ISO 27001:2022 liite A 5.20 – Tietoturvan käsitteleminen toimittajasopimuksissa

Mikä on ISO 27001:2022 liitteen A 5.20 tarkoitus?

ISO 27001 Liite A Ohjaus 5.20 ohjaa sitä, kuinka organisaatio tekee sopimuksen toimittajan kanssa heidän turvallisuusvaatimustensa perusteella. Tämä perustuu toimittajiin, joiden kanssa he työskentelevät.

Osana liitteen A valvontaa 5.20 organisaatioiden ja niiden toimittajien on sovittava keskenään hyväksyttävää tietoturvaa velvollisuudet ylläpitää riskiä.

Kenellä on liitteen A 5.20 omistusoikeus?

Liitteen Valvonta 5.20 tulee määräytyä sen mukaan, onko organisaatiolla oma lakiosasto, sekä allekirjoitetun sopimuksen luonne.

Toimitusketjun muutosten hallinta politiikkoja, menettelyjä ja valvontaa, mukaan lukien olemassa olevien tietoturvakäytäntöjen, -menettelyjen ja -valvontatoimenpiteiden ylläpito ja parantaminen, pidetään tehokkaana valvonnana.

Tämä määritetään ottamalla huomioon liiketoimintatiedon kriittisyys, muutoksen luonne, vaikuttavien toimittajien tyyppi/tyypit, mukana olevat järjestelmät ja prosessit sekä arvioimalla uudelleen riskitekijöitä. Toimittajan tarjoamia palveluita muutettaessa tulee ottaa huomioon myös suhteen läheisyys ja organisaation kyky vaikuttaa muutokseen tai hallita sitä.

5.20:n omistusoikeus kuuluu henkilölle, joka on vastuussa oikeudellisesti sitovista sopimuksista organisaation sisällä (sopimukset, yhteisymmärrysmuistiot, palvelutason sopimukset jne.), jos organisaatiolla on oikeuskelpoisuus laatia, muuttaa ja tallentaa sopimussopimuksiaan ilman osallistumista. kolmansilta osapuolilta.

Organisaation ylimmän johdon jäsenen, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoria suhteita sen toimittajiin, tulee ottaa vastuu liitteen A valvonnasta 5.20, jos organisaatio ulkoistaa tällaiset sopimukset.

ISO 27001:2022 Liite A 5.20 Yleiset ohjeet

Liitteen A ohjaus 5.20 sisältää 25 ohjekohtaa, jotka ISO-tilojen on "mahdollista harkita" (eli ei välttämättä kaikkia) organisaatioille täyttääkseen tietoturvavaatimukset.

Liite A Valvonta 5.20 määrittelee, että toteutetuista toimenpiteistä riippumatta molempien osapuolten on poistuttava prosessista "selkeästi" toistensa tietoturvavelvoitteista.

1. On tärkeää antaa selkeä kuvaus tiedoista, joita on käytettävä, ja siitä, miten tietoihin päästään.
2. Organisaatioiden tulee luokitella tiedot julkaistujen luokitusjärjestelmiensä mukaan (katso liitteen A kontrollit 5.10, 5.12 ja 5.13).
3. Tietojen luokitus toimittajan puolella on otettava huomioon, miten se liittyy organisaation puoleen.
4. Yleensä molempien osapuolten oikeudet voidaan jakaa neljään luokkaan: lakisääteiset, lakisääteiset, sääntelevät ja sopimusoikeudelliset. Kuten kaupallisissa sopimuksissa on tavanomaista, näillä neljällä alueella on määriteltävä selkeästi erilaisia ​​velvoitteita, mukaan lukien pääsy henkilökohtaisiin tietoihin, immateriaalioikeudet ja tekijänoikeussäännökset. Sopimuksen tulee kattaa myös se, miten näitä avainalueita käsitellään erikseen.
5. Osana liitteen A valvontajärjestelmää kutakin osapuolta olisi vaadittava toteuttamaan samanaikaisesti toimenpiteitä, jotka on suunniteltu tietoturvariskien seuraamiseksi, arvioimiseksi ja hallitsemiseksi (kuten pääsynvalvontakäytännöt, sopimusten tarkastelut, seuranta, raportointi ja määräajoin tapahtuva auditointi). Lisäksi sopimuksessa tulee selkeästi todeta, että toimittajahenkilöstön tulee noudattaa organisaation tietoturvastandardeja (ks. ISO 27001 Liite A Ohjaus 5.20).
6. Molempien osapuolten on ymmärrettävä selkeästi, mitä tietojen sekä fyysisten ja virtuaalisten varojen käyttö on hyväksyttävää ja ei-hyväksyttävää.
7. Jotta varmistetaan, että toimittajapuolen henkilöstö voi päästä käsiksi ja tarkastella organisaation tietoja, on otettava käyttöön menettelyt (esim. toimittajapuolen auditoinnit ja palvelimen pääsynvalvonta).
8. Toimittajan ICT-infrastruktuurin huomioimisen lisäksi on tärkeää ymmärtää, miten se liittyy siihen tietoon, jota organisaatio saa käyttöönsä. Tämä on organisaation liiketoiminnan ydinvaatimusten lisäksi.
9. Jos toimittaja rikkoo sopimusta tai ei noudata yksittäisiä ehtoja, organisaation tulee harkita, mihin toimenpiteisiin se voi ryhtyä.
10. Erityisesti sopimuksessa tulee kuvata keskinäinen tapausten hallintamenettely, joka selventää, kuinka ongelmia tulee käsitellä niiden ilmaantuessa. Tämä sisältää sen, kuinka molempien osapuolten tulisi kommunikoida tapauksen sattuessa.
11. Molempien osapuolten olisi järjestettävä riittävä tietoisuuskoulutus (jos vakiokoulutus ei ole riittävä) sopimuksen keskeisillä aloilla, erityisesti riskialoilla, kuten vaaratilanteiden hallinta ja tiedonjako.
12. Alihankkijoiden käyttöön olisi kiinnitettävä riittävästi huomiota. Organisaatioiden tulee varmistaa, että mikäli toimittaja saa käyttää alihankkijoita, tällaiset henkilöt tai yritykset noudattavat samoja tietoturvastandardeja kuin toimittaja.
13. Sikäli kuin se on laillisesti ja toiminnallisesti mahdollista, organisaatioiden tulee harkita, kuinka tavarantoimittajien henkilöstö seulotaan ennen kuin ne ovat vuorovaikutuksessa heidän tietojensa kanssa. Lisäksi heidän tulee harkita, miten seulonnat kirjataan ja niistä raportoidaan organisaatiolle, mukaan lukien turvatarkastuksen suorittamattomat henkilöt ja huolenaiheet.
14. Kolmannen osapuolen todistus, kuten riippumaton raportit ja kolmannen osapuolen auditoinnit, organisaatioiden tulee vaatia toimittajilta, jotka noudattavat tietoturvavaatimuksiaan.
15. ISO 27001:2022 liite A Valvonta 5.20 edellyttää, että organisaatioilla on oikeus arvioida ja auditoida toimittajiensa toimintatapoja.
16. Toimittajaa tulee vaatia toimittamaan säännöllisin väliajoin raportteja (vaihtelevin väliajoin), joissa esitetään yhteenveto prosessien ja menettelyjen tehokkuudesta ja siitä, kuinka se aikoo käsitellä esiin tulleita ongelmia.
17. Suhteen aikana sopimukseen tulee sisältyä toimenpiteitä sen varmistamiseksi, että mahdolliset puutteet tai ristiriidat ratkaistaan ​​ajoissa ja perusteellisesti.
18. Toimittajan tulee ottaa käyttöön asianmukainen BUDR-käytäntö, joka on räätälöity vastaamaan organisaation tarpeita ja jossa otetaan huomioon kolme keskeistä näkökohtaa: a) Varmuuskopiointityyppi (täysi palvelin, tiedosto ja kansio, inkrementaalinen), b) Varmuuskopiointitiheys (päivittäin, viikoittain jne.). ) C) Varmuuskopiointipaikka ja lähdemedia (paikan päällä, muualla).
19. Tietojen sietokyvyn varmistaminen on tärkeää toimimalla toimittajan päätoimipisteestä erillään olevasta katastrofipalautuslaitoksesta. Tämä laitos ei ole saman riskitason alainen kuin pääasiallinen ICT-paikka.
20. Toimittajien tulee ylläpitää kattavaa muutoksenhallintapolitiikkaa, jonka avulla organisaatio voi hylätä tietoturvaan mahdollisesti vaikuttavat muutokset etukäteen.
21. Fyysiset turvatarkastukset tulee toteuttaa sen mukaan, mihin tietoihin heillä on pääsy (rakennukseen pääsy, vierailijoiden pääsy, huoneiden pääsy, työpöydän turvallisuus).
22. Aina kun tietoja siirretään omaisuuden, sivustojen, palvelimien tai tallennuspaikkojen välillä, toimittajien tulee varmistaa, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai korruptiolta.
23. Osana sopimusta kumpikin osapuoli tulee velvoittaa toteuttamaan kattava luettelo toimenpiteistä irtisanomisen yhteydessä (katso liite A Valvonta 5.20). Näitä toimia ovat (mutta eivät rajoitu): a) omaisuuden luovuttaminen ja/tai siirto, b) tietojen poistaminen, c) IP:n palauttaminen, d) käyttöoikeuksien poistaminen e) jatkuvat luottamuksellisuusvelvoitteet.
24. Kohdan 23 lisäksi toimittajan tulee keskustella yksityiskohtaisesti siitä, miten se aikoo tuhota/pysyvästi poistaa organisaation tiedot, kun niitä ei enää tarvita (ts. sopimuksen päätyttyä).
25. Aina kun sopimus päättyy ja ilmenee tarve siirtää tukea ja/tai palveluita toiselle palveluntarjoajalle, jota ei ole listattu sopimuksessa, pyritään varmistamaan, että liiketoiminta ei keskeydy.

Mukana olevat liitteen A valvontalaitteet

• ISO 27001:2022 Liite A 5.10
• ISO 27001:2022 Liite A 5.12
• ISO 27001:2022 Liite A 5.13
• ISO 27001:2022 Liite A 5.20

Liitettä A koskevat lisäohjeet 5.20

Liite A Valvonta 5.20 suosittelee, että organisaatiot pitävät sopimusrekisteriä, joka auttaa niitä hallitsemaan toimittajasuhteitaan.

Kirjaa kaikista muiden organisaatioiden kanssa tehdyistä sopimuksista tulee säilyttää suhteiden luonteen mukaan luokiteltuna. Tämä sisältää sopimukset, yhteisymmärryspöytäkirjat ja tiedon jakamiseen liittyvät sopimukset.

Mitkä ovat muutokset ISO 27001:2013:sta?

Muutos ISO 27001:2013 liitteeseen A 15.1.2 (Turvallisuus toimittajasopimuksissa) on tehty ISO 27001: 2022 Liite A Valvonta 5.20.

Useita lisäohjeita on ISO 5.20:27001:n liitteen A Control 2022, jotka koskevat monia teknisiä, oikeudellisia ja vaatimustenmukaisuuteen liittyviä kysymyksiä, mukaan lukien:

• Luovutusmenettely.
• Tiedon tuhoaminen.
• Irtisanomista koskevat säännökset.
• Säätimet fyysistä turvallisuutta varten.
• Muutoksen hallinta.
• Tietojen redundanssi ja varmuuskopiot.

Yleissääntönä on, että ISO 27001:2022 Liite A 5.20 korostaa, kuinka toimittaja saavuttaa redundanssin ja tietojen eheyden koko sopimuksen ajan.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

Mitä hyötyä on ISMS.onlinen käyttämisestä toimittajasuhteissa?

Vaiheittainen tarkistuslista opastaa sinut läpi koko ISO 27001 käyttöönottoprosessiISMS:n laajuuden määrittämisestä riskien tunnistamiseen ja valvontatoimien toteuttamiseen.

ISMS.onlinen helppokäyttöisen Accounts-suhteet (esim. toimittaja) -alueen avulla voit varmistaa, että suhteesi valitaan huolellisesti, hoidetaan hyvin elämässä sekä seurataan ja tarkistetaan. ISMS.onlinen yhteistyöprojektien työtilat ovat helposti saavuttaneet tämän ohjaustavoitteen. Nämä työtilat ovat hyödyllisiä toimittajalle koneeseen nousemisessa, yhteisissä aloitteissa, offboardissa jne., joita myös tarkastaja voi tarvittaessa tarkastella helposti.

Olemme myös helpottaneet tätä valvontatavoitetta organisaatiollesi mahdollistamalla sen, että voit osoittaa, että toimittaja on virallisesti sitoutunut noudattamaan vaatimuksia. Tämä tehdään meidän kauttamme Käytäntöpaketit. Nämä käytäntöpaketit ovat erityisen hyödyllisiä organisaatioille, joilla on erityisiä käytäntöjä ja valvontatoimia, joita ne haluavat toimittajiensa noudattavan, jotta he voivat luottaa siihen, että heidän toimittajansa ovat lukeneet nämä käytännöt ja sitoutuneet noudattamaan niitä.

Muutoksen luonteesta riippuen (esim. oleellisemmissa muutoksissa) muutos saattaa olla tarpeen mukauttaa A.6.1.5:n tietoturva projektinhallinnassa.

Varaa demo tänään.