ISO 27001:2022 Anhang A 5.20 – Adressierung der Informationssicherheit in Lieferantenvereinbarungen

Was ist der Zweck von ISO 27001:2022 Anhang A 5.20?

ISO 27001 Annex A Control 5.20 regelt, wie eine Organisation einen Vertrag mit einem Lieferanten auf der Grundlage seiner Sicherheitsanforderungen abschließt. Dies hängt von der Art der Lieferanten ab, mit denen sie zusammenarbeiten.

Im Rahmen von Annex A Control 5.20 müssen sich Organisationen und ihre Lieferanten gegenseitig einigen akzeptable Informationssicherheit Verpflichtungen zur Risikoerhaltung.

Wem gehört Anhang A 5.20?

Annex Control 5.20 sollte danach bestimmt werden, ob die Organisation über eine eigene Rechtsabteilung verfügt, sowie nach der Art der unterzeichneten Vereinbarung.

Verwaltung aller Änderungen in der Lieferkette Richtlinien, Verfahren und Kontrollen, einschließlich der Aufrechterhaltung und Verbesserung bestehender Richtlinien, Verfahren und Kontrollen zur Informationssicherheit, gelten als wirksame Kontrolle.

Dies wird bestimmt, indem die Kritikalität der Geschäftsinformationen, die Art der Änderung, die Art/en der betroffenen Lieferanten, die beteiligten Systeme und Prozesse sowie eine Neubewertung der Risikofaktoren berücksichtigt werden. Bei einer Änderung der von einem Lieferanten bereitgestellten Dienstleistungen sollten auch die Intimität der Beziehung und die Fähigkeit der Organisation, die Änderung zu beeinflussen oder zu kontrollieren, berücksichtigt werden.

Das Eigentum an 5.20 sollte bei der Person liegen, die für rechtsverbindliche Vereinbarungen innerhalb der Organisation (Verträge, Memos of Understanding, Service Level Agreements usw.) verantwortlich ist, wenn die Organisation über die Rechtsfähigkeit verfügt, ihre Vertragsvereinbarungen ohne die Beteiligung zu entwerfen, zu ändern und zu speichern von Dritten.

Ein Mitglied der Geschäftsleitung der Organisation, das die kommerziellen Abläufe der Organisation überwacht und direkte Beziehungen zu ihren Lieferanten unterhält, sollte die Verantwortung für Annex A Control 5.20 übernehmen, wenn die Organisation solche Vereinbarungen auslagert.

ISO 27001:2022 Anhang A 5.20 Allgemeine Leitlinien

Kontrolle 5.20 von Anhang A enthält 25 Leitlinienpunkte, die gemäß ISO-Angaben „in Betracht gezogen werden können“ (d. h. nicht unbedingt alle), damit Organisationen ihre Informationssicherheitsanforderungen erfüllen können.

Anhang A Control 5.20 legt fest, dass beide Parteien unabhängig von den ergriffenen Maßnahmen aus dem Prozess mit einem „klaren Verständnis“ der gegenseitigen Informationssicherheitsverpflichtungen hervorgehen müssen.

1. Es ist wichtig, eine klare Beschreibung der Informationen bereitzustellen, auf die zugegriffen werden muss, und wie auf diese Informationen zugegriffen werden soll.
2. Organisationen sollten Informationen anhand ihrer veröffentlichten Klassifizierungsschemata klassifizieren (siehe Anhang A, Kontrollen 5.10, 5.12 und 5.13).
3. Klassifizierung von Informationen Es sollte berücksichtigt werden, wie es auf Seiten des Lieferanten mit denen auf Seiten der Organisation zusammenhängt.
4. Im Allgemeinen können die Rechte beider Parteien in vier Kategorien eingeteilt werden: gesetzlich, gesetzlich, behördlich und vertraglich. Wie bei kommerziellen Vereinbarungen üblich, sollten in diesen vier Bereichen verschiedene Verpflichtungen klar dargelegt werden, darunter der Zugang zu personenbezogenen Daten, geistige Eigentumsrechte und Urheberrechtsbestimmungen. Der Vertrag sollte auch festlegen, wie diese Schlüsselbereiche separat behandelt werden.
5. Als Teil des Anhang-A-Kontrollsystems sollte jede Partei verpflichtet sein, gleichzeitig Maßnahmen zur Überwachung, Bewertung und Verwaltung von Informationssicherheitsrisiken umzusetzen (z. B. Zugriffskontrollrichtlinien, Vertragsprüfungen, Überwachung, Berichterstattung und regelmäßige Prüfungen). Darüber hinaus sollte in der Vereinbarung klar festgelegt werden, dass das Personal des Lieferanten die Informationssicherheitsstandards der Organisation einhalten muss (siehe ISO 27001 Anhang A Kontrolle 5.20).
6. Beide Parteien müssen klar verstehen, was eine akzeptable und inakzeptable Nutzung von Informationen sowie physischen und virtuellen Vermögenswerten darstellt.
7. Um sicherzustellen, dass lieferantenseitiges Personal auf die Informationen einer Organisation zugreifen und diese einsehen kann, sollten Verfahren eingerichtet werden (z. B. lieferantenseitige Audits und Serverzugriffskontrollen).
8. Neben der Berücksichtigung der IKT-Infrastruktur des Lieferanten ist es wichtig zu verstehen, wie sich diese auf die Art der Informationen auswirkt, auf die das Unternehmen zugreifen wird. Dies gilt zusätzlich zu den Kerngeschäftsanforderungen der Organisation.
9. Wenn der Lieferant gegen den Vertrag verstößt oder einzelne Bedingungen nicht einhält, sollte die Organisation überlegen, welche Schritte sie unternehmen kann.
10. Konkret sollte die Vereinbarung ein gegenseitiges Vorfallmanagementverfahren beschreiben, das klarstellt, wie mit Problemen umgegangen werden soll, wenn sie auftreten. Dazu gehört auch, wie beide Parteien kommunizieren sollten, wenn ein Vorfall eintritt.
11. Beide Parteien sollten angemessene Sensibilisierungsschulungen (wo Standardschulungen nicht ausreichen) in Schlüsselbereichen der Vereinbarung anbieten, insbesondere in Risikobereichen wie Vorfallmanagement und Informationsaustausch.
12. Der Einsatz von Subunternehmern sollte angemessen geregelt werden. Organisationen sollten sicherstellen, dass, wenn der Lieferant Subunternehmer einsetzen darf, diese Personen oder Unternehmen die gleichen Informationssicherheitsstandards wie der Lieferant einhalten.
13. Soweit es rechtlich und betrieblich möglich ist, sollten Organisationen darüber nachdenken, wie das Personal von Zulieferern überprüft wird, bevor es mit deren Informationen interagiert. Darüber hinaus sollten sie darüber nachdenken, wie Überprüfungen aufgezeichnet und der Organisation gemeldet werden, einschließlich nicht überprüftem Personal und Problembereichen.
14. Bescheinigung durch Dritte, z. B. unabhängig Berichte und Prüfungen durch Dritte, sollte von Organisationen für Lieferanten verlangt werden, die ihre Informationssicherheitsanforderungen erfüllen.
15. ISO 27001:2022 Anhang A Control 5.20 verlangt, dass Organisationen das Recht haben, die Verfahren ihrer Lieferanten zu bewerten und zu prüfen.
16. Ein Lieferant sollte verpflichtet sein, regelmäßige Berichte (in unterschiedlichen Abständen) vorzulegen, in denen die Wirksamkeit seiner Prozesse und Verfahren sowie die Art und Weise, wie er aufgeworfene Probleme anzugehen gedenkt, zusammengefasst werden.
17. Während der Beziehung sollte die Vereinbarung Maßnahmen enthalten, um sicherzustellen, dass etwaige Mängel oder Konflikte rechtzeitig und gründlich gelöst werden.
18. Der Lieferant sollte eine geeignete BUDR-Richtlinie implementieren, die auf die Bedürfnisse der Organisation zugeschnitten ist und drei wichtige Aspekte berücksichtigt: a) Sicherungstyp (vollständiger Server, Datei und Ordner, inkrementell), b) Sicherungshäufigkeit (täglich, wöchentlich usw.). ) C) Backup-Speicherort und Quellmedien (onsite, offsite).
19. Es ist wichtig, die Datenresilienz sicherzustellen, indem der Betrieb in einer Disaster-Recovery-Einrichtung erfolgt, die vom Haupt-IKT-Standort des Lieferanten getrennt ist. Diese Einrichtung unterliegt nicht dem gleichen Risikoniveau wie der IKT-Hauptstandort.
20. Lieferanten sollten eine umfassende Änderungsmanagementrichtlinie pflegen, die es der Organisation ermöglicht, alle Änderungen, die sich auf die Informationssicherheit auswirken könnten, im Voraus abzulehnen.
21. Physische Sicherheitskontrollen sollten abhängig davon implementiert werden, auf welche Informationen sie zugreifen dürfen (Gebäudezugang, Besucherzugang, Raumzugang, Schreibtischsicherheit).
22. Wann immer Daten zwischen Vermögenswerten, Standorten, Servern oder Speicherorten übertragen werden, sollten Lieferanten sicherstellen, dass die Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
23. Im Rahmen der Vereinbarung sollte jede Partei dazu verpflichtet werden, im Falle einer Kündigung eine ausführliche Liste von Maßnahmen zu ergreifen (siehe Anhang A, Regelung 5.20). Zu diesen Maßnahmen gehören (ohne darauf beschränkt zu sein): a) Veräußerung von Vermögenswerten und/oder Umzug, b) Löschung von Informationen, c) Rückgabe von geistigem Eigentum, d) Entzug von Zugriffsrechten, e) Aufrechterhaltung von Vertraulichkeitspflichten.
24. Zusätzlich zu Punkt 23 sollte der Lieferant ausführlich besprechen, wie er beabsichtigt, die Informationen der Organisation zu vernichten/dauerhaft zu löschen, wenn sie nicht mehr benötigt werden (d. h. bei Beendigung des Vertrags).
25. Wenn ein Vertrag endet und die Notwendigkeit entsteht, Support und/oder Dienstleistungen an einen anderen Anbieter zu übertragen, der nicht im Vertrag aufgeführt ist, werden Maßnahmen ergriffen, um sicherzustellen, dass der Geschäftsbetrieb nicht unterbrochen wird.

Begleitende Anhang-A-Kontrollen

• ISO 27001:2022 Anhang A 5.10
• ISO 27001:2022 Anhang A 5.12
• ISO 27001:2022 Anhang A 5.13
• ISO 27001:2022 Anhang A 5.20

Ergänzende Hinweise zu Anhang A 5.20

In Annex A Control 5.20 wird empfohlen, dass Organisationen ein Verzeichnis der Vereinbarungen führen, um sie bei der Verwaltung ihrer Lieferantenbeziehungen zu unterstützen.

Über alle Vereinbarungen mit anderen Organisationen sollten Aufzeichnungen geführt werden, kategorisiert nach der Art der Beziehung. Dazu gehören Verträge, Absichtserklärungen und Vereinbarungen zum Informationsaustausch.

Was sind die Änderungen gegenüber ISO 27001:2013?

Es wurde eine Änderung an ISO 27001:2013 Anhang A 15.1.2 (Adressierung der Sicherheit innerhalb von Lieferantenvereinbarungen) vorgenommen ISO 27001:2022 Anhang A Kontrolle 5.20.

In Anhang A Control 5.20 von ISO 27001:2022 sind mehrere zusätzliche Richtlinien enthalten, die ein breites Spektrum technischer, rechtlicher und Compliance-bezogener Fragen behandeln, darunter:

• Der Übergabevorgang.
• Zerstörung von Informationen.
• Bestimmungen zur Kündigung.
• Kontrollen für die physische Sicherheit.
• Änderungsmanagement.
• Informationsredundanz und Backups.

Generell wird in ISO 27001:2022 Anhang A 5.20 betont, wie ein Lieferant während eines Vertrags Redundanz und Datenintegrität erreicht.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Welche Vorteile bietet die Nutzung von ISMS.online für Lieferantenbeziehungen?

Eine Schritt-für-Schritt-Checkliste führt Sie durch den gesamten Prozess ISO 27001-ImplementierungsprozessVon der Definition des Umfangs Ihres ISMS über die Identifizierung von Risiken bis hin zur Implementierung von Kontrollen.

Über den benutzerfreundlichen Bereich „Kontobeziehungen“ (z. B. Lieferanten) von ISMS.online können Sie sicherstellen, dass Ihre Beziehungen sorgfältig ausgewählt, gut verwaltet und überwacht und überprüft werden. Die kollaborativen Projektarbeitsbereiche von ISMS.online haben dieses Kontrollziel problemlos erreicht. Diese Arbeitsbereiche sind nützlich für Lieferanten-Onboarding, gemeinsame Initiativen, Offboarding usw., die der Prüfer bei Bedarf auch problemlos einsehen kann.

Darüber hinaus haben wir dieses Kontrollziel für Ihr Unternehmen erleichtert, indem wir Ihnen den Nachweis ermöglichen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet hat. Dies geschieht durch unsere Richtlinienpakete. Diese Richtlinienpakete sind besonders nützlich für Organisationen mit spezifischen Richtlinien und Kontrollen, die ihre Lieferanten einhalten sollen, damit sie darauf vertrauen können, dass ihre Lieferanten diese Richtlinien gelesen und sich zu deren Einhaltung verpflichtet haben.

Abhängig von der Art der Änderung (z. B. bei umfangreicheren Änderungen) kann es erforderlich sein, die Änderung an A.6.1.5 Informationssicherheit im Projektmanagement anzupassen.

Demo vereinbaren.