ISO 27002:2022, Control 5.20 – Tietoturvan käsitteleminen toimittajasopimuksissa

Yleiset valvontaohjeet 5.20

Ohjaus 5.20 sisältää 25 ohjekohtaa, jotka ISO-tila "voidaan ottaa huomioon" (eli ei välttämättä kaikkia) organisaation tietoturvavaatimusten täyttämiseksi.

Riippumatta siitä, mitä toimenpiteitä toteutetaan, Control 5.20 sanoo nimenomaisesti, että molempien osapuolten tulee poistua prosessista "selkeästi" tietoturvavelvoitteistaan ​​toisiaan kohtaan.

1. On annettava selkeä kuvaus, jossa kerrotaan yksityiskohtaisesti, mitä tietoja on käytettävä millä tahansa tavalla ja kuinka kyseiset tiedot aiotaan käyttää.
2. Organisaation tulee luokitella käytettävät tiedot julkaistun luokitusjärjestelmän mukaisesti (katso Control 5.10, Control 5.12 ja Control 5.13).
3. Toimittajapuolen luokittelujärjestelmää ja sitä, miten se liittyy organisaation tietojen luokitukseen, tulee ottaa riittävästi huomioon.
4. Molempien osapuolten oikeudet tulisi luokitella neljään pääalueeseen – oikeudellisiin, lakisääteisiin, säännöksiin ja sopimuksiin. Näillä neljällä alueella on eriteltävä selkeästi erilaisia ​​velvoitteita, kuten kaupallisissa sopimuksissa on tapana, mukaan lukien henkilökohtaisten tunnistetietojen käyttö, immateriaalioikeudet ja tekijänoikeusmääräykset. Sopimuksen olisi myös katettava, kuinka kutakin näistä avainalueista käsitellään vuorotellen.
5. Jokaisen osapuolen tulisi olla velvollinen ottamaan käyttöön useita samanaikaisia ​​valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietoturvariski tasot (kuten kulunvalvontakäytännöt, sopimusten tarkastelut, järjestelmien seuranta, raportointi ja määräajoin auditointi). Lisäksi sopimuksessa tulee selkeästi hahmotella toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. Valvonta 5.20).
6. Kummankin osapuolen tietojen sekä fyysisen ja virtuaalisen omaisuuden sekä hyväksyttävän että ei-hyväksyttävän käytön tulee olla selkeästi ymmärrettävissä.
7. Olisi otettava käyttöön menettelyt, jotka koskevat toimittajapuolen henkilöstöltä vaadittavia valtuutustasoja päästäkseen käsiksi tai tarkastelemaan organisaation tietoja (esim. valtuutetut käyttäjäluettelot, toimittajapuolen auditoinnit, palvelimen pääsynvalvonta).
8. Tietoturvaa tulee harkita toimittajan oman ICT-infrastruktuurin rinnalla ja miten se liittyy siihen tietotyyppiin, jolle organisaatio on antanut pääsyn, riskikriteerit ja organisaation liiketoiminnan perusvaatimukset.
9. On harkittava, mihin toimiin organisaatio voi ryhtyä, jos toimittaja rikkoo sopimusta tai ei noudata yksittäisiä määräyksiä.
10. Sopimuksessa tulee selkeästi hahmotella keskinäinen Tapahtumanhallintamenettely Se määrittelee selkeästi, mitä on tapahduttava ongelmien ilmetessä, erityisesti mitä tulee tapahtumaan viestimiseen molempien osapuolten välillä.
11. Henkilökuntaa molemmilta osapuolilta tulisi antaa riittävä tietoisuuskoulutus (jos vakiokoulutus ei ole riittävä) sopimuksen keskeisillä aloilla, erityisesti koskien keskeisiä riskialueita, kuten vaaratilanteiden hallinta ja tiedonsaanti.
12. Alihankkijoiden käyttöön tulee kiinnittää riittävästi huomiota. Jos toimittajalla on lupa käyttää alihankkijoita, organisaatioiden tulee ryhtyä toimiin varmistaakseen, että kaikki tällaiset henkilöt tai yritykset noudattavat samoja tietoturvavaatimuksia kuin toimittaja.
13. Jos se on laillisesti mahdollista ja toiminnallisesti olennaista, organisaatioiden tulee harkita, kuinka tavarantoimittajien henkilöstö seulotaan ennen kuin he ovat vuorovaikutuksessa heidän tietoihinsa, ja kuinka seulonta kirjataan ja raportoidaan organisaatiolle, mukaan lukien turvatarkastuksen suorittamattomat henkilöt ja huolenaiheet.
14. Organisaatioiden tulee määrätä, että tarvitaan kolmannen osapuolen todistuksia, jotka varmistavat toimittajan kyvyn täyttää organisaation tietoturvavaatimukset, mukaan lukien riippumattomat raportit ja kolmannen osapuolen auditoinnit.
15. Organisaatioilla tulee olla sopimusoikeus arvioida ja auditoida toimittajan valvontaan liittyviä menettelyjä 5.20.
16. Tavarantoimittajilla tulisi olla velvollisuus toimittaa raportteja (vaihtelevan väliajoin), jotka kattavat heidän omien prosessiensa ja menettelyjensä tehokkuuden ja sen, kuinka he aikovat käsitellä raportissa esiin tuotuja ongelmia.
17. Sopimuksen tulee ryhtyä toimenpiteisiin varmistaakseen, että kaikki suhteen aikana ilmenevät puutteet tai ristiriidat ratkaistaan ​​oikea-aikaisesti ja perusteellisesti.
18. Tarvittaessa toimittajan tulee noudattaa vankkaa BUDR-politiikkaa organisaation tarpeiden mukaisesti, joka kattaa kolme päänäkökohtaa:
    
    a) Varmuuskopion tyyppi (täysi palvelin, tiedosto ja kansio jne., inkrementaalinen jne.)
    b) Varmuuskopiointitiheys (päivittäin, viikoittain jne.)
    c) Varmuuskopiointipaikka ja lähdemedia (paikan päällä, ulkopuolella)
19. Tietojen sietokyky tulisi saavuttaa toimimalla hätäpalautuspaikalla, joka on erillään toimittajan päätoimipaikasta ja johon ei kohdistu samaa riskitasoa.
20. Toimittajan tulee toimia a kattava muutoksenhallintapolitiikka joka ilmoittaa etukäteen organisaatiolle muutoksista, jotka voivat vaikuttaa tietoturvaan, ja antaa organisaatiolle mahdollisuuden hylätä muutokset.
21. Fyysiset turvatarkastukset (rakennuksen sisäänpääsy, vierailijoiden pääsy, huoneiden sisäänpääsy, työpöydän turvallisuus) tulee säätää, jotka liittyvät siihen, minkä tyyppiseen tietoon heillä on pääsy.
22. Kun on tarvetta siirtää tiedot omaisuuden välillä, sivustot, palvelimet tai tallennuspaikat, toimittajan tulee varmistaa, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai vioittumiselta koko prosessin ajan.
23. Sopimuksessa tulee sisältää kattava luettelo toimenpiteistä, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä (katso myös Valvonta 5.20), mukaan lukien (mutta ei rajoittuen):
    
    a) Omaisuuden luovutus ja/tai siirto
    b) Tietojen poistaminen
    c) IP:n palautus
    d) Käyttöoikeuksien poistaminen
    e) Jatkuvat salassapitovelvollisuudet
24. Kohdan 23 lisäksi toimittajan tulee hahmotella tarkasti, kuinka se aikoo tuhota/pysyvästi poistaa organisaation tiedot heti, kun niitä ei enää tarvita (eli irtisanomisen yhteydessä).
25. Jos sopimuksen päätyttyä tulee tarve luovuttaa tuki ja/tai palvelut toiselle palveluntarjoajalle, jota ei ole mainittu sopimuksessa, toimenpiteillä varmistetaan, että prosessi ei aiheuta liiketoiminnan keskeytyksiä.

Ohjaimet tukevat

• 5.10
• 5.12
• 5.13
• 5.20

Täydentävä opas

Auttaakseen organisaatioita toimittajasuhteiden hallinnassa, Control 5.20 sanoo, että organisaatioiden tulee ylläpitää a sopimusrekisteri.

Rekistereissä tulee luetella kaikki muiden organisaatioiden kanssa tehdyt sopimukset, jotka on luokiteltu suhteen luonteen mukaan, esim. sopimukset, yhteisymmärryspöytäkirjat ja tiedonjakosopimuksia.

Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2022-5.20 korvaa standardin 27002:2013-15.1.2 (turvallisuuden käsitteleminen toimittajasopimuksissa).

ISO 27002:2022-5.20 sisältää lukuisia lisäohjeita, jotka koskevat laajaa valikoimaa teknisiä, juridisia ja vaatimustenmukaisuuteen liittyviä aiheita, mukaan lukien:

• Luovutusmenettelyt
• Tiedon tuhoaminen
• Irtisanomislausekkeet
• Fyysiset turvatarkastukset
• Muutoksen hallinta
• Varmuuskopiot ja tiedon redundanssi

Yleisesti ottaen ISO 27002:2022-5.20 painottaa paljon enemmän sitä, mitä tapahtuu toimittajasuhteen lopussa, ja antaa paljon enemmän merkitystä sille, kuinka toimittaja saavuttaa redundanssin ja tietojen eheyden koko sopimuksen keston ajan.

Miten ISMS.online auttaa

ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.

Ota yhteyttä jo tänään varaa esittely.