ISO 27002:2022 – Valvonta 5.20 – Tietoturvan käsitteleminen toimittajasopimuksissa

ISO 27002:2022 Control 5.20 varmistaa, että organisaatiot määrittelevät toimittajasopimuksissa selkeät tietoturvavelvoitteet riskien vähentämiseksi, määrittelevät vastuut, lainmukaisuuden ja turvatarkastukset toimittajasuhteen alussa.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 10
LinkedIn Twitter Twitter

Valvonnan tarkoitus 5.20

Valvonta 5.20 säätelee, kuinka organisaatio muodostaa sopimuksen suhde toimittajaanniiden turvallisuusvaatimusten ja niiden toimittajien tyypin perusteella.

5.20 on ennaltaehkäisevä valvonta että ylläpitää riskiä asettamalla tietoturvaa käsittelevien organisaatioiden ja niiden toimittajien välille molempia osapuolia tyydyttäviä velvoitteita.

Sen sijaan Control 5.19 hallitsee tietoturvaa kauttaaltaan suhde, Control 5.20 on huolissaan siitä, miten organisaatiot muodostavat sitovia sopimuksia Alkaa suhteesta.

Ohjauksen ominaisuudet 5.20

OhjausTietoturvaominaisuudetKyberturvallisuuden käsitteetToiminnalliset valmiudetTurvallisuus Domains
#Ennaltaehkäisevä#Luottamuksellisuus#Tunnistaa#Toimittajasuhteiden turvallisuus#Hallinto ja ekosysteemi
#Integrity#Suojaus
#Saatavuus

Määräysvallan omistus 5.20

Hallinto-oikeuden omistus 5.20 on riippuvainen siitä, onko organisaatiolla oma lakiosasto, ja minkä tahansa allekirjoitetun sopimuksen taustalla olevasta luonteesta.

Jos organisaatiolla on oikeuskelpoisuus laatia, muuttaa ja tallentaa omia sopimussopimuksiaan ilman kolmannen osapuolen osallistumista, 5.20:n omistusoikeus kuuluu henkilölle, jolla on lopullinen vastuu organisaation oikeudellisesti sitovista sopimuksista (sopimukset, yhteisymmärrysmuistiot, SLA-sopimukset jne. .)

Jos organisaatio ulkoistaa tällaiset sopimukset, Control 5.20:n omistusoikeus tulisi olla ylimmän johdon jäsenellä, joka valvoo organisaation kaupallinen toiminta, ja ylläpitää suoraa suhdetta organisaation toimittajiin, kuten a Chief Operating Officer.



Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Yleiset valvontaohjeet 5.20

Ohjaus 5.20 sisältää 25 ohjekohtaa, jotka ISO-tila "voidaan ottaa huomioon" (eli ei välttämättä kaikkia) organisaation tietoturvavaatimusten täyttämiseksi.

Riippumatta siitä, mitä toimenpiteitä toteutetaan, Control 5.20 sanoo nimenomaisesti, että molempien osapuolten tulee poistua prosessista "selkeästi" tietoturvavelvoitteistaan ​​toisiaan kohtaan.

  1. On annettava selkeä kuvaus, jossa kerrotaan yksityiskohtaisesti, mitä tietoja on käytettävä millä tahansa tavalla ja kuinka kyseiset tiedot aiotaan käyttää.
  2. Organisaation tulee luokitella käytettävät tiedot julkaistun luokitusjärjestelmän mukaisesti (katso Control 5.10, Control 5.12 ja Control 5.13).
  3. Toimittajapuolen luokittelujärjestelmää ja sitä, miten se liittyy organisaation tietojen luokitukseen, tulee ottaa riittävästi huomioon.
  4. Molempien osapuolten oikeudet tulisi luokitella neljään pääalueeseen – oikeudellisiin, lakisääteisiin, säännöksiin ja sopimuksiin. Näillä neljällä alueella on eriteltävä selkeästi erilaisia ​​velvoitteita, kuten kaupallisissa sopimuksissa on tapana, mukaan lukien henkilökohtaisten tunnistetietojen käyttö, immateriaalioikeudet ja tekijänoikeusmääräykset. Sopimuksen olisi myös katettava, kuinka kutakin näistä avainalueista käsitellään vuorotellen.
  5. Jokaisen osapuolen tulisi olla velvollinen ottamaan käyttöön useita samanaikaisia ​​valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietoturvariski tasot (kuten kulunvalvontakäytännöt, sopimusten tarkastelut, järjestelmien seuranta, raportointi ja määräajoin auditointi). Lisäksi sopimuksessa tulee selkeästi hahmotella toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. Valvonta 5.20).
  6. Kummankin osapuolen tietojen sekä fyysisen ja virtuaalisen omaisuuden sekä hyväksyttävän että ei-hyväksyttävän käytön tulee olla selkeästi ymmärrettävissä.
  7. Olisi otettava käyttöön menettelyt, jotka koskevat toimittajapuolen henkilöstöltä vaadittavia valtuutustasoja päästäkseen käsiksi tai tarkastelemaan organisaation tietoja (esim. valtuutetut käyttäjäluettelot, toimittajapuolen auditoinnit, palvelimen pääsynvalvonta).
  8. Tietoturvaa tulee harkita toimittajan oman ICT-infrastruktuurin rinnalla ja miten se liittyy siihen tietotyyppiin, jolle organisaatio on antanut pääsyn, riskikriteerit ja organisaation liiketoiminnan perusvaatimukset.
  9. On harkittava, mihin toimiin organisaatio voi ryhtyä, jos toimittaja rikkoo sopimusta tai ei noudata yksittäisiä määräyksiä.
  10. Sopimuksessa tulee selkeästi hahmotella keskinäinen Tapahtumanhallintamenettely Se määrittelee selkeästi, mitä on tapahduttava ongelmien ilmetessä, erityisesti mitä tulee tapahtumaan viestimiseen molempien osapuolten välillä.
  11. Henkilökuntaa molemmilta osapuolilta tulisi antaa riittävä tietoisuuskoulutus (jos vakiokoulutus ei ole riittävä) sopimuksen keskeisillä aloilla, erityisesti koskien keskeisiä riskialueita, kuten vaaratilanteiden hallinta ja tiedonsaanti.
  12. Alihankkijoiden käyttöön tulee kiinnittää riittävästi huomiota. Jos toimittajalla on lupa käyttää alihankkijoita, organisaatioiden tulee ryhtyä toimiin varmistaakseen, että kaikki tällaiset henkilöt tai yritykset noudattavat samoja tietoturvavaatimuksia kuin toimittaja.
  13. Jos se on laillisesti mahdollista ja toiminnallisesti olennaista, organisaatioiden tulee harkita, kuinka tavarantoimittajien henkilöstö seulotaan ennen kuin he ovat vuorovaikutuksessa heidän tietoihinsa, ja kuinka seulonta kirjataan ja raportoidaan organisaatiolle, mukaan lukien turvatarkastuksen suorittamattomat henkilöt ja huolenaiheet.
  14. Organisaatioiden tulee määrätä, että tarvitaan kolmannen osapuolen todistuksia, jotka varmistavat toimittajan kyvyn täyttää organisaation tietoturvavaatimukset, mukaan lukien riippumattomat raportit ja kolmannen osapuolen auditoinnit.
  15. Organisaatioilla tulee olla sopimusoikeus arvioida ja auditoida toimittajan valvontaan liittyviä menettelyjä 5.20.
  16. Tavarantoimittajilla tulisi olla velvollisuus toimittaa raportteja (vaihtelevan väliajoin), jotka kattavat heidän omien prosessiensa ja menettelyjensä tehokkuuden ja sen, kuinka he aikovat käsitellä raportissa esiin tuotuja ongelmia.
  17. Sopimuksen tulee ryhtyä toimenpiteisiin varmistaakseen, että kaikki suhteen aikana ilmenevät puutteet tai ristiriidat ratkaistaan ​​oikea-aikaisesti ja perusteellisesti.
  18. Tarvittaessa toimittajan tulee noudattaa vankkaa BUDR-politiikkaa organisaation tarpeiden mukaisesti, joka kattaa kolme päänäkökohtaa:

    a) Varmuuskopion tyyppi (täysi palvelin, tiedosto ja kansio jne., inkrementaalinen jne.)
    b) Varmuuskopiointitiheys (päivittäin, viikoittain jne.)
    c) Varmuuskopiointipaikka ja lähdemedia (paikan päällä, ulkopuolella)

  19. Tietojen sietokyky tulisi saavuttaa toimimalla hätäpalautuspaikalla, joka on erillään toimittajan päätoimipaikasta ja johon ei kohdistu samaa riskitasoa.
  20. Toimittajan tulee toimia a kattava muutoksenhallintapolitiikka joka ilmoittaa etukäteen organisaatiolle muutoksista, jotka voivat vaikuttaa tietoturvaan, ja antaa organisaatiolle mahdollisuuden hylätä muutokset.
  21. Fyysiset turvatarkastukset (rakennuksen sisäänpääsy, vierailijoiden pääsy, huoneiden sisäänpääsy, työpöydän turvallisuus) tulee säätää, jotka liittyvät siihen, minkä tyyppiseen tietoon heillä on pääsy.
  22. Kun on tarvetta siirtää tiedot omaisuuden välillä, sivustot, palvelimet tai tallennuspaikat, toimittajan tulee varmistaa, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai vioittumiselta koko prosessin ajan.
  23. Sopimuksessa tulee sisältää kattava luettelo toimenpiteistä, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä (katso myös Valvonta 5.20), mukaan lukien (mutta ei rajoittuen):

    a) Omaisuuden luovutus ja/tai siirto
    b) Tietojen poistaminen
    c) IP:n palautus
    d) Käyttöoikeuksien poistaminen
    e) Jatkuvat salassapitovelvollisuudet

  24. Kohdan 23 lisäksi toimittajan tulee hahmotella tarkasti, kuinka se aikoo tuhota/pysyvästi poistaa organisaation tiedot heti, kun niitä ei enää tarvita (eli irtisanomisen yhteydessä).
  25. Jos sopimuksen päätyttyä tulee tarve luovuttaa tuki ja/tai palvelut toiselle palveluntarjoajalle, jota ei ole mainittu sopimuksessa, toimenpiteillä varmistetaan, että prosessi ei aiheuta liiketoiminnan keskeytyksiä.

Ohjaimet tukevat

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Täydentävä opas

Auttaakseen organisaatioita toimittajasuhteiden hallinnassa, Control 5.20 sanoo, että organisaatioiden tulee ylläpitää a sopimusrekisteri.

Rekistereissä tulee luetella kaikki muiden organisaatioiden kanssa tehdyt sopimukset, jotka on luokiteltu suhteen luonteen mukaan, esim. sopimukset, yhteisymmärryspöytäkirjat ja tiedonjakosopimuksia.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2022-5.20 korvaa standardin 27002:2013-15.1.2 (turvallisuuden käsitteleminen toimittajasopimuksissa).

ISO 27002:2022-5.20 sisältää lukuisia lisäohjeita, jotka koskevat laajaa valikoimaa teknisiä, juridisia ja vaatimustenmukaisuuteen liittyviä aiheita, mukaan lukien:

  • Luovutusmenettelyt
  • Tiedon tuhoaminen
  • Irtisanomislausekkeet
  • Fyysiset turvatarkastukset
  • Muutoksen hallinta
  • Varmuuskopiot ja tiedon redundanssi

Yleisesti ottaen ISO 27002:2022-5.20 painottaa paljon enemmän sitä, mitä tapahtuu toimittajasuhteen lopussa, ja antaa paljon enemmän merkitystä sille, kuinka toimittaja saavuttaa redundanssin ja tietojen eheyden koko sopimuksen keston ajan.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.7UusiUhan älykkyys
5.23UusiTietoturva pilvipalvelujen käyttöön
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
7.4UusiFyysisen turvallisuuden valvonta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.16UusiToimien seuranta
8.23UusiWeb-suodatus
8.28UusiTurvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.105.1.1, 05.1.2Tietoturvakäytännöt
5.206.1.1Tietoturvaroolit ja -vastuut
5.306.1.2Tehtävien eriyttäminen
5.407.2.1Johdon vastuut
5.506.1.3Yhteys viranomaisiin
5.606.1.4Ota yhteyttä erityisiin eturyhmiin
5.7UusiUhan älykkyys
5.806.1.5, 14.1.1Tietoturva projektinhallinnassa
5.908.1.1, 08.1.2Tietojen ja muiden niihin liittyvien varojen luettelo
5.1008.1.3, 08.2.3Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.1108.1.4Omaisuuden palautus
5.1208.2.1Tietojen luokitus
5.1308.2.2Tietojen merkitseminen
5.1413.2.1, 13.2.2, 13.2.3Tietojen siirto
5.1509.1.1, 09.1.2Kulunvalvonta
5.1609.2.1Identiteettihallinta
5.1709.2.4, 09.3.1, 09.4.3Todennustiedot
5.1809.2.2, 09.2.5, 09.2.6Käyttöoikeudet
5.1915.1.1Tietoturva toimittajasuhteissa
5.2015.1.2Tietoturvan huomioiminen toimittajasopimuksissa
5.2115.1.3Tietoturvan hallinta ICT-toimitusketjussa
5.2215.2.1, 15.2.2Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23UusiTietoturva pilvipalvelujen käyttöön
5.2416.1.1Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.2516.1.4Tietoturvatapahtumien arviointi ja päätös
5.2616.1.5Tietoturvahäiriöihin reagointi
5.2716.1.6Tietoturvahäiriöistä oppiminen
5.2816.1.7Todisteiden kerääminen
5.2917.1.1, 17.1.2, 17.1.3Tietoturva häiriön aikana
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
5.3118.1.1, 18.1.5Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.3218.1.2Immateriaalioikeudet
5.3318.1.3Tietueiden suojaus
5.3418.1.4Yksityisyys ja henkilötietojen suoja
5.3518.2.1Riippumaton tietoturvatarkastus
5.3618.2.2, 18.2.3Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.3712.1.1Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
6.107.1.1Seulonta
6.207.1.2Työsuhteen ehdot
6.307.2.2Tietoturvatietoisuus, koulutus ja koulutus
6.407.2.3Kurinpitoprosessi
6.507.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.613.2.4Luottamuksellisuus- tai salassapitosopimukset
6.706.2.2Etätyö
6.816.1.2, 16.1.3Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
7.111.1.1Fyysisen turvallisuuden rajat
7.211.1.2, 11.1.6Fyysinen sisääntulo
7.311.1.3Toimistojen, huoneiden ja tilojen turvaaminen
7.4UusiFyysisen turvallisuuden valvonta
7.511.1.4Suojautuminen fyysisiltä ja ympäristöuhkilta
7.611.1.5Työskentely turvallisilla alueilla
7.711.2.9Selkeä pöytä ja selkeä näyttö
7.811.2.1Laitteiden sijoitus ja suojaus
7.911.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Tallennusvälineet
7.1111.2.2Apuohjelmia tukevat
7.1211.2.3Kaapeloinnin turvallisuus
7.1311.2.4Laitehuolto
7.1411.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
8.106.2.1, 11.2.8Käyttäjän päätelaitteet
8.209.2.3Etuoikeutetut käyttöoikeudet
8.309.4.1Tiedon pääsyn rajoitus
8.409.4.5Pääsy lähdekoodiin
8.509.4.2Turvallinen todennus
8.612.1.3Kapasiteetin hallinta
8.712.2.1Suojaus haittaohjelmia vastaan
8.812.6.1, 18.2.3Teknisten haavoittuvuuksien hallinta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.1312.3.1Tietojen varmuuskopiointi
8.1417.2.1Tietojenkäsittelylaitteiden redundanssi
8.1512.4.1, 12.4.2, 12.4.3Hakkuu
8.16UusiToimien seuranta
8.1712.4.4Kellon synkronointi
8.1809.4.4Etuoikeutettujen apuohjelmien käyttö
8.1912.5.1, 12.6.2Ohjelmistojen asennus käyttöjärjestelmiin
8.2013.1.1Verkkojen turvallisuus
8.2113.1.2Verkkopalvelujen turvallisuus
8.2213.1.3Verkkojen erottelu
8.23UusiWeb-suodatus
8.2410.1.1, 10.1.2Salaustekniikan käyttö
8.2514.2.1Turvallinen kehityksen elinkaari
8.2614.1.2, 14.1.3Sovelluksen suojausvaatimukset
8.2714.2.5Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28UusiTurvallinen koodaus
8.2914.2.8, 14.2.9Tietoturvatestausta kehitetään ja hyväksytään
8.3014.2.7Ulkoistettu kehitys
8.3112.1.4, 14.2.6Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Muutoksen hallinta
8.3314.3.1Testitiedot
8.3412.7.1Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.

Ota yhteyttä jo tänään varaa esittely.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!