ISO 27001:2022 Anhang A Kontrolle 5.19

Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 5.19

Die Einhaltung von Annex A Control 5.19 beinhaltet die Einhaltung dessen, was als a bekannt ist „themenspezifischer“ Ansatz zur Informationssicherheit in Lieferantenbeziehungen.

Eine Organisation möchte möglicherweise, dass Lieferanten auf bestimmte hochwertige Informationsbestände zugreifen und zu ihnen beitragen (z. B. Entwicklung von Softwarecode, Informationen zur Gehaltsabrechnung in der Buchhaltung). Sie müssten daher klare Vereinbarungen darüber treffen, welchen Zugriff sie ihnen genau gewähren, damit sie die damit verbundene Sicherheit kontrollieren können.

Dies ist besonders wichtig, da immer mehr Informationsmanagement-, Verarbeitungs- und Technologiedienstleistungen ausgelagert werden. Das bedeutet, dass es einen Ort gibt, an dem man zeigen kann, wie die Beziehung verwaltet wird. Verträge, Kontakte, Vorfälle, Beziehungsaktivitäten und Risikomanagement usw. Wenn der Lieferant ebenfalls eng in die Organisation eingebunden ist, jedoch möglicherweise nicht über ein eigenes zertifiziertes ISMS verfügt, lohnt es sich auch, sicherzustellen, dass die Mitarbeiter des Lieferanten geschult und sicherheitsbewusst sind und in Ihren Richtlinien usw. geschult sind, um die Einhaltung der Vorschriften zu demonstrieren.

Themenspezifische Ansätze ermutigen Organisationen, lieferantenbezogene Richtlinien zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Lieferantenmanagementrichtlinie zu halten, die für alle Beziehungen zu Dritten im gesamten Geschäftsbetrieb einer Organisation gilt.

Es ist wichtig zu beachten, dass ISO 27001 Annex A Control 5.19 die Organisation auffordert, Richtlinien und Verfahren zu implementieren, die nicht nur die Nutzung von Lieferantenressourcen und Cloud-Plattformen durch die Organisation regeln, sondern auch die Grundlage dafür bilden, wie sie von ihren Lieferanten erwarten, dass sie sich vor und nach verhalten während der gesamten Dauer der Geschäftsbeziehung.

Daher kann Annex A Control 5.19 als das wesentliche qualifizierende Dokument angesehen werden, das vorschreibt, wie die Informationssicherheits-Governance im Verlauf eines Lieferantenvertrags gehandhabt wird.

ISO 27001 Annex A Control 5.19 enthält 14 Hauptleitpunkte, die eingehalten werden müssen:

1) Führen Sie eine genaue Aufzeichnung der Lieferantentypen (z. B. Finanzdienstleistungen, IKT-Hardware, Telefonie), die das Potenzial haben, die Integrität der Informationssicherheit zu beeinträchtigen.

Compliance – Erstellen Sie eine Liste aller Lieferanten, mit denen Ihr Unternehmen zusammenarbeitet, kategorisieren Sie sie nach ihrer Geschäftsfunktion und fügen Sie bei Bedarf Kategorien zu den Lieferantentypen hinzu.

2) Verstehen Sie, wie Lieferanten auf der Grundlage des für ihren Lieferantentyp inhärenten Risikoniveaus überprüft werden.

Compliance – Unterschiedliche Lieferantentypen erfordern unterschiedliche Due-Diligence-Prüfungen. Erwägen Sie den Einsatz von Überprüfungsmethoden auf Lieferantenbasis (z. B. Branchenreferenzen, Finanzberichte, Vor-Ort-Bewertungen, branchenspezifische Zertifizierungen wie Microsoft-Partnerschaften).

3) Identifizieren Sie Lieferanten, die bereits über bestehende Informationssicherheitskontrollen verfügen.

Compliance – Bitten Sie darum, Kopien der relevanten Verfahren zur Informationssicherheits-Governance der Lieferanten einzusehen, um das Risiko für Ihre eigene Organisation einschätzen zu können. Wenn sie keine haben, ist das kein gutes Zeichen.

4) Identifizieren und definieren Sie die spezifischen Bereiche der IKT-Infrastruktur Ihrer Organisation, auf die Ihre Lieferanten zugreifen, die sie überwachen oder die sie selbst nutzen können.

Compliance – Es ist wichtig, von Anfang an genau festzulegen, wie Ihre Lieferanten mit Ihren IKT-Ressourcen interagieren – sei es physisch oder virtuell – und welche Zugriffsebenen ihnen gemäß ihren vertraglichen Verpflichtungen gewährt werden.

5) Definieren Sie, wie sich die eigene IKT-Infrastruktur der Lieferanten auf Ihre eigenen Daten und die Ihrer Kunden auswirken kann.

Compliance – Die erste Verpflichtung einer Organisation besteht darin, ihre eigenen Informationssicherheitsstandards einzuhalten. Die IKT-Ressourcen der Lieferanten müssen daraufhin überprüft werden, ob sie die Betriebszeit und Integrität in Ihrem gesamten Unternehmen beeinträchtigen können.

6) Identifizieren und verwalten Sie die verschiedenen Informationssicherheitsrisiken, die mit Folgendem verbunden sind:

A. Nutzung vertraulicher Informationen oder geschützter Vermögenswerte durch Lieferanten (z. B. beschränkt auf böswillige Nutzung und/oder kriminelle Absicht).

B. Fehlerhafte Hardware des Lieferanten oder fehlerhafte Softwareplattform im Zusammenhang mit On-Premise- oder Cloud-basierten Diensten.

Compliance – Unternehmen müssen sich ständig der Informationssicherheitsrisiken bewusst sein, die mit katastrophalen Ereignissen wie böswilligen Benutzeraktivitäten auf Lieferantenseite oder größeren unvorhergesehenen Softwarevorfällen einhergehen, und deren Auswirkungen auf die Informationssicherheit des Unternehmens.

7) Überwachen Sie die Einhaltung der Informationssicherheit auf themenspezifischer oder lieferantenspezifischer Basis.

Compliance – Das Bedürfnis der Organisation, das zu schätzen Informationssicherheit Sie berücksichtigen die Auswirkungen, die jedem Lieferantentyp innewohnen, und passen ihre Überwachungsaktivitäten an unterschiedliche Risikoniveaus an.

8) Begrenzen Sie die Höhe des durch Nichteinhaltung verursachten Schadens und/oder der Störung.

Compliance – Die Aktivitäten des Lieferanten sollten entsprechend seinem Risikoniveau in geeigneter Weise und in unterschiedlichem Umfang überwacht werden. Wenn proaktiv oder reaktiv eine Nichteinhaltung festgestellt wird, sollten sofort Maßnahmen ergriffen werden.

9) Bleiben Sie robust Vorfallmanagement Verfahren, das eine angemessene Menge an Eventualverbindlichkeiten berücksichtigt.

Compliance – Organisationen sollten genau verstehen, wie sie reagieren müssen, wenn sie mit einer breiten Palette von Ereignissen im Zusammenhang mit der Lieferung von Produkten und Dienstleistungen Dritter konfrontiert werden, und Abhilfemaßnahmen skizzieren, die sowohl den Lieferanten als auch die Organisation einbeziehen.

10) Ergreifen Sie Maßnahmen, die die Verfügbarkeit und Verarbeitung der Informationen des Lieferanten gewährleisten, unabhängig davon, wo diese verwendet werden, und stellen Sie so die Integrität der eigenen Informationen der Organisation sicher.

Compliance – Es sollten Maßnahmen ergriffen werden, um sicherzustellen, dass Lieferantensysteme und -daten auf eine Weise gehandhabt werden, die die Verfügbarkeit und Sicherheit der eigenen Systeme und Informationen der Organisation nicht beeinträchtigt.

11) Entwerfen Sie einen gründlichen Schulungsplan, der Leitlinien für den Umgang des Personals mit dem Personal des Lieferanten und Informationen für jeden Lieferanten bzw. Typ für Typ bietet.

Compliance – Die Schulung sollte das gesamte Spektrum der Governance zwischen einer Organisation und ihren Lieferanten abdecken, einschließlich Engagement, detaillierte Risikomanagementkontrollen und themenspezifische Verfahren.

12) Verstehen und verwalten Sie das Risikoniveau, das mit der Übertragung von Informationen sowie physischen und virtuellen Vermögenswerten zwischen der Organisation und ihren Lieferanten verbunden ist.

Compliance – Organisationen sollten jede Phase des Übertragungsprozesses planen und ihre Mitarbeiter über die Risiken aufklären, die mit der Übertragung von Vermögenswerten und Informationen von einer Quelle zu einer anderen verbunden sind.

13) Stellen Sie sicher, dass Lieferantenbeziehungen unter Berücksichtigung der Informationssicherheit beendet werden, einschließlich der Aufhebung von Zugriffsrechten und der Möglichkeit, auf Unternehmensinformationen zuzugreifen.

Compliance – Ihre IKT-Teams sollten genau wissen, wie sie den Zugriff eines Lieferanten auf Informationen widerrufen können, einschließlich:

• Detaillierte Analyse aller zugehörigen Domänen- und/oder Cloud-basierten Konten.
• Aufteilung der geistiges Eigentum.
• Die Übertragung von Informationen zwischen Lieferanten oder zurück zu Ihrer Organisation.
• Verwaltung von Aufzeichnungen.
• Rückgabe von Vermögenswerten an ihren ursprünglichen Eigentümer.
• Angemessene Entsorgung physischer und virtueller Vermögenswerte, einschließlich Informationen.
• Einhaltung aller vertraglichen Anforderungen, einschließlich Vertraulichkeitsklauseln und/oder externer Vereinbarungen.

14) Beschreiben Sie genau, wie Sie vom Lieferanten erwarten, dass er sich in Bezug auf physische und virtuelle Sicherheitsmaßnahmen verhält.

Compliance – Organisationen sollten von Beginn jeder Geschäftsbeziehung an klare Erwartungen festlegen, die festlegen, wie sich das Personal auf Lieferantenseite im Umgang mit Ihren Mitarbeitern oder relevanten Vermögenswerten verhalten soll.

Ergänzende Hinweise zu Anhang A 5.19

ISO erkennt an, dass es nicht immer möglich ist, einem Lieferanten vollständige Richtlinien aufzuerlegen, die jede einzelne Anforderung aus der oben genannten Liste erfüllen, wie in ISO 27001 Annex A Control 5.19 vorgesehen, insbesondere wenn es um starre Organisationen des öffentlichen Sektors geht.

Allerdings heißt es in Annex A Control 5.19 eindeutig, dass Organisationen die oben genannten Leitlinien beim Aufbau von Beziehungen zu Lieferanten nutzen und eine Nichteinhaltung von Fall zu Fall prüfen sollten.

Wenn eine vollständige Compliance nicht erreichbar ist, gibt Annex A Control 5.19 Organisationen Spielraum, indem sie „kompensierende Kontrollen“ empfiehlt, die ein angemessenes Maß an Risikomanagement auf der Grundlage der besonderen Umstände einer Organisation erreichen.

Was sind die Änderungen gegenüber ISO 27001:2013?

ISO 27001:2022 Anhang A 5.19 ersetzt ISO 27001:2013 Anhang A 15.1.1 (Informationssicherheitsrichtlinie für Lieferantenbeziehungen).

ISO 27001:2022 Anhang A 5.19 folgt im Großen und Ganzen den gleichen Grundkonzepten, die in der Steuerung von 2013 enthalten sind, enthält jedoch mehrere zusätzliche Leitlinienbereiche, die entweder in ISO 27001:2013 Anhang A 5.1.1 weggelassen oder zumindest nicht darin behandelt werden so viele Details, einschließlich:

• Die Überprüfung von Lieferanten auf der Grundlage ihres Lieferantentyps und ihres Risikoniveaus.
• Die Notwendigkeit, die Integrität der Lieferanteninformationen sicherzustellen, um ihre eigenen Daten zu schützen und die Geschäftskontinuität sicherzustellen.
• Die verschiedenen Schritte, die bei Beendigung einer Lieferantenbeziehung erforderlich sind, einschließlich der Aufhebung von Zugriffsrechten, IP-Verteilung, vertraglichen Vereinbarungen usw.

ISO 27001:2022 Anhang A 5.19 erkennt auch ausdrücklich die sehr unterschiedliche Natur der Lieferantenbeziehungen an (basierend auf Art, Branche und Risikoniveau) und gibt Organisationen einen gewissen Spielraum bei der Prüfung der Möglichkeit der Nichteinhaltung bestimmter Leitlinien Punkt, basierend auf der Art der Beziehung (siehe „Ergänzende Anleitung“ oben).

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A Steuern.

Wie hilft ISMS.online bei Lieferantenbeziehungen?

ISMS.online hat dieses Kontrollziel sehr einfach gemacht, indem es den Nachweis erbracht hat, dass Ihre Beziehungen sorgfältig ausgewählt und im Leben gut verwaltet werden, einschließlich Überwachung und Überprüfung. Unser benutzerfreundlicher Bereich „Kontenbeziehungen“ (z. B. Lieferanten) leistet genau das. Die Arbeitsbereiche für kollaborative Projekte eignen sich hervorragend für das Onboarding wichtiger Lieferanten, gemeinsame Initiativen, Offboarding usw., die der Prüfer bei Bedarf auch problemlos einsehen kann.

ISMS.online hat auch dieses Kontrollziel für Ihr Unternehmen erleichtert, indem es Ihnen ermöglicht, den Nachweis zu erbringen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet und seine Verantwortung für die Informationssicherheit durch unsere Richtlinienpakete verstanden hat. Richtlinienpakete sind ideal, wenn die Organisation über spezifische Richtlinien und Kontrollen verfügt, die die Lieferantenmitarbeiter befolgen und darauf vertrauen sollen, dass sie diese gelesen und sich zu deren Einhaltung verpflichtet haben – über die umfassenderen Vereinbarungen zwischen Kunde und Lieferant hinaus.

Abhängig von der Art der Änderung (z. B. bei wesentlichen Änderungen) kann es eine umfassendere Anforderung zur Anpassung geben A.6.1.5 Informationssicherheit im Projektmanagement.

Mit ISMS.online können Sie:

• Implementieren Sie schnell ein Informationssicherheits-Managementsystem (ISMS).
• Verwalten Sie ganz einfach die Dokumentation Ihres ISMS.
• Optimieren Sie die Einhaltung aller relevanten Standards.
• Verwalten Sie alle Aspekte der Informationssicherheit, vom Risikomanagement bis hin zur Schulung des Sicherheitsbewusstseins.
• Kommunizieren Sie effektiv in Ihrem gesamten Unternehmen mit unserer integrierten Kommunikationsfunktion.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.