Controle 5.20 regelt hoe een organisatie een contract vormt relatie met een leverancier, op basis van hun beveiligingseisen en het soort leveranciers waarmee ze zakendoen.
5.20 een preventieve controle dat houdt het risico in stand door wederzijds aanvaardbare verplichtingen vast te stellen tussen organisaties en hun leveranciers die zich bezighouden met informatiebeveiliging.
Terwijl Control 5.19 betrekking heeft op informatiebeveiliging overal de relatie houdt Control 5.20 zich bezig met de manier waarop organisaties bindende overeenkomsten sluiten vanuit de relatie begin van een relatie.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem #Bescherming |
Eigendom van zeggenschap 5.20 moet afhankelijk zijn van het feit of de organisatie al dan niet een eigen juridische afdeling heeft, en van de onderliggende aard van een eventuele ondertekende overeenkomst.
Als de organisatie de juridische capaciteit heeft om haar eigen contractuele overeenkomsten op te stellen, te wijzigen en op te slaan zonder tussenkomst van derden, moet het eigendom van 5.20 berusten bij de persoon die de uiteindelijke verantwoordelijkheid draagt voor juridisch bindende overeenkomsten binnen de organisatie (contracten, memo's van overeenstemming, SLA's enz.). .)
Als de organisatie dergelijke overeenkomsten uitbesteedt, moet het eigendom van Controle 5.20 berusten bij een lid van het senior management dat toezicht houdt op een commerciële bedrijfsvoering van de organisatie, en onderhoudt een directe relatie met de leveranciers van een organisatie, zoals a Chief Operating Officer.
Controle 5.20 bevat 25 richtlijnen die volgens ISO “in overweging kunnen worden genomen” (dus niet noodzakelijkerwijs allemaal) om te voldoen aan de informatiebeveiligingseisen van een organisatie.
Ongeacht welke maatregelen worden genomen, stelt Control 5.20 expliciet dat beide partijen het proces moeten afsluiten met een “duidelijk begrip” van hun verplichtingen op het gebied van informatiebeveiliging ten opzichte van elkaar.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Om organisaties te helpen bij het beheren van leveranciersrelaties stelt Control 5.20 dat organisaties een register van overeenkomsten.
Registers moeten alle overeenkomsten met andere organisaties vermelden, en gecategoriseerd op basis van de aard van de relatie, zoals contracten, memoranda van overeenstemming en overeenkomsten voor het delen van informatie.
ISO 27002:2022-5.20 vervangt 27002:2013-15.1.2 (Aandacht voor beveiliging binnen leveranciersovereenkomsten).
ISO 27002:2022-5.20 bevat tal van aanvullende richtlijnen die een breed scala aan technische, juridische en compliance-gerelateerde onderwerpen behandelen, waaronder:
In grote lijnen legt ISO 27002:2022-5.20 een veel grotere nadruk op wat er gebeurt aan het einde van een leveranciersrelatie, en kent veel meer belang toe aan de manier waarop een leverancier redundantie en gegevensintegriteit bereikt gedurende de looptijd van een overeenkomst.
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Neem vandaag nog contact op met boek een demo.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |