ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.12: Essentials for Supplier Management
Å danne og vedlikeholde produktive leverandørrelasjoner utgjør en stor del av de fleste moderne databaserte virksomheter – enten gjennom levering av utstyr, støttetjenester eller underleverandører.
Fra begynnelsen av forholdet, og gjennom hele tjenestekontraktens varighet, må begge parter være kontinuerlig oppmerksomme på sine forpliktelser i forhold til personverninformasjonssikkerhet, og standarder bør tilpasses for å sikre PII og garantere integriteten til sensitiv informasjon.
Hva dekkes av ISO 27701 klausul 6.12
ISO 27701 klausul 6.12 består av to bestanddeler:
- ISO 27701 6.12.1 – Informasjonssikkerhet i leverandørforhold
- ISO 27701 6.12.2 – Levering av leverandørtjenester
På tvers av disse to avsnittene er det 5 underklausuler som inneholder veiledning fra ISO 27002, brukt i sammenheng med håndtering av personverninformasjon og sikkerhet:
- ISO 27701 6.12.1.1 – Informasjonssikkerhetspolicy for leverandørforhold (ISO 27002 Control 5.19)
- ISO 27701 6.12.1.2 – Adressering av sikkerhet innenfor leverandøravtaler (ISO 27002 Kontroll 5.20)
- ISO 27701 6.12.1.3 – Forsyningskjede for informasjons- og kommunikasjonsteknologi (ISO 27002 kontroll 5.21)
- ISO 27701 6.12.2.1 – Overvåking og gjennomgang av leverandørtjenester (ISO 27002 Kontroll 5.22)
- ISO 27701 6.12.2.2 – Administrere endringer i leverandørtjenester (ISO 27002 kontroll 5.22)
Bare én artikkel inneholder veiledning som gjelder for Storbritannia GDPR lovverk – (ISO 27701 6.12.1.2). Artikkelnumrene er gitt for enkelhets skyld.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.12.1.1 – Beskyttelse av testdata
Referanser ISO 27002 Kontroll 5.19
Organisasjoner må implementere retningslinjer og prosedyrer som ikke bare styrer organisasjonens bruk av leverandørressurser og skyplattformer, men også danner grunnlaget for hvordan de forventer at leverandørene deres skal oppføre seg før og gjennom hele varigheten av det kommersielle forholdet, spesielt når det gjelder PII og personvernrelaterte eiendeler.
ISO 27701 6.12.1.1 kan sees på som det essensielle kvalifiserende dokumentet som dikterer hvordan personverninformasjon håndteres i løpet av en leverandørkontrakt.
Organisasjoner bør:
- Opprettholde en oversikt over leverandørtyper som har potensial til å påvirke personverninformasjonssikkerheten.
- Forstå hvordan du vet leverandører, basert på varierende risikonivåer.
- Identifiser leverandører som har forhåndseksisterende kontroller for personverninformasjon på plass.
- Identifiser områder av organisasjonens IKT-infrastruktur som leverandører vil kunne få tilgang til eller se.
- Definer hvordan leverandørenes egen infrastruktur kan påvirke personvernet.
- Identifiser og administrer personvernrisikoen knyttet til:
- Bruk av konfidensiell informasjon.
- Bruk av beskyttede eiendeler.
- Defekt maskinvare eller funksjonsfeil programvare.
- Overvåk overholdelse av personverninformasjonssikkerhet på et emnespesifikk eller leverandør-type basis.
- Begrens eventuelle forstyrrelser forårsaket som følge av manglende overholdelse.
- Operer med en hendelseshåndteringsprosedyre.
- Implementer en grundig opplæringsplan som informerer personalet om hvordan de bør samhandle med leverandører.
- Vær nøye med å overføre personverninformasjon og fysiske og virtuelle eiendeler mellom organisasjonen og leverandørene.
- Sørg for at leverandørforhold avsluttes med tanke på personverninformasjon.
Organisasjoner bør bruke veiledningen ovenfor når de danner nye relasjoner med leverandører, og vurdere manglende etterlevelse fra sak til sak.
ISO erkjenner at kommersielle relasjoner varierer voldsomt fra sektor til sektor og virksomhet til virksomhet, og gir organisasjoner spillerom ved å anbefale utforskninger av «kompenserende kontroller» som søker å oppnå de samme underliggende personvernprinsippene.
ISO 27701 klausul 6.12.1.2 – Håndtering av sikkerhet innenfor leverandøravtaler
Referanser ISO 27002 Kontroll 5.20
Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.
Ved å gjøre dette bør organisasjoner:
- Tilby en tydelig beskrivelse som beskriver personverninformasjonen som må åpnes, og hvordan denne informasjonen skal få tilgang.
- Klassifiser personverninformasjonen som skal åpnes i henhold til et akseptert klassifiseringsskjema (se ISO 27002 kontroller 5.10, 5.12 og 5.13).
- Ta tilstrekkelig hensyn til leverandørens eget klassifiseringssystem.
- Kategoriser rettigheter i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig – med en detaljert beskrivelse av forpliktelser per område.
- Sikre at hver part er forpliktet til å vedta en rekke kontroller som overvåker, vurderer og administrerer personverninformasjonssikkerhetsrisikonivåer.
- Skisser behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se ISO 27002 Kontroll 5.20).
- Tilrettelegge for en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av personverninformasjon og fysiske og virtuelle eiendeler fra begge parter.
- Vedta autorisasjonskontroller som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons personverninformasjon.
- Ta hensyn til hva som skjer ved kontraktsbrudd eller manglende overholdelse av individuelle bestemmelser.
- Skissere en hendelseshåndteringsprosedyre, inkludert hvordan større hendelser kommuniseres.
- Sørge for at personell får opplæring i sikkerhetsbevissthet.
- (Hvis leverandøren har tillatelse til å bruke underleverandører) legg til krav for å sikre at underleverandører er på linje med det samme sett med standarder for personverninformasjonssikkerhet som leverandøren.
- Vurder hvordan leverandørpersonell blir screenet før de samhandler med personverninformasjon.
- Fastsetter behovet for tredjepartsattester som adresserer leverandørens evne til å oppfylle organisatoriske krav til personverninformasjonssikkerhet.
- Har avtalefestet rett til å revidere en leverandørs prosedyrer.
- Krev at leverandører leverer rapporter som beskriver effektiviteten til deres egne prosesser og prosedyrer.
- Fokuser på å ta skritt for å påvirke rettidig og grundig løsning av eventuelle mangler eller konflikter.
- Sikre at leverandører opererer med en adekvat BUDR-policy for å beskytte integriteten og tilgjengeligheten til PII og personvernrelaterte eiendeler.
- Krev en policy for endringsstyring på leverandørsiden som informerer organisasjonen om eventuelle endringer som har potensial til å påvirke personvernet.
- Implementer fysiske sikkerhetskontroller som er proporsjonale med sensitiviteten til dataene som lagres og behandles.
- (Hvor data skal overføres) be leverandører om å sikre at data og eiendeler er beskyttet mot tap, skade eller korrupsjon.
- Skissere en liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse.
- Be leverandøren om å skissere hvordan de har til hensikt å ødelegge personverninformasjon etter oppsigelse, eller at dataene ikke lenger er nødvendige.
- Ta skritt for å sikre minimalt med forretningsavbrudd i løpet av en overleveringsperiode.
Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.
Gjeldende GDPR-artikler
- Artikkel 5 (1) (f)
- Artikkel 28 (1)
- Artikkel 28 (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), (3)(g) , (3)(h)
- Artikkel 30 (2) (d)
- Artikkel 32 (1)(b)
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.12.1.3 – Forsyningskjede for informasjons- og kommunikasjonsteknologi
Referanser ISO 27002 Kontroll 5.21
Når organisasjoner trekker ut deler av forsyningskjeden deres, for å sikre PII og personvernrelaterte eiendeler, bør organisasjoner:
- Lag et klart sett med standarder for personverninformasjonssikkerhet som leverandører og kontraktører er fullt fortrolige med.
- Be leverandører om å gi informasjon om eventuelle programvarekomponenter som brukes til å levere en tjeneste.
- Identifiser sikkerhetsfunksjonene til ethvert produkt eller tjeneste som leveres, og fastsett hvordan nevnte produkter og tjenester skal drives på en måte som ikke kompromitterer personverninformasjonssikkerheten.
- Utkast til prosedyrer som sikrer at produkter eller tjenester faller innenfor aksepterte industristandarder.
- Følg en prosess som identifiserer og registrerer elementer av et produkt eller en tjeneste som er avgjørende for å opprettholde kjernefunksjonalitet.
- Be leverandører om å gi forsikringer om at enkelte komponenter har en vedlagt revisjonslogg som beviser bevegelse gjennom hele forsyningskjeden.
- Be om sikkerhet for at produkter og tjenester ikke inneholder funksjoner som kan utgjøre en sikkerhetsrisiko.
- Sikre at leverandørene vurderer tiltak mot tukling gjennom hele utviklingens livssyklus.
- Søk forsikringer om at alle produkter eller tjenester som leveres er i samsvar med bransjestandardene for personverninformasjonssikkerhet.
- Ta skritt for å sikre at leverandører er klar over sine forpliktelser når de deler personverninformasjon gjennom hele forsyningskjeden.
- Utkast til prosedyrer som håndterer risiko ved drift med utilgjengelige, ikke-støttede eller eldre komponenter.
Det er viktig å merke seg at kvalitetskontroll ikke nødvendigvis omfatter granulær inspeksjon av leverandørens egne prosedyrer.
Organisasjoner bør implementere leverandørspesifikke kontroller som bekrefter tredjepartsorganisasjoner som en anerkjent kilde, innenfor sfæren for personverninformasjon.
ISO 27701 klausul 6.12.2.1 – Overvåking og gjennomgang av leverandørtjenester
Referanser ISO 27002 Kontroll 5.22
Organisasjoner må kontinuerlig være klar over hvordan leverandørtjenester leveres – og til hvilke nivåer – for å opprettholde en trygg og sikker personverninformasjonshåndtering.
For å oppnå dette bør organisasjoner:
- Overvåke tjenestenivåer i samsvar med publiserte SLAer.
- Løs eventuelle tjenestemangler eller hendelser så raskt som mulig, spesielt de som påvirker PII eller personvernrelaterte eiendeler.
- Overvåke eventuelle endringer som gjøres av leverandøren i deres egen drift som har potensial til å påvirke personvernet, inkludert eventuelle tjenestespesifikke endringer.
- Be om å få regelmessige servicerapporter og planlagte gjennomgangsmøter.
- Undersøk outsourcingpartnere og underleverandører, og forfølge eventuelle bekymringsområder.
- Operere innenfor avtalte Incident Management standarder og praksis.
- Hold oversikt over sikkerhetshendelser for personverninformasjon, driftsproblemer og feil.
- Fremhev eventuelle sikkerhetssårbarheter i informasjonssikkerheten og reduser dem i størst mulig grad.
- Vær oppmerksom på leverandørenes forhold til egne leverandører og underleverandører, og hvordan dette påvirker personvernet innenfor organisasjonens grenser.
- Identifiser personell på leverandørsiden som er ansvarlig for å opprettholde vilkårene i tjenestekontrakten.
- Utføre revisjoner som bekrefter en leverandørs evne til å opprettholde tilstrekkelige standarder for personverninformasjon.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.12.2.2 – Administrere endringer i leverandørtjenester
Referanser ISO 27002 Kontroll 5.22
Se ISO 27701 klausul 6.12.2.1
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.12.1.1 | Informasjonssikkerhetspolicy for leverandørforhold |
5.19 – Informasjonssikkerhet i leverandørforhold for ISO 27002 |
none |
| 6.12.1.2 | Håndtering av sikkerhet innenfor leverandøravtaler |
5.20 – Adressering av informasjonssikkerhet innenfor leverandøravtaler for ISO 27002 |
Artikler (5), (28), (30), (32) |
| 6.12.1.3 | Forsyningskjede for informasjons- og kommunikasjonsteknologi |
5.21 – Håndtering av informasjonssikkerhet i IKT-forsyningskjeden for ISO 27002 |
none |
| 6.12.2.1 | Overvåking og gjennomgang av leverandørtjenester |
5.22 – Overvåking, gjennomgang og endringsstyring av leverandørtjenester for ISO 27002 |
none |
| 6.12.2.2 | Administrere endringer i leverandørtjenester |
5.22 – Overvåking, gjennomgang og endringsstyring av leverandørtjenester for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Det kan være vanskelig å vite hvor du skal begynne med ISO 27701, spesielt hvis du aldri har vært nødt til å gjøre noe lignende før. Det er her ISMS.online kommer inn!
Våre ISO 27701-løsninger gir rammeverk som lar organisasjonen din demonstrere samsvar med ISO 27701.
Våre informasjonssikkerhetseksperter kan samarbeide med deg for å sikre at du utvikler en logisk implementeringsprosess som er på linje med det elektroniske dokumentasjonsrammeverket.
Finn ut mer ved å bestille en praktisk demo.
