ISO 27002:2022, Kontroll 5.20 – Adressering av informasjonssikkerhet innenfor leverandøravtaler

Generell veiledning om kontroll 5.20

Kontroll 5.20 inneholder 25 veiledningspunkter som ISO oppgir "kan vurderes" (dvs. ikke nødvendigvis alle) for å oppfylle en organisasjons krav til informasjonssikkerhet.

Uavhengig av hvilke tiltak som vedtas, sier Kontroll 5.20 eksplisitt at begge parter skal gå ut av prosessen med en "klar forståelse" av deres informasjonssikkerhetsforpliktelser overfor hverandre.

1. Det bør gis en klar beskrivelse som beskriver informasjonen som må få tilgang til på noen måte, og hvordan denne informasjonen skal få tilgang.
2. Organisasjonen bør klassifisere informasjonen som skal aksesseres i samsvar med sin publiserte klassifiseringsordning (se kontroll 5.10, kontroll 5.12 og kontroll 5.13).
3. Det bør tas tilstrekkelig hensyn til klassifiseringsordningen på leverandørsiden, og hvordan dette forholder seg til organisasjonens klassifisering av informasjon.
4. Begge parters rettigheter bør kategoriseres i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig. Innenfor disse fire områdene bør ulike forpliktelser være tydelig skissert, som er standard i kommersielle avtaler, inkludert tilgang til PII, immaterielle rettigheter og opphavsrettsbestemmelser. Avtalen bør også dekke hvordan hvert av disse nøkkelområdene skal behandles etter tur.
5. Hver part bør være forpliktet til å vedta en rekke samtidige kontroller som overvåker, vurderer og administrerer informasjonssikkerhetsrisiko nivåer (som tilgangskontrollpolicyer, kontraktsgjennomganger, systemovervåking, rapportering og periodisk revisjon). I tillegg bør avtalen tydelig skissere behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se kontroll 5.20).
6. Det bør være en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av informasjon, og fysiske og virtuelle eiendeler fra begge parter.
7. Det bør etableres prosedyrer som omhandler autorisasjonsnivåene som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons informasjon (f.eks. autoriserte brukerlister, revisjoner på leverandørsiden, servertilgangskontroller).
8. Informasjonssikkerhet bør vurderes ved siden av leverandørens egen IKT-infrastruktur, og hvordan dette forholder seg til den type informasjon organisasjonen har gitt tilgang til. risikokriterier og organisasjonens grunnleggende sett med forretningskrav.
9. Det bør vurderes hvilke handlinger organisasjonen er i stand til å ta ved kontraktsbrudd fra leverandørens side, eller manglende overholdelse av individuelle krav.
10. Avtalen bør tydelig skissere en gjensidig Prosedyre for hendelseshåndtering som tydelig angir hva som skal skje når det oppstår problemer, spesielt når det gjelder hvordan hendelsen kommuniseres mellom begge parter.
11. Personell fra begge parter bør gis tilstrekkelig bevisstgjøringstrening (der standard opplæring ikke er tilstrekkelig) på nøkkelområder i avtalen, spesielt når det gjelder nøkkelrisikoområder som Incident Management og tilgang til informasjon.
12. Det bør vies tilstrekkelig oppmerksomhet til bruk av underleverandører. Hvis leverandøren har tillatelse til å bruke underleverandører, bør organisasjonene ta skritt for å sikre at slike personer eller selskaper er på linje med det samme sett med informasjonssikkerhetskrav som leverandøren.
13. Der det er juridisk mulig og operativt relevant, bør organisasjoner vurdere hvordan leverandørpersonell blir screenet før de samhandler med informasjonen deres, og hvordan screening registreres og rapporteres til organisasjonen, inkludert ikke-screenet personell og områder for bekymring.
14. Organisasjoner bør fastsette behovet for tredjepartsattester som bekrefter leverandørens evne til å oppfylle organisatoriske krav til informasjonssikkerhet, inkludert uavhengige rapporter og tredjepartsrevisjoner.
15. Organisasjoner bør ha kontraktsmessig rett til å vurdere og revidere en leverandørs prosedyrer, knyttet til kontroll 5.20.
16. Leverandører bør ha en forpliktelse til å levere rapporter (med varierende intervaller) som dekker effektiviteten til deres egne prosesser og prosedyrer, og hvordan de har til hensikt å adressere eventuelle problemer som tas opp i en slik rapport.
17. Avtalen bør ta skritt for å sikre rettidig og grundig løsning av eventuelle mangler eller konflikter som finner sted i løpet av forholdet.
18. Der det er relevant, bør leverandøren operere med en robust BUDR-policy, i tråd med organisasjonens behov, som dekker tre hovedhensyn:
    
    a) Sikkerhetskopieringstype (full server, fil og mappe osv., inkrementell osv.)
    b) Sikkerhetskopieringsfrekvens (daglig, ukentlig osv.)
    c) Sikkerhetskopieringsplassering og kildemedier (på stedet, utenfor stedet)
19. Dataresiliens bør oppnås ved å operere med et nødgjenopprettingssted som er atskilt fra leverandørens hoved-IKT-sted, og som ikke er underlagt samme risikonivå.
20. Leverandøren bør operere med en omfattende policy for endringsledelse som gir organisasjonen forhåndsvarsling om endringer som kan påvirke informasjonssikkerheten, og gir organisasjonen mulighet til å avvise slike endringer.
21. Fysiske sikkerhetskontroller (bygningstilgang, besøkstilgang, romtilgang, skrivebordssikkerhet) bør vedtas som er relevante for hva slags informasjon de har tilgang til.
22. Når behovet oppstår for å overføre informasjon mellom eiendeler, nettsteder, servere eller lagringsplasser, bør leverandøren sørge for at data og eiendeler er beskyttet mot tap, skade eller korrupsjon gjennom hele prosessen.
23. Avtalen bør skissere en omfattende liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse (se også kontroll 5.20), inkludert (men ikke begrenset til):
    
    a) Avhending og/eller flytting av eiendeler
    b) Sletting av informasjon
    c) Retur av IP
    d) Fjerning av tilgangsrettigheter
    e) Løpende taushetsplikt
24. Videre til punkt 23 bør leverandøren skissere nøyaktig hvordan den har til hensikt å ødelegge/permanent slette organisasjonens informasjon i det øyeblikket det ikke lenger er nødvendig (dvs. ved oppsigelse).
25. Dersom det ved avtaleslutt oppstår behov for å overlevere støtte og/eller tjenester til en annen leverandør som ikke er oppført på avtalen, iverksettes tiltak for å sikre at prosessen medfører null driftsavbrudd.

Støttekontroller

• 5.10
• 5.12
• 5.13
• 5.20

Supplerende veiledning

For å hjelpe organisasjoner med å administrere leverandørforhold, sier Kontroll 5.20 at organisasjoner bør opprettholde en register over avtaler.

Registrene bør liste opp alle avtaler som holdes med andre organisasjoner, og kategorisert etter forholdets art, som f.eks kontrakter, memorandums of understanding og avtaler om informasjonsdeling.

Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2022-5.20 erstatter 27002:2013-15.1.2 (Adresser sikkerhet innenfor leverandøravtaler).

ISO 27002:2022-5.20 inneholder en rekke tilleggsveiledninger som omhandler et bredt spekter av tekniske, juridiske og samsvarsrelaterte emner, inkludert:

• Overleveringsprosedyrer
• Ødeleggelse av informasjon
• Oppsigelsesklausuler
• Fysiske sikkerhetskontroller
• Endringsledelse
• Sikkerhetskopier og informasjonsredundans

I store trekk legger ISO 27002:2022-5.20 mye større vekt på hva som skjer på slutten av et leverandørforhold, og legger langt større vekt på hvordan en leverandør oppnår redundans og dataintegritet i løpet av en avtale.

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.

Ta kontakt i dag for å bestill en demo.