Controle 5.19 heeft betrekking op de verplichting van een organisatie om ervoor te zorgen dat bij het gebruik van producten en diensten aan de leverancierszijde (waaronder aanbieders van clouddiensten) voldoende aandacht wordt besteed aan het risiconiveau dat inherent is aan het gebruik van externe systemen, en de daaruit voortvloeiende impact die dit kan hebben op de bedrijfsvoering. hun eigen naleving van informatiebeveiliging.
5.19 een preventieve controle dat wijzigt het risico door procedures te handhaven die inherente veiligheidsrisico's aanpakken die verband houden met het gebruik van producten en diensten geleverd door derden.
Terwijl Control 5.20 zich bezighoudt met informatiebeveiliging binnen leveranciersovereenkomsten, houdt Control 5.19 zich in grote lijnen bezig met de naleving ervan gedurende de hele relatie.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem #bescherming |
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Hoewel Controle 5.19 veel richtlijnen bevat over het gebruik van ICT-diensten, omvat de bredere reikwijdte van de controle vele andere aspecten van de relatie van een organisatie met haar leveranciersbestand, waaronder soorten leveranciers, logistiek, nutsvoorzieningen, financiële diensten en infrastructuurcomponenten.
Als zodanig moet het eigendom van Controle 5.19 berusten bij een lid van het senior management dat toezicht houdt op de commerciële activiteiten van een organisatie en een directe relatie onderhoudt met de leveranciers van een organisatie, zoals een Chief Operating Officer.
Naleving van Controle 5.19 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot informatiebeveiliging in leveranciersrelaties.
Themaspecifieke benaderingen moedigen organisaties aan om leveranciersgerelateerd beleid te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen beleid. leveranciersmanagementbeleid dat geldt voor alle relaties met derden binnen de commerciële activiteiten van een organisatie.
Het is belangrijk op te merken dat Controle 5.19 van de organisatie vraagt om beleid en procedures te implementeren die niet alleen het gebruik van leveranciersbronnen en cloudplatforms door de organisatie regelen, maar ook de basis vormen van hoe zij verwachten dat hun leveranciers zich zullen gedragen voorafgaand aan en gedurende de looptijd van de overeenkomst. de commerciële relatie.
Als zodanig kan Control 5.19 worden gezien als het essentiële kwalificerende document dat dicteert hoe informatiebeveiligingsbeheer wordt afgehandeld in de loop van een leverancierscontract.
Controle 5.19 bevat 14 belangrijke richtlijnen waaraan moet worden voldaan:
1) Zorg voor een nauwkeurige registratie van de soorten leveranciers (bijvoorbeeld financiële diensten, ICT-hardware, telefonie) die de integriteit van de informatiebeveiliging kunnen beïnvloeden.
Conformiteit – Stel een lijst op van alle leveranciers waarmee uw organisatie samenwerkt, categoriseer ze op basis van hun bedrijfsfunctie en voeg indien nodig categorieën toe aan de genoemde soorten leveranciers.
2) Begrijp hoe u leveranciers kunt onderzoeken, op basis van het risiconiveau dat inherent is aan hun leverancierstype.
Conformiteit – Verschillende typen leveranciers vereisen verschillende due diligence-onderzoeken. Overweeg het gebruik van controlemethoden per leverancier (bijvoorbeeld sectorreferenties, financiële overzichten, beoordelingen op locatie, sectorspecifieke certificeringen zoals Microsoft Partnerships).
3) Identificeer leveranciers die reeds bestaande informatiebeveiligingscontroles hebben ingevoerd.
Conformiteit – Vraag om kopieën van de relevante procedures voor het beheer van informatiebeveiliging van leveranciers, om het risico voor uw eigen organisatie te evalueren. Als ze er geen hebben, is dat geen goed teken.
4) Identificeer en definieer de specifieke gebieden van de ICT-infrastructuur van uw organisatie waartoe uw leveranciers toegang kunnen krijgen, deze kunnen monitoren of waar zij zelf gebruik van kunnen maken.
Conformiteit – Het is belangrijk om vanaf het begin precies vast te stellen hoe uw leveranciers zullen omgaan met uw ICT-middelen – of deze nu fysiek of virtueel zijn – en welke toegangsniveaus hun worden verleend in overeenstemming met hun contractuele verplichtingen.
5) Definieer hoe de eigen ICT-infrastructuur van de leverancier van invloed kan zijn op uw eigen data en die van uw klanten.
Conformiteit – De eerste verplichting van een organisatie is het voldoen aan haar eigen set informatiebeveiligingsnormen. ICT-middelen van leveranciers moeten worden beoordeeld in overeenstemming met hun potentieel invloed hebben op de uptime en integriteit in uw hele organisatie.
6) Identificeer en beheer de verschillende risico's op het gebied van informatiebeveiliging gehecht aan:
a. Gebruik door leveranciers van vertrouwelijke informatie of beschermde activa (bijvoorbeeld beperkt tot kwaadwillig gebruik en/of criminele bedoelingen).
b. Defecte hardware van de leverancier of een defect softwareplatform geassocieerd met on-premise of cloudgebaseerde services.
Conformiteit – Organisaties moeten zich voortdurend bewust zijn van de informatiebeveiligingsrisico’s die gepaard gaan met catastrofale gebeurtenissen, zoals snode gebruikersactiviteiten aan de kant van de leverancier of grote onvoorziene software-incidenten, en de impact daarvan op de informatiebeveiliging van de organisatie.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
7) Bewaak de naleving van informatiebeveiliging op basis van een onderwerp of leveranciertype.
Conformiteit – De behoefte van organisaties om de implicaties voor de informatiebeveiliging te onderkennen die inherent zijn aan elk type leverancier, en hun monitoringactiviteiten aan te passen aan de verschillende risiconiveaus.
8) Beperk de hoeveelheid schade en/of verstoring veroorzaakt door niet-naleving.
Conformiteit – De activiteiten van leveranciers moeten op passende wijze en in verschillende mate worden gemonitord, in overeenstemming met het risiconiveau ervan. Wanneer niet-naleving wordt ontdekt, proactief of reactief, moet onmiddellijk actie worden ondernomen.
9) Handhaaf een robuuste incidentbeheerprocedure waarmee een redelijk aantal onvoorziene omstandigheden wordt aangepakt.
Conformiteit – Organisaties moeten precies begrijpen hoe ze moeten reageren wanneer ze worden geconfronteerd met een breed scala aan gebeurtenissen met betrekking tot de levering van producten en diensten van derden, en herstelmaatregelen moeten schetsen waarbij zowel de leverancier als de organisatie betrokken zijn.
10) Maatregelen treffen die inspelen op de beschikbaarheid en verwerking van de informatie van de leverancier, waar deze ook wordt gebruikt, en daarbij de integriteit van de eigen informatie van de organisatie waarborgen.
Conformiteit – Er moeten stappen worden ondernomen om ervoor te zorgen dat de systemen en gegevens van leveranciers worden behandeld op een manier die geen afbreuk doet aan de beschikbaarheid en veiligheid van de eigen systemen en informatie van de organisatie.
11) Stel een gedegen trainingsplan op dat richtlijnen biedt voor de manier waarop het personeel moet omgaan met het personeel van de leverancier en informatie verstrekt per leverancier, of per type.
Conformiteit – Training moet het volledige spectrum van governance tussen een organisatie en haar leveranciers bestrijken, inclusief betrokkenheid, gedetailleerd risicobeheercontroles en onderwerpspecifieke procedures.
12) Begrijp en beheer het risiconiveau dat inherent is aan de overdracht van informatie en fysieke en virtuele activa tussen de organisatie en hun leveranciers.
Conformiteit – Organisaties moeten elke fase van het overdrachtsproces in kaart brengen en het personeel informeren over de risico's verbonden aan het verplaatsen van activa en informatie van de ene bron naar de andere.
13) Zorg ervoor dat leveranciersrelaties worden beëindigd met het oog op informatiebeveiliging, inclusief het verwijderen van toegangsrechten en de mogelijkheid om toegang te krijgen tot organisatie-informatie.
Conformiteit – Uw ICT-teams moeten duidelijk begrijpen hoe ze de toegang van een leverancier tot informatie kunnen intrekken, waaronder:
14) Geef precies aan hoe u van de leverancier verwacht dat hij zich gedraagt op het gebied van fysieke en virtuele beveiligingsmaatregelen.
Conformiteit – Organisaties moeten vanaf het begin van elke commerciële relatie duidelijke verwachtingen scheppen, waarin wordt gespecificeerd hoe personeel aan de leverancierskant zich moet gedragen in de omgang met uw personeel of andere relevante activa.
ISO erkent dat het niet altijd mogelijk is om een volledige set beleidsmaatregelen op te leggen aan een leverancier die voldoet aan alle vereisten uit de bovenstaande lijst, zoals Control 5.19 beoogt, vooral als het gaat om rigide organisaties in de publieke sector.
Dat gezegd zijnde stelt Controle 5.19 duidelijk dat organisaties de bovenstaande richtlijnen moeten gebruiken bij het aangaan van relaties met leveranciers, en niet-naleving van geval tot geval moeten overwegen.
Waar volledige naleving niet haalbaar is, geeft Control 5.19 organisaties speelruimte door “compenserende controles” aan te bevelen die adequate niveaus van risicobeheer bereiken, gebaseerd op de unieke omstandigheden van een organisatie.
27002:2022-5.19 vervangt 27002:2013-5.1.1 (Informatiebeveiligingsbeleid voor leveranciersrelaties).
27002:2022-5.19 houdt zich in grote lijnen aan dezelfde onderliggende concepten als opgenomen in de controle van 2013, maar bevat wel een aantal aanvullende richtlijnen die ofwel zijn weggelaten uit 27002:2013-5.1.1, of op zijn minst niet zo gedetailleerd zijn behandeld. inbegrepen:
27002:2022-5.19 erkent ook expliciet de zeer variabele aard van leveranciersrelaties (op basis van type, sector en risiconiveau), en geeft organisaties een zekere mate van speelruimte bij het overwegen van de mogelijkheid van niet-naleving van een bepaald richtsnoer. op basis van de aard van de relatie (zie 'Aanvullende richtlijnen' hierboven).
gebruik ISMS.online jij kan:
Het is eenvoudig een kwestie van een gratis proefaccount aanmaken en de stappen volgen die wij bieden.
Neem vandaag nog contact op met boek een demo.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
