Hyppää sisältöön
ISMS.online

ISO 27002:2022 – Valvonta 5.20 – Tietoturvan käsitteleminen toimittajasopimuksissa

ISO 27002:2022 Control 5.20 varmistaa, että organisaatiot määrittelevät toimittajasopimuksissa selkeät tietoturvavelvoitteet riskien vähentämiseksi, määrittelevät vastuut, lainmukaisuuden ja turvatarkastukset toimittajasuhteen alussa.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

Valvonnan tarkoitus 5.20

Valvonta 5.20 säätelee, kuinka organisaatio muodostaa sopimuksen suhde toimittajaanniiden turvallisuusvaatimusten ja niiden toimittajien tyypin perusteella.

5.20 on ennaltaehkäisevä valvonta että ylläpitää riskiä asettamalla tietoturvaa käsittelevien organisaatioiden ja niiden toimittajien välille molempia osapuolia tyydyttäviä velvoitteita.

Sen sijaan Control 5.19 hallitsee tietoturvaa kauttaaltaan suhde, Control 5.20 on huolissaan siitä, miten organisaatiot muodostavat sitovia sopimuksia Alkaa suhteesta.

Ohjauksen ominaisuudet 5.20

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Tunnistaa #Toimittajasuhteiden turvallisuus #Hallinto ja ekosysteemi
#Integrity #Suojaus
#Saatavuus

Määräysvallan omistus 5.20

Hallinto-oikeuden omistus 5.20 on riippuvainen siitä, onko organisaatiolla oma lakiosasto, ja minkä tahansa allekirjoitetun sopimuksen taustalla olevasta luonteesta.

Jos organisaatiolla on oikeuskelpoisuus laatia, muuttaa ja tallentaa omia sopimussopimuksiaan ilman kolmannen osapuolen osallistumista, 5.20:n omistusoikeus kuuluu henkilölle, jolla on lopullinen vastuu organisaation oikeudellisesti sitovista sopimuksista (sopimukset, yhteisymmärrysmuistiot, SLA-sopimukset jne. .)

Jos organisaatio ulkoistaa tällaiset sopimukset, Control 5.20:n omistusoikeus tulisi olla ylimmän johdon jäsenellä, joka valvoo organisaation kaupallinen toiminta, ja ylläpitää suoraa suhdetta organisaation toimittajiin, kuten a Chief Operating Officer.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Yleiset valvontaohjeet 5.20

Ohjaus 5.20 sisältää 25 ohjekohtaa, jotka ISO-tila "voidaan ottaa huomioon" (eli ei välttämättä kaikkia) organisaation tietoturvavaatimusten täyttämiseksi.

Riippumatta siitä, mitä toimenpiteitä toteutetaan, Control 5.20 sanoo nimenomaisesti, että molempien osapuolten tulee poistua prosessista "selkeästi" tietoturvavelvoitteistaan ​​toisiaan kohtaan.

  1. On annettava selkeä kuvaus, jossa kerrotaan yksityiskohtaisesti, mitä tietoja on käytettävä millä tahansa tavalla ja kuinka kyseiset tiedot aiotaan käyttää.
  2. Organisaation tulee luokitella käytettävät tiedot julkaistun luokitusjärjestelmän mukaisesti (katso Control 5.10, Control 5.12 ja Control 5.13).
  3. Toimittajapuolen luokittelujärjestelmää ja sitä, miten se liittyy organisaation tietojen luokitukseen, tulee ottaa riittävästi huomioon.
  4. Molempien osapuolten oikeudet tulisi luokitella neljään pääalueeseen – oikeudellisiin, lakisääteisiin, säännöksiin ja sopimuksiin. Näillä neljällä alueella on eriteltävä selkeästi erilaisia ​​velvoitteita, kuten kaupallisissa sopimuksissa on tapana, mukaan lukien henkilökohtaisten tunnistetietojen käyttö, immateriaalioikeudet ja tekijänoikeusmääräykset. Sopimuksen olisi myös katettava, kuinka kutakin näistä avainalueista käsitellään vuorotellen.
  5. Jokaisen osapuolen tulisi olla velvollinen ottamaan käyttöön useita samanaikaisia ​​valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietoturvariski tasot (kuten kulunvalvontakäytännöt, sopimusten tarkastelut, järjestelmien seuranta, raportointi ja määräajoin auditointi). Lisäksi sopimuksessa tulee selkeästi hahmotella toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. Valvonta 5.20).
  6. Kummankin osapuolen tietojen sekä fyysisen ja virtuaalisen omaisuuden sekä hyväksyttävän että ei-hyväksyttävän käytön tulee olla selkeästi ymmärrettävissä.
  7. Olisi otettava käyttöön menettelyt, jotka koskevat toimittajapuolen henkilöstöltä vaadittavia valtuutustasoja päästäkseen käsiksi tai tarkastelemaan organisaation tietoja (esim. valtuutetut käyttäjäluettelot, toimittajapuolen auditoinnit, palvelimen pääsynvalvonta).
  8. Tietoturvaa tulee harkita toimittajan oman ICT-infrastruktuurin rinnalla ja miten se liittyy siihen tietotyyppiin, jolle organisaatio on antanut pääsyn, riskikriteerit ja organisaation liiketoiminnan perusvaatimukset.
  9. On harkittava, mihin toimiin organisaatio voi ryhtyä, jos toimittaja rikkoo sopimusta tai ei noudata yksittäisiä määräyksiä.
  10. Sopimuksessa tulee selkeästi hahmotella keskinäinen Tapahtumanhallintamenettely Se määrittelee selkeästi, mitä on tapahduttava ongelmien ilmetessä, erityisesti mitä tulee tapahtumaan viestimiseen molempien osapuolten välillä.
  11. Henkilökuntaa molemmilta osapuolilta tulisi antaa riittävä tietoisuuskoulutus (jos vakiokoulutus ei ole riittävä) sopimuksen keskeisillä aloilla, erityisesti koskien keskeisiä riskialueita, kuten vaaratilanteiden hallinta ja tiedonsaanti.
  12. Alihankkijoiden käyttöön tulee kiinnittää riittävästi huomiota. Jos toimittajalla on lupa käyttää alihankkijoita, organisaatioiden tulee ryhtyä toimiin varmistaakseen, että kaikki tällaiset henkilöt tai yritykset noudattavat samoja tietoturvavaatimuksia kuin toimittaja.
  13. Jos se on laillisesti mahdollista ja toiminnallisesti olennaista, organisaatioiden tulee harkita, kuinka tavarantoimittajien henkilöstö seulotaan ennen kuin he ovat vuorovaikutuksessa heidän tietoihinsa, ja kuinka seulonta kirjataan ja raportoidaan organisaatiolle, mukaan lukien turvatarkastuksen suorittamattomat henkilöt ja huolenaiheet.
  14. Organisaatioiden tulee määrätä, että tarvitaan kolmannen osapuolen todistuksia, jotka varmistavat toimittajan kyvyn täyttää organisaation tietoturvavaatimukset, mukaan lukien riippumattomat raportit ja kolmannen osapuolen auditoinnit.
  15. Organisaatioilla tulee olla sopimusoikeus arvioida ja auditoida toimittajan valvontaan liittyviä menettelyjä 5.20.
  16. Tavarantoimittajilla tulisi olla velvollisuus toimittaa raportteja (vaihtelevan väliajoin), jotka kattavat heidän omien prosessiensa ja menettelyjensä tehokkuuden ja sen, kuinka he aikovat käsitellä raportissa esiin tuotuja ongelmia.
  17. Sopimuksen tulee ryhtyä toimenpiteisiin varmistaakseen, että kaikki suhteen aikana ilmenevät puutteet tai ristiriidat ratkaistaan ​​oikea-aikaisesti ja perusteellisesti.
  18. Tarvittaessa toimittajan tulee noudattaa vankkaa BUDR-politiikkaa organisaation tarpeiden mukaisesti, joka kattaa kolme päänäkökohtaa:

    a) Varmuuskopion tyyppi (täysi palvelin, tiedosto ja kansio jne., inkrementaalinen jne.)
    b) Varmuuskopiointitiheys (päivittäin, viikoittain jne.)
    c) Varmuuskopiointipaikka ja lähdemedia (paikan päällä, ulkopuolella)

  19. Tietojen sietokyky tulisi saavuttaa toimimalla hätäpalautuspaikalla, joka on erillään toimittajan päätoimipaikasta ja johon ei kohdistu samaa riskitasoa.
  20. Toimittajan tulee toimia a kattava muutoksenhallintapolitiikka joka ilmoittaa etukäteen organisaatiolle muutoksista, jotka voivat vaikuttaa tietoturvaan, ja antaa organisaatiolle mahdollisuuden hylätä muutokset.
  21. Fyysiset turvatarkastukset (rakennuksen sisäänpääsy, vierailijoiden pääsy, huoneiden sisäänpääsy, työpöydän turvallisuus) tulee säätää, jotka liittyvät siihen, minkä tyyppiseen tietoon heillä on pääsy.
  22. Kun on tarvetta siirtää tiedot omaisuuden välillä, sivustot, palvelimet tai tallennuspaikat, toimittajan tulee varmistaa, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai vioittumiselta koko prosessin ajan.
  23. Sopimuksessa tulee sisältää kattava luettelo toimenpiteistä, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä (katso myös Valvonta 5.20), mukaan lukien (mutta ei rajoittuen):

    a) Omaisuuden luovutus ja/tai siirto
    b) Tietojen poistaminen
    c) IP:n palautus
    d) Käyttöoikeuksien poistaminen
    e) Jatkuvat salassapitovelvollisuudet

  24. Kohdan 23 lisäksi toimittajan tulee hahmotella tarkasti, kuinka se aikoo tuhota/pysyvästi poistaa organisaation tiedot heti, kun niitä ei enää tarvita (eli irtisanomisen yhteydessä).
  25. Jos sopimuksen päätyttyä tulee tarve luovuttaa tuki ja/tai palvelut toiselle palveluntarjoajalle, jota ei ole mainittu sopimuksessa, toimenpiteillä varmistetaan, että prosessi ei aiheuta liiketoiminnan keskeytyksiä.

Ohjaimet tukevat

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Täydentävä opas

Auttaakseen organisaatioita toimittajasuhteiden hallinnassa, Control 5.20 sanoo, että organisaatioiden tulee ylläpitää a sopimusrekisteri.

Rekistereissä tulee luetella kaikki muiden organisaatioiden kanssa tehdyt sopimukset, jotka on luokiteltu suhteen luonteen mukaan, esim. sopimukset, yhteisymmärryspöytäkirjat ja tiedonjakosopimuksia.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2022-5.20 korvaa standardin 27002:2013-15.1.2 (turvallisuuden käsitteleminen toimittajasopimuksissa).

ISO 27002:2022-5.20 sisältää lukuisia lisäohjeita, jotka koskevat laajaa valikoimaa teknisiä, juridisia ja vaatimustenmukaisuuteen liittyviä aiheita, mukaan lukien:

  • Luovutusmenettelyt
  • Tiedon tuhoaminen
  • Irtisanomislausekkeet
  • Fyysiset turvatarkastukset
  • Muutoksen hallinta
  • Varmuuskopiot ja tiedon redundanssi

Yleisesti ottaen ISO 27002:2022-5.20 painottaa paljon enemmän sitä, mitä tapahtuu toimittajasuhteen lopussa, ja antaa paljon enemmän merkitystä sille, kuinka toimittaja saavuttaa redundanssin ja tietojen eheyden koko sopimuksen keston ajan.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.

Ota yhteyttä jo tänään varaa esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta kokonaan kristallilla

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Syksy 2025
Huippusuorittaja, pienyritys - syksy 2025, Iso-Britannia
Aluejohtaja - Syksy 2025 Eurooppa
Aluejohtaja - Syksy 2025 EMEA
Aluejohtaja - Syksy 2025, Iso-Britannia
Huippusuorittaja - Syksy 2025 Eurooppa Keskisuuret markkinat

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.