Kontroll 5.20 styrer hvordan en organisasjon danner en kontrakt forhold til en leverandør, basert på deres sikkerhetskrav og typen leverandører de har å gjøre med.
5.20 er en forebyggende kontroll Det opprettholder risiko ved å etablere gjensidig akseptable forpliktelser mellom organisasjoner og deres leverandører som omhandler informasjonssikkerhet.
Mens Control 5.19 styrer med informasjonssikkerhet hele forholdet er Kontroll 5.20 opptatt av hvordan organisasjoner danner bindende avtaler fra Begynn av et forhold.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Sikkerhet for leverandørforhold | #Governance og økosystem #Beskyttelse |
Eierskap til kontroll 5.20 bør være avhengig av om organisasjonen driver sin egen juridiske avdeling eller ikke, og den underliggende karakteren til enhver signert avtale.
Hvis organisasjonen har juridisk kapasitet til å utarbeide, endre og lagre sine egne kontraktsavtaler uten involvering av tredjepart, bør eierskapet til 5.20 ligge hos personen som har det endelige ansvaret for juridisk bindende avtaler i organisasjonen (kontrakter, memoer om forståelse, SLAer osv.) .)
Hvis organisasjonen outsourcer slike avtaler, bør eierskapet til Control 5.20 ligge hos et medlem av toppledelsen som fører tilsyn med en organisasjonens kommersielle drift, og opprettholder et direkte forhold til en organisasjons leverandører, for eksempel en Chief Operating Officer.
Kontroll 5.20 inneholder 25 veiledningspunkter som ISO oppgir "kan vurderes" (dvs. ikke nødvendigvis alle) for å oppfylle en organisasjons krav til informasjonssikkerhet.
Uavhengig av hvilke tiltak som vedtas, sier Kontroll 5.20 eksplisitt at begge parter skal gå ut av prosessen med en "klar forståelse" av deres informasjonssikkerhetsforpliktelser overfor hverandre.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
For å hjelpe organisasjoner med å administrere leverandørforhold, sier Kontroll 5.20 at organisasjoner bør opprettholde en register over avtaler.
Registrene bør liste opp alle avtaler som holdes med andre organisasjoner, og kategorisert etter forholdets art, som f.eks kontrakter, memorandums of understanding og avtaler om informasjonsdeling.
ISO 27002:2022-5.20 erstatter 27002:2013-15.1.2 (Adresser sikkerhet innenfor leverandøravtaler).
ISO 27002:2022-5.20 inneholder en rekke tilleggsveiledninger som omhandler et bredt spekter av tekniske, juridiske og samsvarsrelaterte emner, inkludert:
I store trekk legger ISO 27002:2022-5.20 mye større vekt på hva som skjer på slutten av et leverandørforhold, og legger langt større vekt på hvordan en leverandør oppnår redundans og dataintegritet i løpet av en avtale.
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |