ISO 27002:2022 – Controle 5.20 – Informatiebeveiliging aanpakken binnen leveranciersovereenkomsten

ISO 27002:2022 Control 5.20 zorgt ervoor dat organisaties duidelijke verplichtingen op het gebied van informatiebeveiliging vastleggen in leveranciersovereenkomsten om risico's te beperken. Hierbij worden verantwoordelijkheden, naleving van de wet en beveiligingsmaatregelen vanaf het begin van de leveranciersrelatie vastgelegd.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 10 februari 2025
LinkedIn Twitter Twitter

Doel van de controle 5.20

Controle 5.20 regelt hoe een organisatie een contract vormt relatie met een leverancier, op basis van hun beveiligingseisen en het soort leveranciers waarmee ze zakendoen.

5.20 een preventieve controle uit die houdt het risico in stand door wederzijds aanvaardbare verplichtingen vast te stellen tussen organisaties en hun leveranciers die zich bezighouden met informatiebeveiliging.

Terwijl Control 5.19 betrekking heeft op informatiebeveiliging overal de relatie houdt Control 5.20 zich bezig met de manier waarop organisaties bindende overeenkomsten sluiten vanuit de relatie begin van een relatie.

Kenmerken van controle 5.20

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid#Identificeren#Beveiliging van leveranciersrelaties#Governance en ecosysteem
#Integriteit#Bescherming
#Beschikbaarheid

Eigendom van zeggenschap 5.20

Eigendom van zeggenschap 5.20 moet afhankelijk zijn van het feit of de organisatie al dan niet een eigen juridische afdeling heeft, en van de onderliggende aard van een eventuele ondertekende overeenkomst.

Als de organisatie de juridische capaciteit heeft om haar eigen contractuele overeenkomsten op te stellen, te wijzigen en op te slaan zonder tussenkomst van derden, moet het eigendom van 5.20 berusten bij de persoon die de uiteindelijke verantwoordelijkheid draagt ​​voor juridisch bindende overeenkomsten binnen de organisatie (contracten, memo's van overeenstemming, SLA's enz.). .)

Als de organisatie dergelijke overeenkomsten uitbesteedt, moet het eigendom van Controle 5.20 berusten bij een lid van het senior management dat toezicht houdt op een commerciële bedrijfsvoering van de organisatie, en onderhoudt een directe relatie met de leveranciers van een organisatie, zoals a Chief Operating Officer.



Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Algemene richtlijnen voor controle 5.20

Controle 5.20 bevat 25 richtlijnen die volgens ISO “in overweging kunnen worden genomen” (dus niet noodzakelijkerwijs allemaal) om te voldoen aan de informatiebeveiligingseisen van een organisatie.

Ongeacht welke maatregelen worden genomen, stelt Control 5.20 expliciet dat beide partijen het proces moeten afsluiten met een “duidelijk begrip” van hun verplichtingen op het gebied van informatiebeveiliging ten opzichte van elkaar.

  1. Er moet een duidelijke beschrijving worden gegeven waarin gedetailleerd wordt aangegeven welke informatie op welke manier dan ook toegankelijk moet zijn, en hoe die informatie toegankelijk zal worden gemaakt.
  2. De organisatie moet de informatie waartoe toegang moet worden verkregen classificeren in overeenstemming met het gepubliceerde classificatieschema (zie Controle 5.10, Controle 5.12 en Controle 5.13).
  3. Er moet voldoende aandacht worden besteed aan het classificatieschema aan de leverancierszijde, en hoe dit zich verhoudt tot de classificatie van informatie door de organisatie.
  4. De rechten van beide partijen moeten worden onderverdeeld in vier hoofdgebieden: juridisch, statutair, regelgevend en contractueel. Binnen deze vier gebieden moeten verschillende verplichtingen duidelijk worden omschreven, zoals standaard is in commerciële overeenkomsten, waaronder toegang tot PII, intellectuele eigendomsrechten en auteursrechtbepalingen. De overeenkomst moet ook bepalen hoe elk van deze sleutelgebieden achtereenvolgens zal worden aangepakt.
  5. Elke partij zou verplicht moeten worden een reeks gelijktijdige controles uit te voeren die toezicht houden, beoordelen en beheren informatiebeveiligingsrisico niveaus (zoals toegangscontrolebeleid, contractuele beoordelingen, systeemmonitoring, rapportage en periodieke audits). Bovendien moet de overeenkomst duidelijk aangeven dat het personeel van leveranciers zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie Controle 5.20).
  6. Er moet een duidelijk begrip zijn van wat zowel aanvaardbaar als onaanvaardbaar gebruik van informatie en fysieke en virtuele activa van beide partijen inhoudt.
  7. Er moeten procedures worden ingesteld die betrekking hebben op de autorisatieniveaus die vereist zijn voor personeel aan de leverancierskant om toegang te krijgen tot de informatie van een organisatie of deze te bekijken (bijvoorbeeld lijsten met geautoriseerde gebruikers, audits aan de leverancierskant, controles op servertoegang).
  8. Informatiebeveiliging moet worden bezien naast de eigen ICT-infrastructuur van de leverancier, en hoe dat zich verhoudt tot het soort informatie waartoe de organisatie toegang heeft verleend, de risicocriteria en de basisset van bedrijfsvereisten van de organisatie.
  9. Er moet worden nagedacht over welke stappen de organisatie kan ondernemen in geval van contractbreuk van de kant van de leverancier of het niet naleven van individuele bepalingen.
  10. De overeenkomst moet duidelijk een wederzijds karakter schetsen Incidentbeheerprocedure waarin duidelijk wordt vastgelegd wat er moet gebeuren als zich problemen voordoen, vooral wat betreft de manier waarop het incident tussen beide partijen wordt gecommuniceerd.
  11. Er moet personeel van beide partijen worden ingezet adequate bewustwordingstraining (waar standaardtraining niet voldoende is) op belangrijke gebieden van de overeenkomst, met name wat betreft belangrijke risicogebieden zoals Incident Management en het verlenen van toegang tot informatie.
  12. Er moet voldoende aandacht worden besteed aan het inschakelen van onderaannemers. Als het de leverancier is toegestaan ​​gebruik te maken van onderaannemers, moeten de organisaties stappen ondernemen om ervoor te zorgen dat dergelijke personen of bedrijven zich houden aan dezelfde reeks informatiebeveiligingseisen als de leverancier.
  13. Waar dit juridisch mogelijk en operationeel relevant is, moeten organisaties overwegen hoe het personeel van leveranciers wordt gescreend voordat er met hun informatie wordt gewerkt, en hoe de screening wordt geregistreerd en gerapporteerd aan de organisatie, inclusief niet-gescreend personeel en aandachtspunten.
  14. Organisaties moeten de noodzaak van attesten van derden bepalen die het vermogen van de leverancier verifiëren om aan de eisen op het gebied van informatiebeveiliging van de organisatie te voldoen, inclusief onafhankelijke rapporten en audits door derden.
  15. Organisaties moeten het contractuele recht hebben om de procedures van een leverancier te beoordelen en te auditen, met betrekking tot Controle 5.20.
  16. Leveranciers moeten verplicht zijn om (met wisselende tussenpozen) rapporten te leveren die betrekking hebben op de effectiviteit van hun eigen processen en procedures, en op de manier waarop zij eventuele kwesties die in een dergelijk rapport aan de orde komen, willen aanpakken.
  17. De overeenkomst moet stappen ondernemen om te zorgen voor een tijdige en grondige oplossing van eventuele gebreken of conflicten die zich in de loop van de relatie voordoen.
  18. Waar relevant moet de leverancier te werk gaan met een robuust BUDR-beleid, in lijn met de behoeften van de organisatie, dat drie belangrijke overwegingen omvat:

    a) Back-uptype (volledige server, bestand en map enz., incrementeel enz.)
    b) Back-upfrequentie (dagelijks, wekelijks etc.)
    c) Back-uplocatie en bronmedia (onsite, offsite)

  19. De veerkracht van de gegevens moet worden bereikt door te werken met een noodherstellocatie die gescheiden is van de belangrijkste ICT-locatie van de leverancier en die niet aan hetzelfde risiconiveau is blootgesteld.
  20. De leverancier moet werken met een alomvattend verandermanagementbeleid die de organisatie vooraf op de hoogte stelt van eventuele wijzigingen die van invloed kunnen zijn op de informatiebeveiliging, en de organisatie de mogelijkheid biedt dergelijke wijzigingen af ​​te wijzen.
  21. Fysieke beveiligingscontroles (toegang tot gebouwen, bezoekerstoegang, toegang tot kamers, bureaubeveiliging) moeten worden vastgesteld die relevant zijn voor het soort informatie waartoe zij toegang hebben.
  22. Wanneer de noodzaak zich voordoet om over te stappen informatie tussen activasites, servers of opslaglocaties moet de leverancier ervoor zorgen dat gegevens en bedrijfsmiddelen gedurende het hele proces beschermd zijn tegen verlies, schade of corruptie.
  23. De overeenkomst moet een uitgebreide lijst bevatten van de maatregelen die door beide partijen moeten worden genomen in het geval van beëindiging (zie ook Controle 5.20), inclusief (maar niet beperkt tot):

    a) Vervreemding en/of verhuizing van activa
    b) Verwijdering van informatie
    c) Teruggave van IP
    d) Verwijdering van toegangsrechten
    e) Doorlopende vertrouwelijkheidsverplichtingen

  24. In aanvulling op punt 23 moet de leverancier precies uiteenzetten hoe hij de informatie van de organisatie wil vernietigen/definitief verwijderen op het moment dat deze niet langer nodig is (dat wil zeggen in geval van beëindiging).
  25. Als aan het einde van een contract de noodzaak ontstaat om ondersteuning en/of diensten over te dragen aan een andere aanbieder die niet in de overeenkomst vermeld staat, worden er stappen ondernomen om ervoor te zorgen dat het proces resulteert in nul bedrijfsonderbrekingen.

Ondersteunende controles

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Aanvullende begeleiding

Om organisaties te helpen bij het beheren van leveranciersrelaties stelt Control 5.20 dat organisaties een register van overeenkomsten.

Registers moeten alle overeenkomsten met andere organisaties vermelden, en gecategoriseerd op basis van de aard van de relatie, zoals contracten, memoranda van overeenstemming en overeenkomsten voor het delen van informatie.



Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

ISO 27002:2022-5.20 vervangt 27002:2013-15.1.2 (Aandacht voor beveiliging binnen leveranciersovereenkomsten).

ISO 27002:2022-5.20 bevat tal van aanvullende richtlijnen die een breed scala aan technische, juridische en compliance-gerelateerde onderwerpen behandelen, waaronder:

  • Overdrachtsprocedures
  • Vernietiging van informatie
  • Beëindigingsclausules
  • Fysieke beveiligingscontroles
  • Wijzig beheer
  • Back-ups en informatieredundantie

In grote lijnen legt ISO 27002:2022-5.20 een veel grotere nadruk op wat er gebeurt aan het einde van een leveranciersrelatie, en kent veel meer belang toe aan de manier waarop een leverancier redundantie en gegevensintegriteit bereikt gedurende de looptijd van een overeenkomst.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NieuwBedreigingsintelligentie
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.30NieuwICT gereed voor bedrijfscontinuïteit
7.4NieuwFysieke beveiligingsmonitoring
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.16NieuwMonitoring activiteiten
8.23NieuwWeb filtering
8.28NieuwVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NieuwBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.1208.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.1709.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NieuwICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NieuwFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NieuwMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NieuwWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NieuwVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.

Neem vandaag nog contact op met boek een demo.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Lente 2025
Momentum Leader - Lente 2025
Regionale leider - voorjaar 2025 VK
Regionale leider - Lente 2025 EU
Beste schatting ROI onderneming - lente 2025
Meest waarschijnlijk om Enterprise aan te bevelen - Lente 2025

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!