakte en Aanhangsel A-kontroles op een plek kan koppel, word gesprekke met ouditeure en kliënte eenvoudiger en meer selfversekerd. In plaas daarvan om deur lêerdelings en inbokse te soek, kan jy na 'n enkele aansig wys wat wys watter basislynweergawe op elke verhouding van toepassing is, watter uitsonderings bestaan en hoe daardie besluite geregverdig is.

Binne 'n enkele omgewing kan ISMS.online jou help om verskaffers te koppel aan risikobepalings, kontrakte en beheerstelle sodat dit makliker word om te sien watter ooreenkomste watter dele van jou ISMS ondersteun. Werkvloei ondersteun hersienings, goedkeurings en hernuwings, wat jou help om te verseker dat nuwe transaksies die basislyn aanneem en dat hoërisiko-kontrakte vir opgraderings geprioritiseer word. Dashboards gee leierskap 'n bondige oorsig van verskafferdekking, uitstaande aksies en komende hernuwingsvensters.

Wat om te verwag wanneer jy ISMS.online verken

Wanneer jy ISMS.online verken, kan jy sien hoe gestruktureerde verskaffersbestuur en A.5.20-kontrakbasislyne in 'n lewendige ISMS werk eerder as in teorie. Die fokus is op hoe jou bestaande kontrakte, risiko's en beheermaatreëls in 'n enkele, ouditeerbare prentjie georganiseer kan word wat handmatige moeite verminder en vertroue verhoog.

Om ISMS.online te verken, gaan daaroor om te sien hoe jou huidige verskaffersbestuur kan ontwikkel in 'n gestruktureerde, ouditeerbare stelsel eerder as om nog 'n instrument by te voeg om te onderhou. Jy kan voorbeelde van A.5.20-klousulestelle, kartering en verslae wat op bestuurde diensverskaffers afgestem is, hersien en toets hoe dit by jou bestaande kontrakte en prosesse sal pas.

Vir inligtingsekuriteitsleiers, regspanne en MSP-eienaars verkort daardie kombinasie van struktuur en sigbaarheid ouditvoorbereiding, verminder onderhandelingswrywing en versterk versekering. Die keuse van ISMS.online maak sin wanneer jy wil hê dat jou verskafferooreenkomste jou ISO 27001-sertifisering moet ondersteun, beheer aan kliënte moet demonstreer en derdeparty-risiko moet verminder sonder om onnodige kompleksiteit by te voeg. As daardie uitkomste vir jou saak maak, is dit 'n natuurlike volgende stap om die platform in aksie te sien.

Bespreek 'n demo

Algemene vrae

Hoe moet 'n MSP ISO 27001:2022 A.5.20 interpreteer in daaglikse verskaffer- en kliëntkontrakte?

Jy moet A.5.20 as 'n vereiste vir spesifieke, toetsbare sekuriteitsverpligtinge in u kontrakte, nie gerusstellende maar vae stellings oor "robuuste" of "bedryfstandaard" sekuriteit.

Wanneer 'n ouditeur, groot kliënt of reguleerder jou ooreenkomste lees, behoort hulle te kan sien wie verantwoordelik is vir watter beheermaatreëls, hoe "goed" lyk, en hoe jy seker maak dat dit werklik gebeur.

Hoe lyk "duidelike en ouditeerbare sekuriteitsklousules" in die praktyk?

Vir 'n MSP word aan A.5.20 voldoen wanneer verskaffer en kliënt konsekwent kontrakteer:

Ken sekuriteitsverantwoordelikhede toe:

Dui aan wie opdaterings, eindpuntbeskerming, rugsteun, identiteits- en toegangsbestuur, monitering en voorvalsortering bestuur – insluitend enige gedeelde verantwoordelikhede.

Beskryf hoe inligting hanteer word:

Bespreek hoe binne-omvang data verkry, verwerk, gestoor, oorgedra, gerugsteun, behou en verwyder word, in taal wat 'n nie-tegniese hersiener kan volg.

Definieer voorvalkennisgewing- en samewerkingsreëls:

Gebruik konkrete snellers (“bevestigde kompromie van kliëntdata”, “diensonderbreking > X minute”), tydlyne (“aanvanklike waarskuwing binne X uur”), benoemde kontakroetes en verwagtinge vir gesamentlike ondersoeke en kommunikasie.

Weerspieël toepaslike regulasies en sektorreëls:

Voeg privaatheid, uitkontraktering, veerkragtigheid of sektorspesifieke verpligtinge in die ooreenkoms in, in plaas daarvan om slegs op beleide of informele versekerings staat te maak.

Sluit bruikbare versekerings- en toesigmeganismes in:

Gee jou die regte om bewyse (ISO 27001-sertifikate, SOC 2-verslae, pentoetsopsommings, gefokusde vraelyste) volgens 'n ooreengekome ritme te sien, en om op te volg waar nodig.

'n Vinnige selfkontrole wat by ouditeure aanklank vind, is:

As ons net hierdie kontrak op die tafel gehad het, kon ons wys dat ons inligtingsekuriteitsvereistes gedefinieerd, risikogebaseerd en afdwingbaar is – of sou ons die gapings vul met 'wat almal weet ons bedoel het'?

As die antwoord nader aan laasgenoemde is, behoort jou ISMS dit as 'n swakpunt aan te teken en 'n verandering in bewoording, sjablone of goedkeuringsreëls te dryf.

’n Platform soos ISMS.online maak dit baie makliker om te demonstreer. Jy kan elke kontrakklousule terugkoppel aan die risiko's en beheermaatreëls wat dit ondersteun, en wys hoe A.5.20 geïmplementeer word deur middel van werklike ooreenkomste eerder as om op geheue of informele notas staat te maak.

Hoe pas A.5.20 by A.5.19 en A.5.21 vir 'n MSP?

Die drie kontroles vorm 'n enkele derdeparty-sekuriteitslewensiklus: met wie jy werk, wat jy op papier benodig, en hoe jy die gelaagde voorsieningsketting bestuur wat jou dienste lewer.

Hoe moet 'n MSP die A.5.19–A.5.21-ketting beskou?

Vir die meeste MSP's lyk die patroon so:

A.5.19 – verskafferslewensiklus:

Hoe jy verskaffers kies, assesseer, goedkeur, aanboord neem, monitor en, indien nodig, verlaat – insluitend kriteria, omsigtigheidsondersoek en periodieke hersienings.

A.5.20 – kontraktuele inligtingsekuriteit:

Waar daardie verwagtinge omskep word in bindende verpligtinge in meesterdiensooreenkomste (MSA's), werkverklarings (SoW's), SLA's, DPA's en sekuriteitskedules.

A.5.21 – IKT-voorsieningsketting en privaatheidsrisiko:

Hoe jy gelaagde verskaffers beheer en toesig hou – wolkplatforms, spesialisgereedskap, subkontrakteurs – en die manier waarop hulle persoonlike en sensitiewe data hanteer.

In daaglikse bedrywighede is A.5.20 die brug tussen jou risikobeskouing en jou regsposisie:

jou verskafferregister en risikobepalings (A.5.19) beskryf die risiko en die beheermaatreëls waarop u wil staatmaak.
jou kontrakte (A.5.20) formaliseer wie daardie beheermaatreëls moet lewer en wat gebeur wanneer hulle dit nie doen nie.
jou toesig oor die voorsieningsketting (A.5.21) kontroleer dat die werklikheid ooreenstem met beide die ISMS en die kontrak, insluitend datavloei en subverskaffers.

Ouditeure en groot kliënte sal hulle natuurlik in lyn bring. As jou risikoregister sê dat 'n wolkverskaffer "krities, hoërisiko" is, maar die kontrak slegs generiese taal oor "redelike sekuriteit" bevat, sal hulle dit uitwys.

ISMS.online laat jou toe om daardie kolletjies op een plek te verbind: verskafferrekords gekoppel aan risiko's, beheermaatreëls en spesifieke kontrakklousules. Dit beteken wanneer iemand vra "Hoe bestuur jy jou subverwerkers onder A.5.21?" kan jy die verskaffers, kontrakte, beheermaatreëls en hersieningsiklus saam wys eerder as om uit die geheue te antwoord.

Hoe kan jy ISO 27001 A.5.20 omskep in 'n praktiese stel MSP-kontrakklousule-onderwerpe?

Jy maak A.5.20 prakties deur ooreen te kom oor 'n kort, ononderhandelbare kontrolelys van sekuriteitsonderwerpe dit moet altyd oorweeg word, en dan besluit waar elke onderwerp gewoonlik in jou kontrakpakket voorkom.

Dit verander elke nuwe ooreenkoms of hernuwing in 'n oefening in die toepassing van 'n patroon in plaas daarvan om bewoording onder sperdatumdruk uit te vind.

Wat hoort op 'n MSP se standaard A.5.20-kontrolelys?

Die meeste MSP's eindig met 'n kernlys soos volg:

Omvang en toegelate gebruik: – watter dienste, stelsels en data binne die omvang is; wat die ander party mag en nie mag doen nie; enige geografiese of regulatoriese grense.
Toegangsbeheer: – hoe identiteite en rekeninge geskep, goedgekeur, hersien en verwyder word; hantering van bevoorregte toegang; MFA-verwagtinge.
Logboekregistrasie en monitering: – minimum logboekverwagtinge, bewaringsperiodes en hoe u logboeke vir ondersoeke of oudits kan bekom.
Kwetsbaarheid en veranderingsbestuur: – verwagtinge oor die bekendmaking van kwesbaarhede en die opstel van patches; vooraf kennisgewing van wesenlike veranderinge wat sekuriteit of beskikbaarheid kan beïnvloed.
Voorvalbestuur: – wat as 'n voorval tel, kennisgewingsnellers en tydskale, vereiste inhoud vir kennisgewings, eskalasiepaaie en gesamentlike ondersoekverwagtinge.
Besigheidskontinuïteit en rampherstel: – toepaslike RTO/RPO's, rugsteunfrekwensie en toetsing, oorskakelverwagtinge waar beskikbaarheid werklik saak maak.
Subverskaffers: – wanneer verdere verskaffers gebruik mag word, wat bekend gemaak of goedgekeur moet word, en hoe hulle u sekuriteits- en privaatheidsvereistes moet erf.
Databeskerming en privaatheid: – verwerkingsinstruksies, kategorieë van data, liggings en oordragte, ondersteuning vir subjekteregte en kennisgewings van oortredings.
Databewaring, terugbesorging en verwydering: – hoe lank data gehou word, wat gebeur by uitgang, hoe veilige verwydering uitgevoer word en bewys word.
Versekering en toesig: – die bewyse waarop u werklik kan aanvra en waarop u kan staatmaak (sertifikate, verslae, bevestigingsbriewe, antwoorde op geteikende vraelyste) en hoe gereeld.

Dit help om 'n eenvoudige beeld te kry van waar hierdie gewoonlik woon:

Onderwerparea	Tipiese kontraktuele tuiste vir 'n MSP
Omvang, toegelate gebruik	MSA / SoW
Toegang, logging, monitering	Sekuriteitskedule / tegniese aanhangsel
Kwetsbaarheid, verandering, voorvalle	Sekuriteitskedule / SLA
Kontinuïteit, DR	Sekuriteitskedule / SLA
Subverskaffers, databeskerming	Sekuriteitskedule + DPA
Behoud, terugbesorging, verwydering	Sekuriteitskedule + uitgangsbepalings in MSA
Versekering en toesig	Sekuriteitskedule / bestuursafdelings

Sodra daardie patroon vasgestel is, kan jy interne kontrolelyste bou en stappe daaromheen hersien. ISMS.online kan dan elke onderwerp aan die relevante verskaffers, risiko's en beheermaatreëls koppel, sodat 'n voorvalkennisgewingsrisiko jou byvoorbeeld outomaties teruglei na die relevante klousules en betrokke kontrakte.

Hoe kan 'n MSP 'n herbruikbare A.5.20-kontrakbasislyn ontwerp wat steeds in werklike onderhandelinge geld?

'n Werkbare benadering is om 'n modulêre kontrakstruktuur en handhaaf 'n gemerkte klousulebiblioteek wat langs jou ISMS sit, met duidelike reëls oor wanneer en hoe jy bewoording kan verander.

Die doel is om konsekwent te kan verduidelik hoekom jou kontrakte lyk soos hulle lyk en hoe hulle jou risikohouding ondersteun, selfs na moeilike onderhandelinge.

Hoe lyk 'n modulêre A.5.20-basislyn vir MSP's?

Baie MSP's kom ooreen op 'n struktuur soos hierdie:

A hoofdiensooreenkoms (MSA) vir oorkoepelende regsterme, aanspreeklikheid, eienaarskap en hoëvlakverantwoordelikhede.
Werkverklarings (SoWs): wat dienste, binne-omvang stelsels en data, liggings, en enige kliëntspesifieke vereistes of variasies definieer.
A diensvlak-aanhangsel die uiteensetting van beskikbaarheids-, reaksie- en oplossingsteikens, insluitend waar hierdie sekuriteit ondersteun (byvoorbeeld, reaksietye vir voorvalle).
'N Toegewyde sekuriteitskedule wat A.5.19–A.5.21-temas op een plek bring met uitkomsgebaseerde taal, sodat jy verwagtinge kan opdateer sonder om die hele MSA te herskryf.
Waar persoonlike data verwerk word, 'n dataverwerkingsooreenkoms (DPA) wat verwys na en in lyn is met die sekuriteitskedule eerder as om dit te dupliseer of te weerspreek.

Agter daardie struktuur handhaaf jy 'n interne klousulebiblioteek waar elke klousule gemerk is met:

Die sekuriteitsonderwerp dit aanspreek (bv. toegangsoorsigte, voorvaltydlyne, openbaarmaking van subverskaffers).
Die ISO 27001 en verwante beheermaatreëls dit ondersteun veral A.5.19, A.5.20 en A.5.21.
Een of meer risikovlakke – byvoorbeeld, standaard-, belangrike en kritieke dienste of kliënte.

Dit gee jou drie sleutelhefbome:

N stel van minimum basislynposisies waaronder jy selde beweeg (byvoorbeeld, maksimum vertragings in voorvalkennisgewings).
N stel van verbeterde variante gereed vir hoërrisiko-situasies, sodat jy kontrakte vir kritieke dienste kan versterk sonder om te improviseer.
N stel van uitsonderingsreëls, insluitend wie afwykings van die basislyn kan goedkeur, watter kompenserende maatreëls u verwag, en wanneer daardie besluite hersien sal word.

As daardie klousulebiblioteek en goedkeuringsroete binne 'n platform soos ISMS.online geleë is, gekoppel aan jou risikoregister en verskafferrekords, kan jy wys dat opdaterings aan jou A.5.20-basislyn voortspruit uit werklike veranderinge – nuwe bedreigings, voorvalle, regulatoriese riglyne – in plaas van ad hoc-rooilyne.

In onderhandelinge maak hierdie struktuur gesprekke ook minder persoonlik. Eerder as om oor skryfstyl te stry, kan jy en jou teenparty kies uit duidelik gedefinieerde variante wat gekoppel is aan 'n ooreengekome risikoprofiel, en jy kan presies dokumenteer waarom 'n sterker of swakker opsie gekies is.

Watter inligtingsekuriteitsvereistes moet byna altyd in MSP-verskafferooreenkomste onder A.5.20 verskyn?

Sommige vereistes is so fundamenteel dat hulle tuishoort in byna elke binne-omvang verskafferooreenkoms, ongeag kontrakwaarde of dienskategorie. Hierdie "altyd-aan" elemente vorm die vloer van jou A.5.20 implementering.

Wat hoort tipies in 'n MSP se "altyd-aan" A.5.20-laag?

Die meeste MSP's besluit op 'n bondige lys wat slegs by uitsondering en met duidelike regverdiging gewysig word:

Vertroulikheid en aanvaarbare gebruik:

Pligte om u inligting en kliëntinligting te beskerm, plus illustratiewe voorbeelde van verbode gedrag soos ongemagtigde kopiëring, openbaarmaking of data-ontginning.

Ooreenstemming met u belangrikste beleide:

'n Vereiste om gespesifiseerde inligtingsekuriteits-, aanvaarbare gebruiks- en, waar relevant, veilige ontwikkelingsbeleide te volg wat u deur u ISMS publiseer en onderhou.

Toegangs- en identiteitsbeheer:

Verwagtinge vir die gebruik van sterk verifikasie, die afdwing van minste voorreg, die hersiening van toegang op 'n gedefinieerde kadens en die onmiddellike herroeping daarvan wanneer dit nie meer nodig is nie.

Voorvalkennisgewing en samewerking:

Duidelike kriteria vir wat gerapporteer moet word, tydsraamwerke vir aanvanklike en opvolgkennisgewings, minimum inhoud (tydlyn, impak, geaffekteerde data, inperkingsaksies) en hoe gesamentlike ondersoeke en eksterne kommunikasie hanteer word.

Deursigtigheid van subverskaffers:

Verpligtinge om wesenlike subverskaffers bekend te maak, vooraf kennis te gee van beduidende veranderinge en wesenlik soortgelyke sekuriteits- en privaatheidsvoorwaardes aan daardie partye te lewer.

Databeskermingsterme:

Waar persoonlike data betrokke is, terme wat ooreenstem met u statutêre verantwoordelikhede (byvoorbeeld onder GDPR of CCPA) en met u eie privaatheids- en bewaringsbeleide.

Dataterugbesorging en veilige verwydering:

Instruksies vir hoe data aan die einde van die verhouding of diens terugbesorg, oorgedra of veilig verwyder sal word, en 'n redelike verwagting van bewys dat verwydering plaasgevind het.

Versekeringsmeganismes:

Ooreengekome maniere waarop u sekuriteitsposisie kan monitor – soos ISO 27001-sertifikate, SOC 2-verslae, kort vraelyste of formele verklarings – en hoe gereeld u dit sal ontvang.

'n Nuttige vraag om in gedagte te hou is:

As hierdie verskaffer vanaand 'n ernstige voorval ervaar het, het ons genoeg in hierdie kontrak om vinnig op te tree, aan te dring op gepaste remediëring en ons toesig aan kliënte of reguleerders te verduidelik?

As jy huiwer, kan een van hierdie areas wat altyd aan is, ontbreek of te swak wees. Deur hulle as deel van jou basislyn vas te lê en in standaard sjablone in te sluit, verminder jy die afhanklikheid van individuele onderhandelaars se instinkte en gee ouditeure en kliënte 'n duidelike storielyn.

ISMS.online kan dit verder versterk deur hierdie basislynklousules te koppel aan verskafferinskrywings, risiko's en bestuursoorsigte, sodat jy kan aantoon dat die grondslaglaag bestaan, toegepas word en hersien word wanneer omstandighede verander.

Hoe kan 'n MSP sy A.5.20-kontrakbasislyn in lyn hou met die ISMS en maklik bewysbaar oor tyd hou?

Jy hou A.5.20 in lyn deur kontrakbewoording te behandel as deel van jou sekuriteitsbestuur, met genoemde eienaars, beplande hersienings en duidelike skakels na verskaffersbestuur en risikohantering, eerder as 'n aparte regsoefening wat mettertyd dryf.

Hoe lyk volhoubare A.5.20-bestuur vir 'n MSP?

Selfs in kleiner MSP's maak 'n eenvoudige bestuursmodel 'n groot verskil:

Inligtings sekuriteit:

Definieer sekuriteitsverwagtinge, elemente wat altyd aan is en nie-onderhandelbare posisies in gewone taal, gekarteer na ISO 27001-kontroles en ander raamwerke waarop u staatmaak.

Regs- of kontraktespan:

Besit die werklike bewoording, adviseer tydens onderhandelinge, en teken aan waar basislyne oorskry of verslap word, insluitend motivering en enige kompenserende waarborge.

Verskafferbestuurders of dienseienaars:

Monitor of verskaffers hul verpligtinge in die praktyk nakom, versamel bewyse (sertifikate, verslae, reaksies) en lig kwessies aan wanneer verwagtinge nie nagekom word nie.

Interne oudit of ekwivalent:

Neem gereeld monsters van 'n stel kontrakte, vergelyk dit met jou basislyn, verskaffersregister en risikorekords, en beveel verbeterings aan.

Hierdie rolle volg dan 'n voorspelbare ritme:

Kontraksjablone en klousulebiblioteke word hersien as deel van u risikobepaling en bestuursoorsigsiklusse, dus lei voorvalle, byna-ongelukke en regulatoriese veranderinge tot gemete opdaterings in bewoording.

'n Sentrale register toon watter kontrakte gebruik watter basisweergawe, watter verskaffers in watter risikovlak val en waar jy afwykings aanvaar het, insluitend 'n rekord van wie dit goedgekeur het en hoekom.

kort speelboeke en kontrolelyste help verkope-, verkrygings- en rekeningspanne om te verstaan watter terme verpligtend is, waar hulle buigsaamheid het en wanneer hulle sekuriteits- of regspesialiste moet inbring.

Op 'n baie klein skaal kan jy baie hiervan saam met dokumente en gedeelde lêers hou. Soos jou kliëntebasis, verskafferslys en raamwerkdekking groei, word dit vinnig broos.

ISMS.online laat jou toe om verskaffervoorraad, kontrakbasislyne, beheermaatreëls, risiko's, oudits en bestuursoorsigte in 'n enkele aansig te versamel, sodat wanneer iemand vra:

“Hoe verseker jy dat A.5.20 konsekwent op kritieke verskaffers toegepas word?”
"Waar teken julle uitsonderings op julle standaardposisies aan?"
“Hoe beïnvloed kontrakveranderinge jou risikoregister?”

Jy kan antwoord met huidige, gekoppelde bewyse eerder as 'n lappieskombers van lêers.

Daardie vlak van struktuur dui aan kliënte, ouditeure en reguleerders dat jy verskaffer- en kliëntesekuriteit as 'n bestuurde dissipline bestuur. Dit wys dat jou kontrakte, jou ISMS en jou daaglikse gedrag almal ooreenstem, wat dit weer makliker maak om die soort kliënte te wen en te behou wat die meeste omgee vir derdeparty-risiko.