Kontroll 5.19 omhandler en organisasjons forpliktelse til å sikre at det ved bruk av produkter og tjenester på leverandørsiden (inkludert skytjenesteleverandører) tas tilstrekkelig hensyn til risikonivået som ligger i bruk av eksterne systemer, og konsekvensene som kan ha på deres egen overholdelse av informasjonssikkerhet.
5.19 er en forebyggende kontroll Det endrer risiko ved å opprettholde prosedyrer som adresserer iboende sikkerhetsrisikoer knyttet til bruk av produkter og tjenester levert av tredjeparter.
Mens Kontroll 5.20 omhandler informasjonssikkerhet innenfor leverandøravtaler, er Kontroll 5.19 stort sett opptatt av etterlevelse gjennom hele forholdet.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Sikkerhet for leverandørforhold | #Governance and Ecosystem #Beskyttelse |
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
Mens Control 5.19 inneholder mye veiledning om bruk av IKT-tjenester, omfatter det bredere omfanget av kontrollen mange andre aspekter av en organisasjons forhold til leverandørbasen, inkludert leverandørtyper, logistikk, verktøy, finansielle tjenester og infrastrukturkomponenter).
Som sådan bør eierskapet til kontroll 5.19 ligge hos et medlem av toppledelsen som fører tilsyn med en organisasjons kommersielle drift, og opprettholder et direkte forhold til en organisasjons leverandører, som f.eks. Chief Operating Officer.
Overholdelse av kontroll 5.19 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til informasjonssikkerhet i leverandørforhold.
Emnespesifikke tilnærminger oppmuntrer organisasjoner til å lage leverandørrelaterte retningslinjer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge et teppe leverandørstyringspolitikk som gjelder alle tredjepartsforhold på tvers av en organisasjons kommersielle drift.
Det er viktig å merke seg at Control 5.19 ber organisasjonen implementere retningslinjer og prosedyrer som ikke bare styrer organisasjonens bruk av leverandørressurser og skyplattformer, men som også danner grunnlaget for hvordan de forventer at leverandørene deres skal oppføre seg før og gjennom hele perioden det kommersielle forholdet.
Som sådan kan Kontroll 5.19 sees på som det essensielle kvalifiserende dokumentet som dikterer hvordan informasjonssikkerhetsstyring håndteres i løpet av en leverandørkontrakt.
Kontroll 5.19 inneholder 14 hovedveiledningspunkter som skal følges:
1) Opprettholde en nøyaktig oversikt over leverandørtyper (f.eks. finansielle tjenester, IKT-maskinvare, telefoni) som har potensial til å påvirke informasjonssikkerhetens integritet.
Samsvar – Lag en liste over alle leverandører som din organisasjon jobber med, kategoriser dem i henhold til deres forretningsfunksjon og legg til kategorier til nevnte leverandørtyper etter behov.
2) Forstå hvordan du vet leverandører, basert på risikonivået som er iboende for deres leverandørtype.
Samsvar – Ulike leverandørtyper vil kreve ulike due diligence-kontroller. Vurder å bruke kontrollmetoder på leverandør-for-leverandør-basis (f.eks. bransjereferanser, regnskaper, vurderinger på stedet, sektorspesifikke sertifiseringer som Microsoft-partnerskap).
3) Identifiser leverandører som har forhåndseksisterende informasjonssikkerhetskontroller på plass.
Samsvar – Be om å se kopier av leverandørers relevante styringsprosedyrer for informasjonssikkerhet, for å vurdere risikoen for din egen organisasjon. Hvis de ikke har noen, er det ikke et godt tegn.
4) Identifiser og definer de spesifikke områdene av din organisasjons IKT-infrastruktur som leverandørene dine vil kunne enten få tilgang til, overvåke eller gjøre bruk av selv.
Samsvar – Det er viktig å fastslå fra første stund nøyaktig hvordan leverandørene dine skal samhandle med IKT-ressursene dine – enten de er fysiske eller virtuelle – og hvilke tilgangsnivåer de gis i henhold til kontraktsmessige forpliktelser.
5) Definer hvordan leverandørenes egen IKT-infrastruktur kan påvirke dine egne data og dine kunder.
Samsvar – En organisasjons første forpliktelse er sitt eget sett med informasjonssikkerhetsstandarder. Leverandørens IKT-ressurser må gjennomgås i samsvar med deres potensiale påvirke oppetid og integritet i hele organisasjonen.
6) Identifisere og administrere de ulike informasjonssikkerhetsrisikoer knyttet til:
a. Leverandørbruk av konfidensiell informasjon eller beskyttede eiendeler (f.eks. begrenset til ondsinnet bruk og/eller kriminelle hensikter).
b. Defekt leverandørmaskinvare eller feilfungerende programvareplattform knyttet til lokale eller skybaserte tjenester.
Samsvar – Organisasjoner må hele tiden være oppmerksomme på informasjonssikkerhetsrisikoene forbundet med katastrofale hendelser, for eksempel uhyggelig aktivitet på leverandørsiden eller store uforutsette programvarehendelser, og deres innvirkning på organisasjonens informasjonssikkerhet.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
7) Overvåk overholdelse av informasjonssikkerhet på et emnespesifikk eller leverandørtypebasis.
Samsvar – Organisasjonens behov for å sette pris på informasjonssikkerhetsimplikasjonene som ligger i hver leverandørtype, og justere deres overvåkingsaktivitet for å imøtekomme ulike risikonivåer.
8) Begrens mengden skade og/eller forstyrrelse forårsaket av manglende overholdelse.
Samsvar – Leverandøraktivitet bør overvåkes på en hensiktsmessig måte, og i varierende grad, i samsvar med risikonivået. Der det oppdages manglende overholdelse, enten proaktivt eller reaktivt, bør det iverksettes umiddelbare tiltak.
9) Vedlikehold a robust hendelseshåndteringsprosedyre som dekker en rimelig mengde beredskap.
Samsvar – Organisasjoner bør forstå nøyaktig hvordan de skal reagere når de står overfor et bredt spekter av hendelser knyttet til levering av tredjepartsprodukter og -tjenester, og skissere avhjelpende tiltak som inkluderer både leverandøren og organisasjonen.
10) Vedta tiltak som ivaretar tilgjengeligheten og behandlingen av leverandørens informasjon, uansett hvor den brukes, og sikrer dermed integriteten til organisasjonens egen informasjon.
Samsvar – Det bør iverksettes tiltak for å sikre at leverandørsystemer og data håndteres på en måte som ikke går på akkord med tilgjengeligheten og sikkerheten til organisasjonens egne systemer og informasjon.
11) Lag en grundig opplæringsplan som gir veiledning om hvordan personalet bør samhandle med leverandørpersonell og informasjon på leverandør-for-leverandør-basis, eller type-for-type-basis.
Samsvar – Opplæring bør dekke hele spekteret av styring mellom en organisasjon og dens leverandører, inkludert engasjement, detaljert risikostyringskontroller og temaspesifikke prosedyrer.
12) Forstå og administrere risikonivået ved overføring av informasjon og fysiske og virtuelle eiendeler mellom organisasjonen og deres leverandører.
Samsvar – Organisasjoner bør kartlegge hvert trinn i overføringsprosessen og utdanne ansatte om risiko forbundet med flytting av eiendeler og informasjon fra en kilde til en annen.
13) Sikre at leverandørforhold avsluttes med informasjonssikkerhet i tankene, inkludert fjerning av tilgangsrettigheter og muligheten til å få tilgang til organisasjonsinformasjon.
Samsvar – IKT-teamene dine bør ha en klar forståelse av hvordan de kan tilbakekalle en leverandørs tilgang til informasjon, inkludert:
14) Skisser nøyaktig hvordan du forventer at leverandøren skal opptre når det gjelder fysiske og virtuelle sikkerhetstiltak.
Samsvar – Organisasjoner bør stille klare forventninger fra begynnelsen av ethvert kommersielt forhold, som spesifiserer hvordan personell på leverandørsiden forventes å oppføre seg når de samhandler med dine ansatte eller eventuelle relevante eiendeler.
ISO erkjenner at det ikke alltid er mulig å pålegge en leverandør et fullstendig sett med retningslinjer som oppfyller hvert eneste krav fra listen ovenfor, slik Control 5.19 har til hensikt, spesielt når det gjelder rigide offentlige organisasjoner.
Når det er sagt, sier Kontroll 5.19 klart at organisasjoner bør bruke veiledningen ovenfor når de danner relasjoner med leverandører, og vurdere manglende etterlevelse fra sak til sak.
Der full overholdelse ikke er oppnåelig, gir Control 5.19 organisasjoner spillerom ved å anbefale "kompenserende kontroller" som oppnår tilstrekkelige nivåer av risikostyring, basert på en organisasjons unike omstendigheter.
27002:2022-5.19 erstatter 27002:2013-5.1.1 (Informasjonssikkerhetspolicy for leverandørforhold).
27002:2022-5.19 følger stort sett de samme underliggende konseptene i 2013-kontrollen, men inneholder flere tilleggsveiledningsområder som enten er utelatt fra 27002:2013-5.1.1, eller i det minste ikke dekket så mye detaljert, gjelder også:
27002:2022-5.19 er også eksplisitt i å erkjenne den svært varierende karakteren av leverandørforhold (basert på type, sektor og risikonivå), og gir organisasjoner et visst spillerom når de vurderer muligheten for manglende overholdelse av et gitt veiledningspunkt, basert på forholdets art (se "Supplerende veiledning" ovenfor).
Ved hjelp av ISMS.online du kan:
Det er en enkel sak å opprette en gratis prøvekonto og følge trinnene vi tilbyr.
Ta kontakt i dag for å bestill en demo.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
