ISO 27001 – Vedlegg A.15: Leverandørforhold

Hva er formålet med vedlegg A.15.1?

Vedlegg A.15.1 handler om informasjonssikkerhet i leverandørforhold. Målet her er beskyttelse av organisasjonens verdifulle eiendeler som er tilgjengelige for eller påvirkes av leverandører.

Vi anbefaler også at du også vurderer andre nøkkelrelasjoner her også, for eksempel partnere hvis de ikke er leverandører, men også har en innvirkning på dine eiendeler som kanskje ikke bare dekkes av en kontrakt alene.

A.15.1.1 Informasjonssikkerhetspolicy for leverandørforhold

Leverandører brukes av to hovedårsaker; en: du vil at de skal gjøre arbeid som du har valgt å ikke gjøre internt selv, eller; to: du kan ikke enkelt gjøre arbeidet like bra eller så kostnadseffektivt som leverandørene.

Det er mange viktige ting å vurdere i tilnærmingen til leverandørvalg og -styring, men én størrelse passer ikke alle, og noen leverandører vil være viktigere enn andre. Som sådan bør kontrollene og retningslinjene også reflektere det, og en segmentering av forsyningskjeden er fornuftig; vi tar til orde for fire kategorier av leverandører basert på verdien og risikoen i forholdet. Disse spenner fra de som er forretningskritiske til andre leverandører som ikke har noen vesentlig innvirkning på organisasjonen din.

Noen leverandører er også kraftigere enn kundene sine (tenk deg å fortelle Amazon hva du skal gjøre hvis du bruker AWS-tjenestene deres for hosting), så det er meningsløst å ha kontroller og retningslinjer på plass som leverandørene ikke vil følge. Derfor er det mer sannsynlig å stole på deres standardpolicyer, kontroller og avtaler – noe som betyr at leverandørvalg og risikostyring blir enda viktigere.

For å ta en mer fremadrettet tilnærming til informasjonssikkerhet i forsyningskjeden med de mer strategiske (høyverdi/høyere risiko) leverandørene, bør organisasjoner også unngå binær "følg eller dø" risikooverføringspraksis, f.eks. forferdelige kontrakter som hindrer godt samarbeid. I stedet anbefaler vi at de utvikler tettere samarbeidsforhold med leverandørene der verdifull informasjon og eiendeler er i fare, eller de legger til informasjonsmidlene dine på en eller annen (positiv) måte. Dette vil sannsynligvis føre til forbedrede arbeidsforhold, og derfor også gi bedre forretningsresultater.

En god policy beskriver leverandørsegmentering, valg, styring, exit, hvordan informasjonsressurser rundt leverandører kontrolleres for å redusere de tilknyttede risikoene, men likevel gjøre det mulig å nå forretningsmålene og -målene. Smarte organisasjoner vil pakke inn informasjonssikkerhetspolitikken for leverandører i et bredere relasjonsrammeverk og unngå å bare konsentrere seg om sikkerhet i seg selv, og se på de andre aspektene også.

En organisasjon kan ønske at leverandører skal få tilgang til og bidra til visse informasjonsressurser med høy verdi (f.eks. utvikling av programvarekode, regnskapsinformasjon om lønn). De må derfor ha klare avtaler om nøyaktig hvilken tilgang de gir dem, slik at de kan kontrollere sikkerheten rundt det. Dette er spesielt viktig med stadig flere informasjonshåndtering, prosessering og teknologitjenester som outsources. Det betyr å ha et sted å vise ledelse av forholdet skjer; kontrakter, kontakter, hendelser, relasjonsaktivitet og risikostyring etc. Der leverandøren også er intimt involvert i organisasjonen, men kanskje ikke har sitt eget sertifiserte ISMS, så sikre at leverandørpersonalet er utdannet og klar over sikkerhet, opplært i retningslinjene dine osv. er også verdt å demonstrere samsvar rundt.

A.15.1.2 Adressering av sikkerhet innenfor leverandøravtaler

Alle relevante krav til informasjonssikkerhet må være på plass hos hver leverandør som har tilgang til eller kan påvirke organisasjonens informasjon (eller eiendeler som behandler den). Igjen bør dette ikke være en størrelse som passer alle – ta en risikobasert tilnærming rundt de ulike typene leverandører som er involvert og arbeidet de utfører. Å jobbe med leverandører som allerede oppfyller flertallet av organisasjonens behov for informasjonssikkerhet for tjenestene de leverer til deg og som har en god oversikt over å håndtere informasjonssikkerhetsproblemer på en ansvarlig måte, er en veldig god idé – da det vil gjøre alle disse prosessene mye enklere.

Enkelt sagt, se etter leverandører som allerede har oppnådd en uavhengig ISO 27001-sertifisering eller tilsvarende selv. Det er også viktig å sikre at leverandørene holdes informert og engasjert med eventuelle endringer i ISMS eller spesifikt engasjert rundt delene som påvirker deres tjenester. Revisoren din vil ønske å se dette bevist – så ved å føre en oversikt over dette i leverandørens ombordstigningsprosjekter eller årlige gjennomganger vil det være enkelt å gjøre det.

Ting som skal inkluderes i leveringsomfanget og avtalene inkluderer generelt: arbeidet og dets omfang; informasjon i fare og klassifisering; juridiske og regulatoriske krav, f.eks. overholdelse av GDPR og eller annen gjeldende lovgivning; rapportering og anmeldelser; ikke avsløring; IPR; hendelseshåndtering; spesifikke retningslinjer å overholde hvis det er viktig for avtalen; forpliktelser på underleverandører; screening på ansatte etc.

En god standardkontrakt vil ta for seg disse punktene, men som ovenfor kan det hende at det ikke er nødvendig, og det kan være langt over toppen for typen forsyning, eller det er kanskje ikke mulig å tvinge en leverandør til å følge ideen din om god praksis . Vær pragmatisk og risikosentrert i tilnærmingen. Denne kontrollmålsettingen henger også tett sammen med vedlegg A.13.2.4 hvor konfidensialitet og taushetserklæring er hovedfokus.

A.15.1.3 Forsyningskjede for informasjons- og kommunikasjonsteknologi

En god kontroll bygger på A.15.1.2 og er fokusert på IKT-leverandørene som kan trenge noe i tillegg eller i stedet for standardtilnærmingen. ISO 27002 tar til orde for en rekke områder for implementering, og selv om disse er gode, er det også nødvendig med litt pragmatisme. Organisasjonen bør igjen anerkjenne størrelsen sin sammenlignet med noen av de veldig store leverandørene som den noen ganger vil jobbe med (f.eks. datasentre og vertstjenester, banker osv.), og derfor potensielt begrense muligheten til å påvirke praksis lenger inn i forsyningskjeden. Organisasjonen bør vurdere nøye hvilke risikoer det kan være basert på typen informasjons- og kommunikasjonsteknologitjenester som tilbys. For eksempel, hvis leverandøren er en leverandør av infrastrukturkritiske tjenester, og har tilgang til sensitiv informasjon (f.eks. kildekode for flaggskipprogramvaretjenesten), bør den sikre at det er større beskyttelse enn om leverandøren bare eksponeres for offentlig tilgjengelig informasjon (f.eks. en enkel nettside).

Hva er formålet med vedlegg A.15.2?

Vedlegg A.15.2 handler om leverandørtjenesteutviklingsstyring. Målet i denne vedlegg A-kontrollen er å sikre at et avtalt nivå for informasjonssikkerhet og tjenestelevering opprettholdes i tråd med leverandøravtaler.

A.15.2.1 Overvåking og gjennomgang av leverandørtjenester
En god kontroll bygger på A15.1 og beskriver hvordan organisasjoner regelmessig overvåker, gjennomgår og reviderer sin leverandørtjenesteleveranse. Gjennomføring av gjennomganger og overvåking gjøres best basert på informasjonen som er i faresonen – siden en tilnærming i én størrelse ikke passer for alle. Organisasjonen bør ta sikte på å gjennomføre sine vurderinger i tråd med den foreslåtte segmenteringen av leverandører for derfor å optimalisere ressursene deres og sørge for at de fokuserer innsatsen på overvåking og gjennomgang der det vil ha størst effekt. Som med A15.1 er det noen ganger behov for pragmatisme – du vil ikke nødvendigvis få en revisjon, gjennomgang av menneskelige forhold og dedikerte tjenesteforbedringer med AWS hvis du er en veldig liten organisasjon. Du kan imidlertid sjekke (si) at deres årlig publiserte SOC II-rapporter og sikkerhetssertifiseringer forblir egnet til formålet ditt.

Bevis for overvåking bør fullføres basert på din makt, risiko og verdi, slik at din revisor kan se at den er fullført, og at eventuelle nødvendige endringer har blitt administrert gjennom en formell endringskontrollprosess.

A.15.2.2 Administrere endringer i leverandørtjenester

En god kontroll beskriver hvordan eventuelle endringer i levering av tjenester fra leverandører, inkludert vedlikehold og forbedring av eksisterende retningslinjer, prosedyrer og kontroller for informasjonssikkerhet, håndteres. Den tar hensyn til hvor kritisk virksomhetsinformasjon er, endringens art, leverandørtypen(e) som er berørt, systemene og prosessene som er involvert og en ny vurdering av risikoer. Endringer i leverandørtjenester bør også ta hensyn til intimiteten i forholdet og organisasjonens evne til å påvirke eller kontrollere endring hos leverandøren.

Hvordan hjelper ISMS.online med leverandørforhold?

ISMS.online har gjort dette kontrollmålet veldig enkelt ved å gi bevis på at relasjonene dine er nøye valgt, administrert godt i livet, inkludert å bli overvåket og gjennomgått. Vårt brukervennlige kontoforhold (f.eks. leverandør)-området gjør nettopp det. Arbeidsområdene for samarbeidsprosjekter er ypperlige for viktig leverandør-onboarding, fellesinitiativer, offboarding osv. som revisor også kan se med letthet når det er nødvendig.

ISMS.online har også gjort dette kontrollmålet enklere for din organisasjon ved å gjøre det mulig for deg å fremlegge bevis på at leverandøren formelt har forpliktet seg til å overholde kravene og har forstått sitt ansvar for informasjonssikkerhet gjennom våre policypakker. Policypakker er ideelle der organisasjonen har spesifikke retningslinjer og kontroller den vil at leverandørpersonalet skal følge og ha tillit til at de har lest dem og forpliktet seg til å overholde – utover de bredere avtalene mellom kunde og leverandør.