ISO 27001:2022 Vedlegg A Kontroll 5.19

Generell veiledning for ISO 27001:2022 vedlegg A 5.19

Overholdelse av vedlegg A-kontroll 5.19 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til informasjonssikkerhet i leverandørforhold.

En organisasjon kan ønske at leverandører skal få tilgang til og bidra til visse informasjonsressurser med høy verdi (f.eks. utvikling av programvarekode, regnskapsinformasjon om lønn). De må derfor ha klare avtaler om nøyaktig hvilken tilgang de gir dem, slik at de kan kontrollere sikkerheten rundt det.

Dette er spesielt viktig med stadig flere informasjonshåndtering, prosessering og teknologitjenester som outsources. Det betyr å ha et sted å vise ledelse av forholdet skjer; kontrakter, kontakter, hendelser, relasjonsaktivitet og risikostyring osv. Der leverandøren også er intimt involvert i organisasjonen, men kanskje ikke har sitt eget sertifiserte ISMS, er det også verdt å demonstrere samsvar rundt å sikre at leverandørpersonalet er utdannet og klar over sikkerhet, opplært i retningslinjene dine osv.

Emnespesifikke tilnærminger oppmuntrer organisasjoner til å lage leverandørrelaterte retningslinjer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge en generell leverandørstyringspolicy som gjelder for alle tredjepartsforhold på tvers av en organisasjons kommersielle drift.

Det er viktig å merke seg at ISO 27001 Annex A Control 5.19 ber organisasjonen implementere retningslinjer og prosedyrer som ikke bare styrer organisasjonens bruk av leverandørressurser og skyplattformer, men også danner grunnlaget for hvordan de forventer at leverandørene deres skal oppføre seg før og gjennom hele det kommersielle forholdet.

Som sådan kan vedlegg A-kontroll 5.19 sees på som det vesentlige kvalifiserende dokumentet som dikterer hvordan informasjonssikkerhetsstyring håndteres i løpet av en leverandørkontrakt.

ISO 27001 vedlegg A Kontroll 5.19 inneholder 14 hovedveiledningspunkter som skal følges:

1) Opprettholde en nøyaktig oversikt over leverandørtyper (f.eks. finansielle tjenester, IKT-maskinvare, telefoni) som har potensial til å påvirke informasjonssikkerhetens integritet.

Samsvar – Lag en liste over alle leverandører som din organisasjon jobber med, kategoriser dem i henhold til deres forretningsfunksjon og legg til kategorier til nevnte leverandørtyper etter behov.

2) Forstå hvordan du vet leverandører, basert på risikonivået som er iboende for deres leverandørtype.

Samsvar – Ulike leverandørtyper vil kreve ulike due diligence-kontroller. Vurder å bruke kontrollmetoder på leverandør-for-leverandør-basis (f.eks. bransjereferanser, regnskaper, vurderinger på stedet, sektorspesifikke sertifiseringer som Microsoft-partnerskap).

3) Identifiser leverandører som har forhåndseksisterende informasjonssikkerhetskontroller på plass.

Samsvar – Be om å se kopier av leverandørers relevante styringsprosedyrer for informasjonssikkerhet, for å vurdere risikoen for din egen organisasjon. Hvis de ikke har noen, er det ikke et godt tegn.

4) Identifiser og definer de spesifikke områdene av din organisasjons IKT-infrastruktur som leverandørene dine enten vil kunne få tilgang til, overvåke eller benytte seg av selv.

Samsvar – Det er viktig å fastslå fra første stund nøyaktig hvordan leverandørene dine skal samhandle med IKT-ressursene dine – enten de er fysiske eller virtuelle – og hvilke tilgangsnivåer de gis i henhold til kontraktsmessige forpliktelser.

5) Definer hvordan leverandørenes egen IKT-infrastruktur kan påvirke dine egne og dine kunders data.

Samsvar – En organisasjons første forpliktelse er sitt eget sett med informasjonssikkerhetsstandarder. Leverandørers IKT-ressurser må gjennomgås i samsvar med deres potensial for å påvirke oppetid og integritet i hele organisasjonen.

6) Identifiser og administrer de ulike informasjonssikkerhetsrisikoene knyttet til:

en. Leverandørbruk av konfidensiell informasjon eller beskyttede eiendeler (f.eks. begrenset til ondsinnet bruk og/eller kriminelle hensikter).

b. Defekt leverandørmaskinvare eller feilfungerende programvareplattform knyttet til lokale eller skybaserte tjenester.

Samsvar – Organisasjoner må hele tiden være oppmerksomme på informasjonssikkerhetsrisikoene forbundet med katastrofale hendelser, for eksempel uhyggelig aktivitet på leverandørsiden eller store uforutsette programvarehendelser, og deres innvirkning på organisasjonens informasjonssikkerhet.

7) Overvåke overholdelse av informasjonssikkerhet på et emnespesifikk eller leverandørtypebasis.

Samsvar – Organisasjonens behov for å sette pris på informasjonssikkerhet implikasjoner som ligger i hver leverandørtype, og justere deres overvåkingsaktivitet for å imøtekomme ulike risikonivåer.

8) Begrens mengden skade og/eller forstyrrelse forårsaket av manglende overholdelse.

Samsvar – Leverandøraktivitet bør overvåkes på en hensiktsmessig måte, og i varierende grad, i samsvar med risikonivået. Der det oppdages manglende overholdelse, enten proaktivt eller reaktivt, bør det iverksettes umiddelbare tiltak.

9) Oppretthold en robust hendelsesadministrasjon prosedyre som adresserer en rimelig mengde beredskap.

Samsvar – Organisasjoner bør forstå nøyaktig hvordan de skal reagere når de står overfor et bredt spekter av hendelser knyttet til levering av tredjepartsprodukter og -tjenester, og skissere avhjelpende tiltak som inkluderer både leverandøren og organisasjonen.

10) Vedta tiltak som ivaretar tilgjengeligheten og behandlingen av leverandørens informasjon, uansett hvor den brukes, og dermed sikre integriteten til organisasjonens egen informasjon.

Samsvar – Det bør iverksettes tiltak for å sikre at leverandørsystemer og data håndteres på en måte som ikke går på akkord med tilgjengeligheten og sikkerheten til organisasjonens egne systemer og informasjon.

11) Lag en grundig opplæringsplan som gir veiledning om hvordan personalet skal samhandle med leverandørpersonell og informasjon på leverandør-for-leverandør-basis, eller type-for-type.

Samsvar – Opplæring bør dekke hele spekteret av styring mellom en organisasjon og dens leverandører, inkludert engasjement, detaljerte risikostyringskontroller og emnespesifikke prosedyrer.

12) Forstå og administrere risikonivået som er iboende ved overføring av informasjon og fysiske og virtuelle eiendeler mellom organisasjonen og deres leverandører.

Samsvar – Organisasjoner bør kartlegge hvert trinn i overføringsprosessen og opplyse personalet om risikoen forbundet med å flytte eiendeler og informasjon fra en kilde til en annen.

13) Sørge for at leverandørforhold avsluttes med informasjonssikkerhet i tankene, inkludert fjerning av tilgangsrettigheter og muligheten til å få tilgang til organisasjonsinformasjon.

Samsvar – IKT-teamene dine bør ha en klar forståelse av hvordan de kan tilbakekalle en leverandørs tilgang til informasjon, inkludert:

• Granulær analyse av tilknyttede domene og/eller skybaserte kontoer.
• Distribusjon av intellektuell eiendom.
• Portering av informasjon mellom leverandører, eller tilbake til din organisasjon.
• Registeradministrasjon.
• Returnere eiendeler til den opprinnelige eieren.
• Tilstrekkelig avhending av fysiske og virtuelle eiendeler, inkludert informasjon.
• Overholdelse av eventuelle kontraktsmessige krav, inkludert konfidensialitetsklausuler og/eller eksterne avtaler.

14) Skisser nøyaktig hvordan du forventer at leverandøren skal opptre når det gjelder fysiske og virtuelle sikkerhetstiltak.

Samsvar – Organisasjoner bør stille klare forventninger fra begynnelsen av ethvert kommersielt forhold, som spesifiserer hvordan personell på leverandørsiden forventes å oppføre seg når de samhandler med dine ansatte eller eventuelle relevante eiendeler.

Supplerende veiledning om vedlegg A 5.19

ISO erkjenner at det ikke alltid er mulig å pålegge en leverandør et fullstendig sett med retningslinjer som oppfyller hvert eneste krav fra listen ovenfor slik ISO 27001 Annex A Control 5.19 har til hensikt, spesielt når det gjelder rigide offentlige organisasjoner.

Når det er sagt, sier vedlegg A Kontroll 5.19 klart at organisasjoner bør bruke veiledningen ovenfor når de danner relasjoner med leverandører, og vurdere manglende etterlevelse fra sak til sak.

Der full overholdelse ikke er oppnåelig, gir vedlegg A Kontroll 5.19 organisasjoner spillerom ved å anbefale "kompenserende kontroller" som oppnår tilstrekkelige nivåer av risikostyring, basert på en organisasjons unike omstendigheter.

Hva er endringene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 5.19 erstatter ISO 27001:2013 Vedlegg A 15.1.1 (Informasjonssikkerhetspolicy for leverandørforhold).

ISO 27001:2022 vedlegg A 5.19 følger stort sett de samme underliggende konseptene som finnes i 2013-kontrollen, men inneholder flere tilleggsveiledningsområder som enten er utelatt fra ISO 27001:2013 vedlegg A 5.1.1, eller i det minste ikke dekket i så mange detaljer, inkludert:

• Vetting av leverandører basert på deres leverandørtype og risikonivå.
• Behovet for å sikre integriteten til leverandørinformasjon for å sikre egne data, og sikre forretningskontinuitet.
• De ulike trinnene som kreves når et leverandørforhold avsluttes, inkludert avvikling av tilgangsrettigheter, IP-distribusjon, kontraktsmessige avtaler etc.

ISO 27001:2022 vedlegg A 5.19 er også eksplisitt når det gjelder å anerkjenne den svært varierende karakteren til leverandørforhold (basert på type, sektor og risikonivå), og gir organisasjoner et visst spillerom når de vurderer muligheten for manglende etterlevelse av en gitt veiledning punkt, basert på forholdets art (se "Supplerende veiledning" ovenfor).

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

Hvordan hjelper ISMS.online med leverandørforhold?

ISMS.online har gjort dette kontrollmålet veldig enkelt ved å gi bevis på at relasjonene dine er nøye valgt, administrert godt i livet, inkludert å bli overvåket og gjennomgått. Vårt brukervennlige kontoforhold (f.eks. leverandør)-området gjør nettopp det. Samarbeidsprosjektets arbeidsrom er gode for viktig leverandør-onboarding, fellesinitiativer, off-boarding osv. som revisor også kan se med letthet ved behov.

ISMS.online har også gjort dette kontrollmålet enklere for din organisasjon ved å gjøre det mulig for deg å fremlegge bevis på at leverandøren formelt har forpliktet seg til å overholde kravene og har forstått sitt ansvar for informasjonssikkerhet gjennom våre policypakker. Politikkpakker er ideelle der organisasjonen har spesifikke retningslinjer og kontroller den vil at leverandørpersonalet skal følge og ha tillit til at de har lest dem og forpliktet seg til å overholde – utover de bredere avtalene mellom kunde og leverandør.

Avhengig av endringens art (dvs. for mer materielle endringer) kan det være et bredere krav om å tilpasse seg A.6.1.5 informasjonssikkerhet i prosjektledelse.

Ved å bruke ISMS.online kan du:

• Implementer raskt et styringssystem for informasjonssikkerhet (ISMS).
• Administrer enkelt dokumentasjonen til ISMS.
• Strømlinjeform overholdelse av alle relevante standarder.
• Administrer alle aspekter av informasjonssikkerhet, fra risikostyring til opplæring i sikkerhetsbevissthet.
• Kommuniser effektivt gjennom hele organisasjonen ved å bruke vår innebygde kommunikasjonsfunksjonalitet.

Ta kontakt i dag for å bestill en demo.