Control 5.19 befasst sich mit der Verpflichtung einer Organisation, sicherzustellen, dass bei der Nutzung von Produkten und Dienstleistungen auf Anbieterseite (einschließlich Cloud-Service-Anbietern) das mit der Nutzung externer Systeme verbundene Risikoniveau und die daraus resultierenden Auswirkungen angemessen berücksichtigt werden ihre eigenen Einhaltung der Informationssicherheit.
5.19 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit verändert das Risiko durch die Aufrechterhaltung von Verfahren, die die mit der Verwendung von Produkten verbundenen inhärenten Sicherheitsrisiken berücksichtigen Dienstleistungen Dritter.
Während sich Control 5.20 mit der Informationssicherheit innerhalb von Lieferantenvereinbarungen befasst, befasst sich Control 5.19 im Großen und Ganzen mit der Einhaltung während der gesamten Beziehung.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem #Schutz |
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Während Control 5.19 viele Leitlinien zur Nutzung von IKT-Diensten enthält, umfasst der breitere Umfang der Kontrolle viele andere Aspekte der Beziehung einer Organisation zu ihrer Lieferantenbasis, einschließlich Lieferantentypen, Logistik, Versorgungsunternehmen, Finanzdienstleistungen und Infrastrukturkomponenten.
Daher sollte die Verantwortung für Control 5.19 bei einem Mitglied der Geschäftsleitung liegen, das den kommerziellen Betrieb einer Organisation überwacht und eine direkte Beziehung zu den Lieferanten einer Organisation unterhält, wie z Chief Operating Officer.
Zur Einhaltung von Control 5.19 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zur Informationssicherheit in Lieferantenbeziehungen.
Themenspezifische Ansätze ermutigen Organisationen, lieferantenbezogene Richtlinien zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschalpolitik zu halten Lieferantenmanagementrichtlinie Dies gilt für alle Beziehungen zu Dritten im gesamten Geschäftsbetrieb einer Organisation.
Es ist wichtig zu beachten, dass Control 5.19 die Organisation dazu auffordert, Richtlinien und Verfahren zu implementieren, die nicht nur die Nutzung von Lieferantenressourcen und Cloud-Plattformen durch die Organisation regeln, sondern auch die Grundlage dafür bilden, wie sie sich vor und während der Laufzeit von ihren Lieferanten verhalten sollen die Geschäftsbeziehung.
Somit kann Control 5.19 als das wesentliche qualifizierende Dokument angesehen werden, das vorschreibt, wie die Informationssicherheits-Governance im Verlauf eines Lieferantenvertrags gehandhabt wird.
Control 5.19 enthält 14 Hauptleitpunkte, die eingehalten werden müssen:
1) Führen Sie eine genaue Aufzeichnung der Lieferantentypen (z. B. Finanzdienstleistungen, IKT-Hardware, Telefonie), die das Potenzial haben, die Integrität der Informationssicherheit zu beeinträchtigen.
Compliance – Erstellen Sie eine Liste aller Lieferanten, mit denen Ihr Unternehmen zusammenarbeitet, kategorisieren Sie sie nach ihrer Geschäftsfunktion und fügen Sie bei Bedarf Kategorien zu den Lieferantentypen hinzu.
2) Verstehen Sie, wie Lieferanten auf der Grundlage des Risikoniveaus ihres Lieferantentyps überprüft werden.
Compliance – Unterschiedliche Lieferantentypen erfordern unterschiedliche Due-Diligence-Prüfungen. Erwägen Sie den Einsatz von Überprüfungsmethoden auf Lieferantenbasis (z. B. Branchenreferenzen, Finanzberichte, Vor-Ort-Bewertungen, branchenspezifische Zertifizierungen wie Microsoft-Partnerschaften).
3) Identifizieren Sie Lieferanten, die bereits über Informationssicherheitskontrollen verfügen.
Compliance – Bitten Sie darum, Kopien der relevanten Verfahren zur Informationssicherheits-Governance der Lieferanten einzusehen, um das Risiko für Ihre eigene Organisation einschätzen zu können. Wenn sie keine haben, ist das kein gutes Zeichen.
4) Identifizieren und definieren Sie die spezifischen Bereiche der IKT-Infrastruktur Ihres Unternehmens, auf die Ihre Lieferanten entweder zugreifen, sie überwachen oder selbst nutzen können.
Compliance – Es ist wichtig, von Anfang an genau festzulegen, wie Ihre Lieferanten mit Ihren IKT-Ressourcen interagieren – sei es physisch oder virtuell – und welche Zugriffsebenen ihnen gemäß ihren vertraglichen Verpflichtungen gewährt werden.
5) Definieren Sie, wie sich die eigene IKT-Infrastruktur der Lieferanten auf Ihre eigenen Daten und die Ihrer Kunden auswirken kann.
Compliance – Die erste Verpflichtung einer Organisation besteht darin, ihre eigenen Informationssicherheitsstandards einzuhalten. Die IKT-Ressourcen der Lieferanten müssen auf ihr Potenzial überprüft werden wirken sich auf die Betriebszeit und Integrität in Ihrem gesamten Unternehmen aus.
6) Identifizieren und verwalten Sie die verschiedenen Risiken der Informationssicherheit angehängt an:
a. Nutzung vertraulicher Informationen oder geschützter Vermögenswerte durch Lieferanten (z. B. beschränkt auf böswillige Nutzung und/oder kriminelle Absicht).
b. Fehlerhafte Hardware des Lieferanten oder fehlerhafte Softwareplattform im Zusammenhang mit On-Premise- oder Cloud-basierten Diensten.
Compliance – Unternehmen müssen sich ständig der Informationssicherheitsrisiken bewusst sein, die mit katastrophalen Ereignissen wie böswilligen Benutzeraktivitäten auf Lieferantenseite oder größeren unvorhergesehenen Softwarevorfällen einhergehen, und deren Auswirkungen auf die Informationssicherheit des Unternehmens.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
7) Überwachen Sie die Einhaltung der Informationssicherheit themen- oder lieferantenspezifisch.
Compliance – Die Organisation muss die Auswirkungen auf die Informationssicherheit erkennen, die jedem Lieferantentyp innewohnen, und ihre Überwachungsaktivitäten an unterschiedliche Risikoniveaus anpassen.
8) Begrenzen Sie die Höhe des durch Nichteinhaltung verursachten Schadens und/oder der Störung.
Compliance – Die Aktivitäten des Lieferanten sollten entsprechend seinem Risikoniveau in geeigneter Weise und in unterschiedlichem Umfang überwacht werden. Wenn proaktiv oder reaktiv eine Nichteinhaltung festgestellt wird, sollten sofort Maßnahmen ergriffen werden.
9) Pflegen Sie a robustes Vorfallmanagementverfahren das eine angemessene Menge an Eventualverbindlichkeiten berücksichtigt.
Compliance – Organisationen sollten genau verstehen, wie sie reagieren müssen, wenn sie mit einer breiten Palette von Ereignissen im Zusammenhang mit der Lieferung von Produkten und Dienstleistungen Dritter konfrontiert werden, und Abhilfemaßnahmen skizzieren, die sowohl den Lieferanten als auch die Organisation einbeziehen.
10) Ergreifen Sie Maßnahmen, die auf die Verfügbarkeit und Verarbeitung der Informationen des Lieferanten abzielen, unabhängig davon, wo diese verwendet werden, und stellen Sie so die Integrität der eigenen Informationen der Organisation sicher.
Compliance – Es sollten Maßnahmen ergriffen werden, um sicherzustellen, dass Lieferantensysteme und -daten auf eine Weise gehandhabt werden, die die Verfügbarkeit und Sicherheit der eigenen Systeme und Informationen der Organisation nicht beeinträchtigt.
11) Entwerfen Sie einen gründlichen Schulungsplan, der Anleitungen für den Umgang des Personals mit dem Personal des Lieferanten und Informationen für jeden einzelnen Lieferanten oder für jeden Typ bietet.
Compliance – Die Schulung sollte das gesamte Spektrum der Governance zwischen einer Organisation und ihren Lieferanten abdecken, einschließlich der detaillierten Einbindung Risikomanagementkontrollen und themenspezifische Vorgehensweisen.
12) Verstehen und verwalten Sie das Risikoniveau, das mit der Übertragung von Informationen sowie physischen und virtuellen Vermögenswerten zwischen der Organisation und ihren Lieferanten verbunden ist.
Compliance – Organisationen sollten jede Phase des Transferprozesses planen und ihre Mitarbeiter darüber informieren Risiken im Zusammenhang mit der Verlagerung von Vermögenswerten und Informationen von einer Quelle zur anderen.
13) Stellen Sie sicher, dass Lieferantenbeziehungen unter Berücksichtigung der Informationssicherheit beendet werden, einschließlich der Aufhebung von Zugriffsrechten und der Möglichkeit, auf Unternehmensinformationen zuzugreifen.
Compliance – Ihre IKT-Teams sollten genau wissen, wie sie den Zugriff eines Lieferanten auf Informationen widerrufen können, einschließlich:
14) Beschreiben Sie genau, wie Sie vom Lieferanten erwarten, dass er sich in Bezug auf physische und virtuelle Sicherheitsmaßnahmen verhält.
Compliance – Organisationen sollten von Beginn jeder Geschäftsbeziehung an klare Erwartungen festlegen, die festlegen, wie sich das Personal auf Lieferantenseite im Umgang mit Ihren Mitarbeitern oder relevanten Vermögenswerten verhalten soll.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO erkennt an, dass es nicht immer möglich ist, einem Lieferanten vollständige Richtlinien aufzuzwingen, die jede einzelne Anforderung aus der obigen Liste erfüllen, wie in Control 5.19 vorgesehen, insbesondere wenn es um starre Organisationen des öffentlichen Sektors geht.
Allerdings besagt Control 5.19 eindeutig, dass Organisationen die oben genannten Leitlinien beim Aufbau von Beziehungen zu Lieferanten nutzen und eine Nichteinhaltung von Fall zu Fall prüfen sollten.
Wo eine vollständige Compliance nicht erreichbar ist, gibt Control 5.19 Organisationen Spielraum, indem es „kompensierende Kontrollen“ empfiehlt, die ein angemessenes Maß an Risikomanagement auf der Grundlage der besonderen Umstände einer Organisation erreichen.
27002:2022-5.19 ersetzt 27002:2013-5.1.1 (Informationssicherheitsrichtlinie für Lieferantenbeziehungen).
27002:2022-5.19 hält sich im Großen und Ganzen an dieselben zugrunde liegenden Konzepte, die in der Kontrolle von 2013 enthalten sind, enthält jedoch mehrere zusätzliche Leitlinienbereiche, die entweder in 27002:2013-5.1.1 weggelassen oder zumindest nicht so ausführlich behandelt werden. einschließlich:
27002:2022-5.19 erkennt auch ausdrücklich die sehr unterschiedliche Natur der Lieferantenbeziehungen an (basierend auf Art, Branche und Risikoniveau) und gibt Organisationen einen gewissen Spielraum bei der Prüfung der Möglichkeit der Nichteinhaltung eines bestimmten Leitlinienpunkts. basierend auf der Art der Beziehung (siehe „Ergänzende Anleitung“ oben).
Die richtigen ISMS.online kannst Du:
Es ist ganz einfach, ein kostenloses Testkonto zu erstellen und die von uns bereitgestellten Schritte zu befolgen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neue | Bedrohungsinformationen |
5.23 | Neue | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neue | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neue | Physische Sicherheitsüberwachung |
8.9 | Neue | Konfigurationsmanagement |
8.10 | Neue | Löschung von Informationen |
8.11 | Neue | Datenmaskierung |
8.12 | Neue | Verhinderung von Datenlecks |
8.16 | Neue | Überwachungsaktivitäten |
8.23 | Neue | Web-Filter |
8.28 | Neue | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Schirmungsmaß |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neue | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |