Valvonta 5.19 koskee organisaation velvollisuutta varmistaa, että toimittajapuolen tuotteita ja palveluita käytettäessä (mukaan lukien pilvipalveluntarjoajat) otetaan riittävästi huomioon ulkoisten järjestelmien käyttöön liittyvä riskitaso ja siitä mahdollisesti aiheutuvat vaikutukset heidän oma tietoturvan noudattaminen.
5.19 on ennaltaehkäisevä valvonta että muuttaa riskiä ylläpitämällä menettelyjä, jotka käsittelevät tuotteiden käyttöön liittyviä luontaisia turvallisuusriskejä ja kolmansien osapuolten tarjoamat palvelut.
Kun Control 5.20 käsittelee tietoturvaa toimittajasopimusten sisällä, Control 5.19 käsittelee laajasti noudattamista koko suhteen ajan.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Tunnistaa | #Toimittajasuhteiden turvallisuus | #Hallinto ja ekosysteemi #suojelu |
Aloimme käyttää laskentataulukoita ja se oli painajainen. ISMS.online-ratkaisulla kaikki kova työ tehtiin helpoksi.
Vaikka Control 5.19 sisältää paljon ohjeita ICT-palvelujen käytöstä, valvonnan laajempi kattavuus kattaa monia muita organisaation suhteita toimittajakantaan, mukaan lukien toimittajatyypit, logistiikka, apuohjelmat, rahoituspalvelut ja infrastruktuurikomponentit).
Sellaisenaan Control 5.19:n omistusoikeuden tulisi olla ylimmän johdon jäsenellä, joka valvoo organisaation kaupallista toimintaa ja ylläpitää suoraa suhdetta organisaation tavarantoimittajiin, kuten Chief Operating Officer.
Control 5.19:n noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa tietoturvaan toimittajasuhteissa.
Aihekohtaiset lähestymistavat rohkaisevat organisaatioita luomaan toimittajiin liittyviä käytäntöjä, jotka on räätälöity yksittäisiin liiketoimintatoimintoihin sen sijaan, että noudattaisivat kokonaisuutta. toimittajien hallintapolitiikka Tämä koskee kaikkia kolmansien osapuolien suhteita organisaation kaupallisessa toiminnassa.
On tärkeää huomata, että Control 5.19 pyytää organisaatiota ottamaan käyttöön politiikkoja ja menettelytapoja, jotka eivät ainoastaan ohjaa organisaation toimittajaresurssien ja pilvialustojen käyttöä, vaan myös muodostavat perustan sille, kuinka he odottavat toimittajiensa käyttäytyvän ennen toimikauden alkua ja sen aikana. kaupallinen suhde.
Sellaisenaan Control 5.19:ää voidaan pitää olennaisena ehdot täyttävänä asiakirjana, joka määrää, kuinka tietoturvan hallintaa käsitellään toimittajasopimuksen aikana.
Ohjaus 5.19 sisältää 14 pääohjetta, joita on noudatettava:
1) Ylläpidä tarkkaa kirjaa toimittajatyypeistä (esim. rahoituspalvelut, ICT-laitteet, puhelin), jotka voivat vaikuttaa tietoturvan eheyteen.
Noudattaminen – Laadi luettelo kaikista toimittajista, joiden kanssa organisaatiosi työskentelee, luokittele ne liiketoimintatehtäviensä mukaan ja lisää luokkia mainittuihin toimittajatyyppeihin tarpeen mukaan.
2) Ymmärrä, kuinka toimittajat testataan heidän toimittajatyypinsä riskitason perusteella.
Noudattaminen – Eri toimittajatyypit vaativat erilaisia due diligence -tarkastuksia. Harkitse toimittajakohtaisten tarkistusmenetelmien käyttöä (esim. toimialaviitteet, tilinpäätökset, paikan päällä tehdyt arvioinnit, alakohtaiset sertifioinnit, kuten Microsoft-kumppanuudet).
3) Tunnista toimittajat, joilla on valmiit tietoturvan hallintalaitteet.
Noudattaminen – Pyydä nähdäksesi kopiot toimittajien asiaankuuluvista tietoturvan hallintomenettelyistä, jotta voit arvioida omalle organisaatiollesi aiheutuvan riskin. Jos heillä ei ole niitä, se ei ole hyvä merkki.
4) Tunnista ja määrittele organisaatiosi ICT-infrastruktuurin erityisalueet, joita toimittajasi voivat joko käyttää, valvoa tai käyttää itse.
Noudattaminen – On tärkeää selvittää alusta alkaen tarkasti, kuinka toimittajasi aikovat olla vuorovaikutuksessa tieto- ja viestintätekniikan omaisuutesi kanssa – olivatpa ne fyysisiä tai virtuaalisia – ja minkä tasoisia käyttöoikeuksia heille myönnetään sopimusvelvoitteidensa mukaisesti.
5) Määrittele, miten toimittajien oma ICT-infrastruktuuri voi vaikuttaa omiin tietoihisi ja asiakkaidesi tietoihin.
Noudattaminen – Organisaation ensimmäinen velvollisuus on oma tietoturvastandardinsa noudattaminen. Toimittajan ICT-varat on arvioitava niiden mahdollisuuksien mukaan vaikuttaa käytettävyyteen ja eheyteen koko organisaatiossasi.
6) Tunnista ja hallitse erilaisia tietoturvariskejä liitteenä:
a. Toimittaja käyttää luottamuksellisia tietoja tai suojattua omaisuutta (esim. rajoitettu haitalliseen käyttöön ja/tai rikolliseen tarkoitukseen).
b. Viallinen toimittajalaitteisto tai viallinen ohjelmistoalusta, joka liittyy paikallisiin tai pilvipohjaisiin palveluihin.
Noudattaminen – Organisaatioiden on jatkuvasti oltava tietoisia katastrofeihin liittyvistä tietoturvariskeistä, kuten toimittajapuolen ilkeästä käyttäjien toiminnasta tai suurista odottamattomista ohjelmistotapauksista, ja niiden vaikutukset organisaation tietoturvaan.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
7) Tarkkaile tietoturvan noudattamista aihekohtaisesti tai toimittajatyypin perusteella.
Noudattaminen – Organisaation tarve arvostaa kunkin toimittajatyypin tietoturvavaikutuksia ja mukauttaa valvontatoimintaansa eritasoisten riskien mukaan.
8) Rajoita noudattamatta jättämisestä aiheutuneiden vahinkojen ja/tai häiriöiden määrää.
Noudattaminen – Toimittajatoimintaa tulee seurata tarkoituksenmukaisella tavalla ja vaihtelevassa määrin sen riskitason mukaisesti. Jos noudattamatta jättäminen havaitaan joko ennakoivasti tai reaktiivisesti, on ryhdyttävä välittömiin toimiin.
9) Ylläpitää a vankka tapaustenhallintamenettely joka kattaa kohtuullisen määrän ennakoimattomia tapauksia.
Noudattaminen – Organisaatioiden tulee ymmärtää tarkasti, miten niiden tulee reagoida, kun ne kohtaavat monenlaisia tapahtumia, jotka liittyvät kolmannen osapuolen tuotteiden ja palvelujen toimittamiseen, ja hahmotella korjaavia toimia, jotka koskevat sekä toimittajaa että organisaatiota.
10) Toteutetaan toimenpiteitä, jotka huolehtivat toimittajan tietojen saatavuudesta ja käsittelystä riippumatta siitä, missä niitä käytetään, ja näin varmistetaan organisaation oman tiedon eheys.
Noudattaminen – On pyrittävä varmistamaan, että toimittajajärjestelmiä ja tietoja käsitellään tavalla, joka ei vaaranna organisaation omien järjestelmien ja tietojen saatavuutta ja turvallisuutta.
11) Laadi perusteellinen koulutussuunnitelma, joka tarjoaa ohjeita siitä, miten henkilöstön tulee olla vuorovaikutuksessa toimittajahenkilöstön kanssa, ja tietoja toimittaja- tai tyyppikohtaisesti.
Noudattaminen – Koulutuksen tulisi kattaa koko organisaation ja sen toimittajien välinen hallinto, mukaan lukien sitoutuminen, rakeinen riskienhallinnan valvontaa ja aihekohtaiset menettelyt.
12) Ymmärrä ja hallitse riskitasoa, joka liittyy tiedon ja fyysisen ja virtuaalisen omaisuuden siirtämiseen organisaation ja toimittajien välillä.
Noudattaminen – Organisaatioiden tulee kartoittaa jokainen siirtoprosessin vaihe ja kouluttaa henkilöstöä omaisuuden siirtämiseen liittyvät riskit ja tietoa lähteestä toiseen.
13) Varmista, että toimittajasuhteet päätetään tietoturvallisuutta ajatellen, mukaan lukien käyttöoikeuksien ja organisaatiotietojen käyttöoikeuden poistaminen.
Noudattaminen – ICT-tiimeilläsi tulee olla selkeä käsitys siitä, kuinka toimittajan pääsy tietoihin voidaan peruuttaa, mukaan lukien:
14) Kuvaa tarkasti, kuinka odotat toimittajan käyttäytyvän fyysisten ja virtuaalisten turvatoimien suhteen.
Noudattaminen – Organisaatioiden tulee asettaa selkeät odotukset kaupallisten suhteiden alusta alkaen, ja ne määrittelevät, kuinka toimittajapuolen henkilöstön odotetaan käyttäytyvän ollessaan vuorovaikutuksessa henkilöstösi tai minkä tahansa asiaankuuluvan omaisuuden kanssa.
ISO myöntää, että ei aina ole mahdollista määrätä toimittajalle kaikkia käytäntöjä, jotka täyttävät kaikki yllä olevan luettelon vaatimukset, kuten Control 5.19 pyrkii, etenkään kun on kyse jäykistä julkisen sektorin organisaatioista.
Valvonta 5.19 sanoo kuitenkin selvästi, että organisaatioiden tulee käyttää yllä olevia ohjeita solmiessaan suhteita tavarantoimittajien kanssa ja harkita noudattamatta jättämistä tapauskohtaisesti.
Jos täydellistä vaatimustenmukaisuutta ei voida saavuttaa, Control 5.19 antaa organisaatioille liikkumavaraa suosittelemalla "kompensoivia valvontatoimia", joilla saavutetaan riittävä riskinhallintataso organisaation ainutlaatuisten olosuhteiden perusteella.
27002:2022-5.19 korvaa 27002:2013-5.1.1 (toimittajasuhteiden tietoturvakäytäntö).
27002:2022-5.19 noudattaa pääpiirteissään samoja vuoden 2013 ohjausobjektin taustalla olevia käsitteitä, mutta sisältää useita lisäohjeita, jotka joko jätetään pois kohdista 27002:2013-5.1.1 tai joita ei ainakaan käsitellä niin yksityiskohtaisesti, mukaan lukien:
27002:2022-5.19 tunnustaa myös toimittajasuhteiden erittäin vaihtelevan luonteen (tyypistä, toimialasta ja riskitasosta) ja antaa organisaatioille jonkin verran liikkumavaraa, kun se harkitsee mahdollisuutta, että jokin tietty ohjekohta ei noudateta, perustuen suhteen luonteeseen (katso "Lisäohjeet" yllä).
Käyttäminen ISMS.online voit:
Ilmaisen kokeilutilin luominen ja tarjoamiemme vaiheiden noudattaminen on helppoa.
Ota yhteyttä jo tänään varaa esittely.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
