ISO 27701 – Lauseke 6.12 – Toimittajasuhteet

ISO 27701, lauseke 6.12: Toimittajan hallinnan perusasiat

Tuottavien toimittajasuhteiden muodostaminen ja ylläpitäminen muodostaa suuren osan nykyaikaisimmista tietopohjaisista liiketoiminnoista – joko laitetoimitusten, tukipalvelujen tai alihankintana.

Suhteen alusta alkaen ja koko palvelusopimuksen keston ajan molempien osapuolten on oltava jatkuvasti tietoisia velvollisuuksistaan ​​tietosuojatietojen turvallisuuden suhteen, ja standardit tulisi yhdenmukaistaa henkilökohtaisten tunnistetietojen turvaamiseksi ja arkaluonteisten tietojen eheyden takaamiseksi.

Mitä ISO 27701:n lauseke 6.12 kattaa

ISO 27701 lauseke 6.12 koostuu kahdesta osasta:

• ISO 27701 6.12.1 – Tietoturva toimittajasuhteissa
• ISO 27701 6.12.2 – Toimittajapalveluiden hallinta

Näissä kahdessa osiossa on 5 alalausetta, jotka sisältävät ohjeita ISO 27002, jota sovelletaan tietosuojatietojen hallinnan ja turvallisuuden yhteydessä:

• ISO 27701 6.12.1.1 – Tietoturvapolitiikka toimittajasuhteita varten (ISO 27002 Control 5.19)
• ISO 27701 6.12.1.2 – Turvallisuuden käsitteleminen toimittajasopimuksissa (ISO 27002 Control 5.20)
• ISO 27701 6.12.1.3 – Tieto- ja viestintätekniikan toimitusketju (ISO 27002 Control 5.21)
• ISO 27701 6.12.2.1 – Toimittajapalvelujen seuranta ja tarkastelu (ISO 27002 Control 5.22)
• ISO 27701 6.12.2.2 – Toimittajapalvelujen muutosten hallinta (ISO 27002 Control 5.22)

Vain yksi artikkeli sisältää ohjeita, jotka koskevat Yhdistynyttä kuningaskuntaa GDPR lainsäädäntö – (ISO 27701 6.12.1.2). Artikkelinumerot on annettu avuksesi.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

ISO 27701, lauseke 6.12.1.1 – Testitietojen suojaus

Viitteet ISO 27002 Control 5.19

Organisaatioiden on otettava käyttöön käytäntöjä ja menettelyjä, jotka eivät ainoastaan ​​ohjaa organisaation toimittajaresurssien ja pilvialustojen käyttöä, vaan muodostavat myös perustan sille, kuinka ne odottavat toimittajiensa käyttäytyvän ennen kaupallista suhdetta ja sen aikana, erityisesti henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvää omaisuutta.

ISO 27701 6.12.1.1 -standardia voidaan pitää olennaisena ehtona, joka määrää, kuinka tietosuojatietojen hallintaa käsitellään toimittajasopimuksen aikana.

Organisaatioiden tulee:

• Pidä kirjaa toimittajatyypeistä, jotka voivat vaikuttaa yksityisyyden tietoturvaan.
• Ymmärrä, kuinka toimittajat testataan vaihtelevien riskitasojen perusteella.
• Tunnista toimittajat, joilla on jo olemassa olevat tietosuojatietojen suojaustoiminnot.
• Tunnista organisaation ICT-infrastruktuurin alueet, joita toimittajat voivat käyttää tai katsella.
• Määrittele, miten toimittajien oma infrastruktuuri voi vaikuttaa yksityisyyden suojaan.
• Tunnista ja hallitse tietosuojariskejä, jotka liittyvät:
• Luottamuksellisten tietojen käyttö.
• Suojatun omaisuuden käyttö.
• Viallinen laitteisto tai viallinen ohjelmisto.
• Tarkkaile tietosuojatietoturvan noudattamista aihekohtaisesti tai toimittajatyyppiseltä pohjalta.
• Rajoita noudattamatta jättämisestä aiheutuvia häiriöitä.
• Käytä tapahtumanhallintamenettelyä.
• Toteuta perusteellinen koulutussuunnitelma, joka kertoo henkilöstölle, kuinka heidän tulee olla vuorovaikutuksessa toimittajien kanssa.
• Ole erittäin huolellinen siirtäessäsi yksityisyyttä koskevia tietoja sekä fyysisiä ja virtuaalisia resursseja organisaation ja toimittajien välillä.
• Varmista, että toimittajasuhteet päätetään tietosuojatietoturvaa ajatellen.

Organisaatioiden tulee käyttää yllä olevia ohjeita solmiessaan uusia suhteita tavarantoimittajien kanssa ja harkita noudattamatta jättämistä tapauskohtaisesti.

ISO tunnustaa, että kaupalliset suhteet vaihtelevat valtavasti sektoreittain ja liiketoiminnasta toiseen, ja antaa organisaatioille liikkumavaraa suosittelemalla "kompensoivan valvonnan" tutkimista, joilla pyritään saavuttamaan samat taustalla olevat yksityisyyden suojan periaatteet.

ISO 27701 -lauseke 6.12.1.2 – Turvallisuuden käsitteleminen toimittajasopimuksissa

Viitteet ISO 27002 Control 5.20

Toimittajasuhteiden turvallisuudesta puhuttaessa organisaatioiden tulee varmistaa, että molemmat osapuolet ovat tietoisia velvollisuuksistaan ​​yksityisyyden tietoturvaa kohtaan ja toisilleen.

Näin tehdessään organisaatioiden tulee:

• Tarjoa selkeä kuvaus, joka sisältää yksityiskohdat, joita on käytettävä, ja kuinka näihin tietoihin päästään.
• Luokittele käytettävät yksityisyystiedot hyväksytyn luokitusjärjestelmän mukaisesti (katso ISO 27002 Controls 5.10, 5.12 ja 5.13).
• Ota riittävästi huomioon toimittajien oma luokitusjärjestelmä.
• Luokittele oikeudet neljään pääalueeseen – oikeudellinen, lakisääteinen, säädös- ja sopimusperusteinen – ja kuvaile yksityiskohtaisesti velvollisuudet alueittain.
• Varmista, että jokainen osapuoli on velvollinen toteuttamaan useita valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietosuojan tietoturvariskin tasoja.
• Piirrä toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. ISO 27002 Control 5.20).
• Edistää selkeää ymmärrystä siitä, mikä on kummankin osapuolen yksityisyystietojen sekä fyysisten ja virtuaalisten omaisuuserien sekä hyväksyttävää että ei-hyväksyttävää käyttöä.
• Ota käyttöön valtuutusvalvonta, jota toimittajapuolen henkilöstö tarvitsee päästäkseen käsiksi tai tarkastellakseen organisaation tietosuojatietoja.
• Harkitse, mitä tapahtuu, jos sopimusta rikotaan tai jos yksittäisiä määräyksiä ei noudateta.
• Esittele tapahtumanhallintamenettely, mukaan lukien se, miten tärkeistä tapahtumista tiedotetaan.
• Varmista, että henkilöstölle annetaan turvallisuustietoisuuskoulutusta.
• (Jos toimittajalla on lupa käyttää alihankkijoita) lisää vaatimuksia varmistaaksesi, että alihankkijat noudattavat samoja tietosuojatietoturvastandardeja kuin toimittaja.
• Harkitse, kuinka tavarantoimittajien henkilökuntaa seulotaan ennen kuin he ovat vuorovaikutuksessa tietosuojatietojen kanssa.
• Määritä tarve kolmannen osapuolen todistuksille, jotka koskevat toimittajan kykyä täyttää organisaation tietosuojan tietoturvavaatimukset.
• Sinulla on sopimusoikeus tarkastaa toimittajan menettelyt.
• Vaadi toimittajia toimittamaan raportteja, joissa kerrotaan heidän omien prosessiensa ja menettelyjensä tehokkuudesta.
• Keskity toimenpiteisiin, jotka vaikuttavat vikojen tai ristiriitojen oikea-aikaiseen ja perusteelliseen ratkaisemiseen.
• Varmista, että toimittajat noudattavat asianmukaista BUDR-käytäntöä henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien resurssien eheyden ja saatavuuden suojaamiseksi.
• Vaadi toimittajapuolen muutostenhallintakäytäntöä, joka ilmoittaa organisaatiolle kaikista muutoksista, jotka voivat vaikuttaa yksityisyyden suojaan.
• Ota käyttöön fyysisiä turvatoimia, jotka ovat verrannollisia tallennettavien ja käsiteltävien tietojen herkkyyteen.
• (Mihin tietoja siirretään) pyytää toimittajia varmistamaan, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai korruptiolta.
• Esitä luettelo toimista, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä.
• Pyydä toimittajaa kertomaan, kuinka hän aikoo tuhota tietosuojatiedot irtisanomisen jälkeen tai tietoja ei enää tarvita.
• Ryhdy toimenpiteisiin varmistaaksesi, että liiketoiminta keskeytyy mahdollisimman vähän luovutusjakson aikana.

Organisaatioiden tulee myös ylläpitää a sopimusrekisteri, jossa luetellaan kaikki muiden organisaatioiden kanssa tehdyt sopimukset.

Sovellettavat GDPR-artikkelit

• 5 artiklan 1 kohdan f alakohta
• 28-artikkeli (1)
• 28 artiklan 3 kohdan a alakohta, 3 kohdan b alakohta, 3 kohdan c alakohta, 3 kohdan d alakohta, 3 kohdan e alakohta, 3 kohdan f alakohta, 3 kohdan g alakohta , (3) (h)
• 30 artiklan 2 kohdan d alakohta
• 32 artiklan 1 kohdan b alakohta

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 lauseke 6.12.1.3 – Tieto- ja viestintätekniikan toimitusketju

Viitteet ISO 27002 Control 5.21

Toimitusketjunsa osia tilattaessa organisaatioiden tulee henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien varojen turvaamiseksi:

• Laadi selkeä joukko tietosuojatietoturvastandardeja, jotka toimittajat ja urakoitsijat tuntevat täysin.
• Pyydä toimittajia antamaan tietoja ohjelmistokomponenteista, joita käytetään palvelun toimittamiseen.
• Tunnista minkä tahansa toimitetun tuotteen tai palvelun tietoturvatoiminnot ja määritä, miten kyseisiä tuotteita ja palveluita tulee käyttää tavalla, joka ei vaaranna yksityisyyden tietoturvaa.
• Luonnokset menettelyistä, joilla varmistetaan, että kaikki tuotteet tai palvelut ovat hyväksyttyjen alan standardien mukaisia.
• Noudata prosessia, joka tunnistaa ja tallentaa tuotteen tai palvelun elementit, jotka ovat tärkeitä ydintoimintojen ylläpitämisen kannalta.
• Pyydä toimittajia antamaan takeet siitä, että tietyillä komponenteilla on liitteenä auditointiloki, joka osoittaa liikkeen toimitusketjussa.
• Varmista, että tuotteet ja palvelut eivät sisällä ominaisuuksia, jotka voivat aiheuttaa turvallisuusriskin.
• Varmista, että toimittajat harkitsevat peukaloinnin estäviä toimenpiteitä koko kehityksen elinkaaren ajan.
• Pyri varmistamaan, että kaikki toimitetut tuotteet tai palvelut ovat alan standardien tietosuojatietoturvavaatimusten mukaisia.
• Ryhdy toimenpiteisiin varmistaaksesi, että toimittajat ovat tietoisia velvollisuuksistaan ​​jakaessaan tietosuojatietoja koko toimitusketjussa.
• Luonnokset menettelyistä, jotka hallitsevat riskejä käytettäessä käyttämättömiä, ei-tuettuja tai vanhoja komponentteja.

On tärkeää huomata, että laadunvalvonta ei välttämättä ulotu toimittajan omien menettelyjen tarkkuuteen.

Organisaatioiden tulee ottaa käyttöön toimittajakohtaisia ​​tarkastuksia, jotka vahvistavat kolmannen osapuolen organisaatioiden olevan hyvämaineinen lähde tietosuojatietojen hallinnan alalla.

ISO 27701 lauseke 6.12.2.1 – Toimittajapalveluiden valvonta ja tarkastelu

Viitteet ISO 27002 Control 5.22

Organisaatioiden on oltava jatkuvasti tietoisia siitä, miten toimittajapalveluita toimitetaan – ja millä tasoilla – ylläpitääkseen turvallista ja suojattua tietosuojatiedonhallintatoimintaa.

Tämän saavuttamiseksi organisaatioiden tulee:

• Valvo palvelutasoja julkaistujen SLA-sopimusten mukaisesti.
• Korjaa kaikki palvelun puutteet tai tapahtumat mahdollisimman nopeasti, erityisesti ne, jotka vaikuttavat henkilökohtaisiin tunnistetietoihin tai yksityisyyteen liittyviin resursseihin.
• Tarkkaile kaikkia toimittajan omaan toimintaansa tekemiä muutoksia, jotka voivat vaikuttaa yksityisyyden suojaan, mukaan lukien palvelukohtaiset muutokset.
• Pyydä säännöllisiä palveluraportteja ja suunniteltuja tarkistuskokouksia.
• Tarkkaile ulkoistuskumppaneita ja alihankkijoita ja selvitä huolenaiheita.
• Toimi sovittujen tapaturmanhallintastandardien ja -käytäntöjen mukaisesti.
• Pidä kirjaa tietosuojan tietoturvatapahtumista, käyttöongelmista ja vioista.
• Korosta tietoturva-aukkoja ja lievennä niitä mahdollisimman laajasti.
• Huomioi tavarantoimittajien suhteet omiin toimittajiinsa ja alihankkijoihinsa ja miten tämä vaikuttaa yksityisyyden suojaan organisaation itsensä sisällä.
• Tunnista toimittajapuolen henkilöstö, joka on vastuussa palvelusopimuksen ehtojen noudattamisesta.
• Suorita auditointeja, jotka vahvistavat toimittajan kyvyn ylläpitää riittävät tietosuojatietostandardit.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.29
• ISO 27002 5.30
• ISO 27002 5.35
• ISO 27002 5.36
• ISO 27002 8.14

ISO 27701 lauseke 6.12.2.2 – Toimittajapalveluiden muutosten hallinta

Viitteet ISO 27002 Control 5.22

Katso ISO 27701 lauseke 6.12.2.1

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

Miten ISMS.online auttaa

Voi olla vaikea tietää, mistä aloittaa ISO 27701 -standardilla, varsinkin jos sinun ei ole koskaan tarvinnut tehdä mitään vastaavaa ennen. Tässä ISMS.online tulee sisään!

ISO 27701 -ratkaisumme tarjoavat puitteet, joiden avulla organisaatiosi voi osoittaa noudattavansa ISO 27701 -standardia.

Tietoturva-asiantuntijamme voivat työskennellä kanssasi varmistaakseen, että kehität loogisen toteutusprosessin, joka on linjassa online-dokumentaatiokehyksen kanssa.

Katso lisää osoitteesta varata käytännön demo.