ISO 27001:2022 Bijlage A 5.20 – Aandacht voor informatiebeveiliging binnen leveranciersovereenkomsten

Wat is het doel van ISO 27001:2022 bijlage A 5.20?

ISO 27001 Annex A Controle 5.20 regelt hoe een organisatie een contract aangaat met een leverancier op basis van hun veiligheidseisen. Dit is gebaseerd op het soort leveranciers waarmee ze samenwerken.

Als onderdeel van Bijlage A Controle 5.20 moeten organisaties en hun leveranciers onderling overeenstemming bereiken aanvaardbare informatiebeveiliging verplichtingen om het risico te behouden.

Wie is eigenaar van bijlage A 5.20?

Bijlage Controle 5.20 moet worden bepaald door de vraag of de organisatie een eigen juridische afdeling heeft, en door de aard van de overeenkomst die is ondertekend.

Het beheren van eventuele wijzigingen in de supply chain beleid, procedures en controles, inclusief het onderhouden en verbeteren van bestaand beleid, procedures en controles op het gebied van informatiebeveiliging, wordt als effectieve controle beschouwd.

Dit wordt bepaald door rekening te houden met de kriticiteit van bedrijfsinformatie, de aard van de verandering, het type/de leveranciers die hierdoor worden beïnvloed, de betrokken systemen en processen, en het opnieuw beoordelen van risicofactoren. Bij het veranderen van de diensten die een leverancier levert, moet ook rekening worden gehouden met de intimiteit van de relatie en het vermogen van de organisatie om de verandering te beïnvloeden of te beheersen.

Het eigendom van 5.20 moet berusten bij de persoon die verantwoordelijk is voor juridisch bindende overeenkomsten binnen de organisatie (contracten, memo's van overeenstemming, dienstverleningsovereenkomsten, enz.) als de organisatie de wettelijke bevoegdheid heeft om haar contractovereenkomsten op te stellen, te wijzigen en op te slaan zonder tussenkomst van de organisatie. van derden.

Een lid van het senior management van de organisatie dat toezicht houdt op de commerciële activiteiten van de organisatie en directe relaties onderhoudt met haar leveranciers, moet de verantwoordelijkheid op zich nemen voor Bijlage A Controle 5.20 als de organisatie dergelijke overeenkomsten uitbesteedt.

ISO 27001:2022 Bijlage A 5.20 Algemene richtlijnen

Controle 5.20 van bijlage A bevat 25 richtlijnen die volgens ISO “mogelijk in overweging kunnen worden genomen” (dat wil zeggen niet noodzakelijkerwijs allemaal) voor organisaties om aan hun informatiebeveiligingseisen te voldoen.

Bijlage A Controle 5.20 specificeert dat, ongeacht de genomen maatregelen, beide partijen uit het proces moeten komen met een “duidelijk begrip” van elkaars verplichtingen op het gebied van informatiebeveiliging.

1. Het is van essentieel belang dat er een duidelijke beschrijving wordt gegeven van de informatie waartoe toegang moet worden verkregen en hoe deze informatie zal worden verkregen.
2. Organisaties moeten informatie classificeren aan de hand van hun gepubliceerde classificatieschema's (zie Bijlage A Controles 5.10, 5.12 en 5.13).
3. Informatie classificatie aan de kant van de leverancier moet worden bekeken, samen met hoe dit zich verhoudt tot die aan de kant van de organisatie.
4. Over het algemeen kunnen de rechten van beide partijen worden onderverdeeld in vier categorieën: juridisch, statutair, regelgevend en contractueel. Zoals standaard is bij commerciële overeenkomsten, moeten binnen deze vier gebieden verschillende verplichtingen duidelijk worden omschreven, waaronder toegang tot persoonlijke informatie, intellectuele eigendomsrechten en auteursrechtbepalingen. Het contract moet ook bepalen hoe deze belangrijke gebieden afzonderlijk zullen worden aangepakt.
5. Als onderdeel van het controlesysteem van bijlage A zou van elke partij moeten worden geëist dat zij gelijktijdige maatregelen implementeren die zijn ontworpen om informatiebeveiligingsrisico's te monitoren, beoordelen en beheren (zoals beleid voor toegangscontrole, contractuele beoordelingen, monitoring, rapportage en periodieke audits). Bovendien moet in de overeenkomst duidelijk worden vastgelegd dat het personeel van de leverancier moet voldoen aan de informatiebeveiligingsnormen van de organisatie (zie ISO 27001 Annex A Controle 5.20).
6. Beide partijen moeten duidelijk begrijpen wat aanvaardbaar en onaanvaardbaar gebruik van informatie is, evenals van fysieke en virtuele activa.
7. Om ervoor te zorgen dat personeel aan de leverancierskant toegang heeft tot de informatie van een organisatie en deze kan bekijken, moeten er procedures worden ingevoerd (bijvoorbeeld audits aan de leverancierskant en controles op de servertoegang).
8. Naast het kijken naar de ICT-infrastructuur van de leverancier, is het belangrijk om te begrijpen hoe deze zich verhoudt tot het soort informatie waartoe de organisatie toegang krijgt. Dit is een aanvulling op de kernbehoeften van de organisatie.
9. Als de leverancier het contract schendt of individuele voorwaarden niet naleeft, moet de organisatie overwegen welke stappen zij kan ondernemen.
10. Concreet moet de overeenkomst een procedure voor wederzijds incidentbeheer beschrijven die verduidelijkt hoe problemen moeten worden aangepakt wanneer deze zich voordoen. Dit omvat ook de manier waarop beide partijen moeten communiceren wanneer zich een incident voordoet.
11. Beide partijen moeten zorgen voor adequate bewustwordingstraining (waar standaardtraining niet voldoende is) op belangrijke gebieden van de overeenkomst, met name op risicogebieden zoals incidentbeheer en het delen van informatie.
12. Het gebruik van onderaannemers moet adequaat worden aangepakt. Organisaties moeten ervoor zorgen dat, als de leverancier gebruik mag maken van onderaannemers, deze personen of bedrijven zich aan dezelfde informatiebeveiligingsnormen houden als de leverancier.
13. Voor zover dit juridisch en operationeel mogelijk is, moeten organisaties overwegen hoe personeel van leveranciers wordt gescreend voordat er met hun informatie wordt gewerkt. Bovendien moeten ze overwegen hoe screenings worden geregistreerd en gerapporteerd aan de organisatie, inclusief niet-gescreend personeel en aandachtspunten.
14. Attest van derden, zoals onafhankelijk rapporten en audits door derden, zou door organisaties verplicht moeten zijn voor leveranciers die voldoen aan hun informatiebeveiligingseisen.
15. ISO 27001:2022 bijlage A Controle 5.20 vereist dat organisaties het recht hebben om de procedures van hun leveranciers te evalueren en te controleren.
16. Van een leverancier moet worden verlangd dat hij periodieke rapporten verstrekt (met variërende tussenpozen) waarin de effectiviteit van zijn processen en procedures wordt samengevat en hoe hij van plan is eventuele problemen aan te pakken.
17. Tijdens de relatie moet de overeenkomst maatregelen omvatten om ervoor te zorgen dat eventuele gebreken of conflicten tijdig en grondig worden opgelost.
18. De leverancier moet een passend BUDR-beleid implementeren, afgestemd op de behoeften van de organisatie, dat rekening houdt met drie belangrijke overwegingen: a) Back-uptype (volledige server, bestand en map, incrementeel), b) Back-upfrequentie (dagelijks, wekelijks, enz.). ) C) Back-uplocatie en bronmedia (onsite, offsite).
19. Het is van essentieel belang om de veerkracht van de gegevens te garanderen door te opereren vanuit een noodherstelfaciliteit die gescheiden is van de belangrijkste ICT-locatie van de leverancier. Deze faciliteit is niet onderhevig aan hetzelfde risiconiveau als de hoofd-ICT-locatie.
20. Leveranciers moeten een alomvattend verandermanagementbeleid voeren dat de organisatie in staat stelt om eventuele wijzigingen die van invloed kunnen zijn op de informatiebeveiliging vooraf te verwerpen.
21. Fysieke beveiligingscontroles moeten worden geïmplementeerd afhankelijk van de informatie waartoe zij toegang hebben (toegang tot gebouwen, bezoekerstoegang, toegang tot kamers, bureaubeveiliging).
22. Telkens wanneer gegevens worden overgedragen tussen activa, sites, servers of opslaglocaties, moeten leveranciers ervoor zorgen dat de gegevens en activa worden beschermd tegen verlies, schade of corruptie.
23. Als onderdeel van de overeenkomst zou elke partij verplicht moeten worden een uitgebreide lijst met maatregelen te nemen in geval van beëindiging (zie Bijlage A Controle 5.20). Deze acties omvatten (maar zijn niet beperkt tot): a) het weggooien van activa en/of verhuizing, b) het verwijderen van informatie, c) het retourneren van IP, d) het verwijderen van toegangsrechten e) het voortzetten van vertrouwelijkheidsverplichtingen.
24. In aanvulling op punt 23 moet de leverancier in detail bespreken hoe hij van plan is de informatie van de organisatie te vernietigen/permanent te verwijderen wanneer deze niet langer nodig is (dat wil zeggen bij de beëindiging van het contract).
25. Wanneer een contract afloopt en de noodzaak ontstaat om ondersteuning en/of diensten over te dragen aan een andere aanbieder die niet op het contract staat vermeld, worden er stappen ondernomen om ervoor te zorgen dat de bedrijfsactiviteiten niet worden onderbroken.

Bijbehorende bijlage A-controles

• ISO 27001:2022 Bijlage A 5.10
• ISO 27001:2022 Bijlage A 5.12
• ISO 27001:2022 Bijlage A 5.13
• ISO 27001:2022 Bijlage A 5.20

Aanvullend richtsnoer bij bijlage A 5.20

Bijlage A Controle 5.20 beveelt aan dat organisaties een register van overeenkomsten bijhouden om hen te helpen bij het beheren van hun leveranciersrelaties.

Er moeten gegevens worden bijgehouden van alle overeenkomsten met andere organisaties, ingedeeld naar de aard van de relatie. Dit omvat contracten, memoranda van overeenstemming en overeenkomsten met betrekking tot het delen van informatie.

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

Er is een wijziging aangebracht in ISO 27001:2013 bijlage A 15.1.2 (De beveiliging aanpakken binnen leveranciersovereenkomsten) ISO 27001:2022 Bijlage A Controle 5.20.

In bijlage A Controle 5.20 van ISO 27001:2022 zijn verschillende aanvullende richtlijnen opgenomen die een breed scala aan technische, juridische en compliance-gerelateerde kwesties behandelen, waaronder:

• De overdrachtsprocedure.
• Vernietiging van informatie.
• Bepalingen voor beëindiging.
• Controles voor fysieke veiligheid.
• Verandermanagement.
• Informatieredundantie en back-ups.

Als algemene regel benadrukt ISO 27001:2022 bijlage A 5.20 hoe een leverancier redundantie en gegevensintegriteit gedurende een contract bereikt.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Wat zijn de voordelen van het gebruik van ISMS.online voor leveranciersrelaties?

Een stap-voor-stap checklist begeleidt u door het geheel Implementatieproces ISO 27001, van het definiëren van de reikwijdte van uw ISMS tot het identificeren van risico’s en het implementeren van controles.

Via het eenvoudig te gebruiken accountrelaties (bijvoorbeeld leverancier)-gedeelte van ISMS.online kunt u ervoor zorgen dat uw relaties zorgvuldig worden geselecteerd, goed worden beheerd en gecontroleerd en beoordeeld. De collaboratieve projectwerkruimtes van ISMS.online hebben deze controledoelstelling gemakkelijk bereikt. Deze werkruimtes zijn handig voor onboarding van leveranciers, gezamenlijke initiatieven, offboarding etc., waar de auditor indien nodig ook gemakkelijk zicht op heeft.

Ook voor uw organisatie hebben wij deze beheersingsdoelstelling eenvoudiger gemaakt, doordat u kunt aantonen dat de leverancier zich formeel heeft gecommitteerd aan het naleven van de eisen. Dit gebeurt via onze Beleidspakketten. Deze beleidspakketten zijn vooral nuttig voor organisaties met specifieke beleidsregels en controles waarvan zij willen dat hun leveranciers zich hieraan houden, zodat zij erop kunnen vertrouwen dat hun leveranciers dit beleid hebben gelezen en zich ertoe hebben verbonden deze na te leven.

Het kan nodig zijn om de wijziging af te stemmen op A.6.1.5 Informatiebeveiliging in projectmanagement, afhankelijk van de aard van de wijziging (bijvoorbeeld voor meer substantiële wijzigingen).

Boek vandaag nog een demo.