Informatiebeveiliging aanpakken binnen leveranciersovereenkomsten

ISO 27002:2022 – Controle 5.20 – Informatiebeveiliging aanpakken binnen leveranciersovereenkomsten

ISO 27002:2022 Control 5.20 zorgt ervoor dat organisaties duidelijke verplichtingen op het gebied van informatiebeveiliging vastleggen in leveranciersovereenkomsten om risico's te beperken. Hierbij worden verantwoordelijkheden, naleving van de wet en beveiligingsmaatregelen vanaf het begin van de leveranciersrelatie vastgelegd.

Doel van de controle 5.20

Controle 5.20 regelt hoe een organisatie een contract vormt relatie met een leverancier, op basis van hun beveiligingseisen en het soort leveranciers waarmee ze zakendoen.

5.20 een preventieve controle uit die houdt het risico in stand door wederzijds aanvaardbare verplichtingen vast te stellen tussen organisaties en hun leveranciers die zich bezighouden met informatiebeveiliging.

Terwijl Control 5.19 betrekking heeft op informatiebeveiliging overal de relatie houdt Control 5.20 zich bezig met de manier waarop organisaties bindende overeenkomsten sluiten vanuit de relatie begin van een relatie.

Kenmerken van controle 5.20

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Identificeren	#Beveiliging van leveranciersrelaties	#Governance en ecosysteem
	#Integriteit			#Bescherming
	#Beschikbaarheid

Eigendom van zeggenschap 5.20

Eigendom van zeggenschap 5.20 moet afhankelijk zijn van het feit of de organisatie al dan niet een eigen juridische afdeling heeft, en van de onderliggende aard van een eventuele ondertekende overeenkomst.

Als de organisatie de juridische capaciteit heeft om haar eigen contractuele overeenkomsten op te stellen, te wijzigen en op te slaan zonder tussenkomst van derden, moet het eigendom van 5.20 berusten bij de persoon die de uiteindelijke verantwoordelijkheid draagt voor juridisch bindende overeenkomsten binnen de organisatie (contracten, memo's van overeenstemming, SLA's enz.). .)

Als de organisatie dergelijke overeenkomsten uitbesteedt, moet het eigendom van Controle 5.20 berusten bij een lid van het senior management dat toezicht houdt op een commerciële bedrijfsvoering van de organisatie, en onderhoudt een directe relatie met de leveranciers van een organisatie, zoals a Chief Operating Officer.

ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start

Algemene richtlijnen voor controle 5.20

Controle 5.20 bevat 25 richtlijnen die volgens ISO “in overweging kunnen worden genomen” (dus niet noodzakelijkerwijs allemaal) om te voldoen aan de informatiebeveiligingseisen van een organisatie.

Ongeacht welke maatregelen worden genomen, stelt Control 5.20 expliciet dat beide partijen het proces moeten afsluiten met een “duidelijk begrip” van hun verplichtingen op het gebied van informatiebeveiliging ten opzichte van elkaar.

Er moet een duidelijke beschrijving worden gegeven waarin gedetailleerd wordt aangegeven welke informatie op welke manier dan ook toegankelijk moet zijn, en hoe die informatie toegankelijk zal worden gemaakt.
De organisatie moet de informatie waartoe toegang moet worden verkregen classificeren in overeenstemming met het gepubliceerde classificatieschema (zie Controle 5.10, Controle 5.12 en Controle 5.13).
Er moet voldoende aandacht worden besteed aan het classificatieschema aan de leverancierszijde, en hoe dit zich verhoudt tot de classificatie van informatie door de organisatie.
De rechten van beide partijen moeten worden onderverdeeld in vier hoofdgebieden: juridisch, statutair, regelgevend en contractueel. Binnen deze vier gebieden moeten verschillende verplichtingen duidelijk worden omschreven, zoals standaard is in commerciële overeenkomsten, waaronder toegang tot PII, intellectuele eigendomsrechten en auteursrechtbepalingen. De overeenkomst moet ook bepalen hoe elk van deze sleutelgebieden achtereenvolgens zal worden aangepakt.
Elke partij zou verplicht moeten worden een reeks gelijktijdige controles uit te voeren die toezicht houden, beoordelen en beheren informatiebeveiligingsrisico niveaus (zoals toegangscontrolebeleid, contractuele beoordelingen, systeemmonitoring, rapportage en periodieke audits). Bovendien moet de overeenkomst duidelijk aangeven dat het personeel van leveranciers zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie Controle 5.20).
Er moet een duidelijk begrip zijn van wat zowel aanvaardbaar als onaanvaardbaar gebruik van informatie en fysieke en virtuele activa van beide partijen inhoudt.
Er moeten procedures worden ingesteld die betrekking hebben op de autorisatieniveaus die vereist zijn voor personeel aan de leverancierskant om toegang te krijgen tot de informatie van een organisatie of deze te bekijken (bijvoorbeeld lijsten met geautoriseerde gebruikers, audits aan de leverancierskant, controles op servertoegang).
Informatiebeveiliging moet worden bezien naast de eigen ICT-infrastructuur van de leverancier, en hoe dat zich verhoudt tot het soort informatie waartoe de organisatie toegang heeft verleend, de risicocriteria en de basisset van bedrijfsvereisten van de organisatie.
Er moet worden nagedacht over welke stappen de organisatie kan ondernemen in geval van contractbreuk van de kant van de leverancier of het niet naleven van individuele bepalingen.
De overeenkomst moet duidelijk een wederzijds karakter schetsen Incidentbeheerprocedure waarin duidelijk wordt vastgelegd wat er moet gebeuren als zich problemen voordoen, vooral wat betreft de manier waarop het incident tussen beide partijen wordt gecommuniceerd.
Er moet personeel van beide partijen worden ingezet adequate bewustwordingstraining (waar standaardtraining niet voldoende is) op belangrijke gebieden van de overeenkomst, met name wat betreft belangrijke risicogebieden zoals Incident Management en het verlenen van toegang tot informatie.
Er moet voldoende aandacht worden besteed aan het inschakelen van onderaannemers. Als het de leverancier is toegestaan gebruik te maken van onderaannemers, moeten de organisaties stappen ondernemen om ervoor te zorgen dat dergelijke personen of bedrijven zich houden aan dezelfde reeks informatiebeveiligingseisen als de leverancier.
Waar dit juridisch mogelijk en operationeel relevant is, moeten organisaties overwegen hoe het personeel van leveranciers wordt gescreend voordat er met hun informatie wordt gewerkt, en hoe de screening wordt geregistreerd en gerapporteerd aan de organisatie, inclusief niet-gescreend personeel en aandachtspunten.
Organisaties moeten de noodzaak van attesten van derden bepalen die het vermogen van de leverancier verifiëren om aan de eisen op het gebied van informatiebeveiliging van de organisatie te voldoen, inclusief onafhankelijke rapporten en audits door derden.
Organisaties moeten het contractuele recht hebben om de procedures van een leverancier te beoordelen en te auditen, met betrekking tot Controle 5.20.
Leveranciers moeten verplicht zijn om (met wisselende tussenpozen) rapporten te leveren die betrekking hebben op de effectiviteit van hun eigen processen en procedures, en op de manier waarop zij eventuele kwesties die in een dergelijk rapport aan de orde komen, willen aanpakken.
De overeenkomst moet stappen ondernemen om te zorgen voor een tijdige en grondige oplossing van eventuele gebreken of conflicten die zich in de loop van de relatie voordoen.
Waar relevant moet de leverancier te werk gaan met een robuust BUDR-beleid, in lijn met de behoeften van de organisatie, dat drie belangrijke overwegingen omvat:
a) Back-uptype (volledige server, bestand en map enz., incrementeel enz.)
b) Back-upfrequentie (dagelijks, wekelijks etc.)
c) Back-uplocatie en bronmedia (onsite, offsite)

De veerkracht van de gegevens moet worden bereikt door te werken met een noodherstellocatie die gescheiden is van de belangrijkste ICT-locatie van de leverancier en die niet aan hetzelfde risiconiveau is blootgesteld.
De leverancier moet werken met een alomvattend verandermanagementbeleid die de organisatie vooraf op de hoogte stelt van eventuele wijzigingen die van invloed kunnen zijn op de informatiebeveiliging, en de organisatie de mogelijkheid biedt dergelijke wijzigingen af te wijzen.
Fysieke beveiligingscontroles (toegang tot gebouwen, bezoekerstoegang, toegang tot kamers, bureaubeveiliging) moeten worden vastgesteld die relevant zijn voor het soort informatie waartoe zij toegang hebben.
Wanneer de noodzaak zich voordoet om over te stappen informatie tussen activasites, servers of opslaglocaties moet de leverancier ervoor zorgen dat gegevens en bedrijfsmiddelen gedurende het hele proces beschermd zijn tegen verlies, schade of corruptie.
De overeenkomst moet een uitgebreide lijst bevatten van de maatregelen die door beide partijen moeten worden genomen in het geval van beëindiging (zie ook Controle 5.20), inclusief (maar niet beperkt tot):
a) Vervreemding en/of verhuizing van activa
b) Verwijdering van informatie
c) Teruggave van IP
d) Verwijdering van toegangsrechten
e) Doorlopende vertrouwelijkheidsverplichtingen

In aanvulling op punt 23 moet de leverancier precies uiteenzetten hoe hij de informatie van de organisatie wil vernietigen/definitief verwijderen op het moment dat deze niet langer nodig is (dat wil zeggen in geval van beëindiging).
Als aan het einde van een contract de noodzaak ontstaat om ondersteuning en/of diensten over te dragen aan een andere aanbieder die niet in de overeenkomst vermeld staat, worden er stappen ondernomen om ervoor te zorgen dat het proces resulteert in nul bedrijfsonderbrekingen.

Ondersteunende controles

5.10
5.12
5.13
5.20

Aanvullende begeleiding

Om organisaties te helpen bij het beheren van leveranciersrelaties stelt Control 5.20 dat organisaties een register van overeenkomsten.

Registers moeten alle overeenkomsten met andere organisaties vermelden, en gecategoriseerd op basis van de aard van de relatie, zoals contracten, memoranda van overeenstemming en overeenkomsten voor het delen van informatie.

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

ISO 27002:2022-5.20 vervangt 27002:2013-15.1.2 (Aandacht voor beveiliging binnen leveranciersovereenkomsten).

ISO 27002:2022-5.20 bevat tal van aanvullende richtlijnen die een breed scala aan technische, juridische en compliance-gerelateerde onderwerpen behandelen, waaronder:

Overdrachtsprocedures
Vernietiging van informatie
Beëindigingsclausules
Fysieke beveiligingscontroles
Wijzig beheer
Back-ups en informatieredundantie

In grote lijnen legt ISO 27002:2022-5.20 een veel grotere nadruk op wat er gebeurt aan het einde van een leveranciersrelatie, en kent veel meer belang toe aan de manier waarop een leverancier redundantie en gegevensintegriteit bereikt gedurende de looptijd van een overeenkomst.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.

Neem vandaag nog contact op met boek een demo.

Wij zijn een leider in ons vakgebied