ISO 27002:2022, Control 5.19 – Informationssicherheit in Lieferantenbeziehungen

Überarbeitete ISO 27002:2022-Kontrollen

Live-Demo buchen

Unternehmen, Geschäft, Team und Manager in einer Besprechung

Zweck der Kontrolle 5.19

Control 5.19 befasst sich mit der Verpflichtung einer Organisation, sicherzustellen, dass bei der Nutzung von Produkten und Dienstleistungen auf Anbieterseite (einschließlich Cloud-Service-Anbietern) das mit der Nutzung externer Systeme verbundene Risikoniveau und die daraus resultierenden Auswirkungen angemessen berücksichtigt werden ihre eigenen Einhaltung der Informationssicherheit.

5.19 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit verändert das Risiko durch die Aufrechterhaltung von Verfahren, die die mit der Verwendung von Produkten verbundenen inhärenten Sicherheitsrisiken berücksichtigen Dienstleistungen Dritter.

Während sich Control 5.20 mit der Informationssicherheit innerhalb von Lieferantenvereinbarungen befasst, befasst sich Control 5.19 im Großen und Ganzen mit der Einhaltung während der gesamten Beziehung.

Attributtabelle der Steuerung 5.19

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit #Integrität #Verfügbarkeit#Identifizieren#Sicherheit von Lieferantenbeziehungen#Governance und Ökosystem #Schutz
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Perry Bowles
Technischer Direktor ZIPTECH
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Eigentum an der Kontrolle 5.19

Während Control 5.19 viele Leitlinien zur Nutzung von IKT-Diensten enthält, umfasst der breitere Umfang der Kontrolle viele andere Aspekte der Beziehung einer Organisation zu ihrer Lieferantenbasis, einschließlich Lieferantentypen, Logistik, Versorgungsunternehmen, Finanzdienstleistungen und Infrastrukturkomponenten.

Daher sollte die Verantwortung für Control 5.19 bei einem Mitglied der Geschäftsleitung liegen, das den kommerziellen Betrieb einer Organisation überwacht und eine direkte Beziehung zu den Lieferanten einer Organisation unterhält, wie z Chief Operating Officer.

Allgemeine Anleitung

Zur Einhaltung von Control 5.19 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zur Informationssicherheit in Lieferantenbeziehungen.

Themenspezifische Ansätze ermutigen Organisationen, lieferantenbezogene Richtlinien zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschalpolitik zu halten Lieferantenmanagementrichtlinie Dies gilt für alle Beziehungen zu Dritten im gesamten Geschäftsbetrieb einer Organisation.

Es ist wichtig zu beachten, dass Control 5.19 die Organisation dazu auffordert, Richtlinien und Verfahren zu implementieren, die nicht nur die Nutzung von Lieferantenressourcen und Cloud-Plattformen durch die Organisation regeln, sondern auch die Grundlage dafür bilden, wie sie sich vor und während der Laufzeit von ihren Lieferanten verhalten sollen die Geschäftsbeziehung.

Somit kann Control 5.19 als das wesentliche qualifizierende Dokument angesehen werden, das vorschreibt, wie die Informationssicherheits-Governance im Verlauf eines Lieferantenvertrags gehandhabt wird.

Control 5.19 enthält 14 Hauptleitpunkte, die eingehalten werden müssen:

1) Führen Sie eine genaue Aufzeichnung der Lieferantentypen (z. B. Finanzdienstleistungen, IKT-Hardware, Telefonie), die das Potenzial haben, die Integrität der Informationssicherheit zu beeinträchtigen.

Compliance – Erstellen Sie eine Liste aller Lieferanten, mit denen Ihr Unternehmen zusammenarbeitet, kategorisieren Sie sie nach ihrer Geschäftsfunktion und fügen Sie bei Bedarf Kategorien zu den Lieferantentypen hinzu.

2) Verstehen Sie, wie Lieferanten auf der Grundlage des Risikoniveaus ihres Lieferantentyps überprüft werden.

Compliance – Unterschiedliche Lieferantentypen erfordern unterschiedliche Due-Diligence-Prüfungen. Erwägen Sie den Einsatz von Überprüfungsmethoden auf Lieferantenbasis (z. B. Branchenreferenzen, Finanzberichte, Vor-Ort-Bewertungen, branchenspezifische Zertifizierungen wie Microsoft-Partnerschaften).

3) Identifizieren Sie Lieferanten, die bereits über Informationssicherheitskontrollen verfügen.

Compliance – Bitten Sie darum, Kopien der relevanten Verfahren zur Informationssicherheits-Governance der Lieferanten einzusehen, um das Risiko für Ihre eigene Organisation einschätzen zu können. Wenn sie keine haben, ist das kein gutes Zeichen.

4) Identifizieren und definieren Sie die spezifischen Bereiche der IKT-Infrastruktur Ihres Unternehmens, auf die Ihre Lieferanten entweder zugreifen, sie überwachen oder selbst nutzen können.

Compliance – Es ist wichtig, von Anfang an genau festzulegen, wie Ihre Lieferanten mit Ihren IKT-Ressourcen interagieren – sei es physisch oder virtuell – und welche Zugriffsebenen ihnen gemäß ihren vertraglichen Verpflichtungen gewährt werden.

5) Definieren Sie, wie sich die eigene IKT-Infrastruktur der Lieferanten auf Ihre eigenen Daten und die Ihrer Kunden auswirken kann.

Compliance – Die erste Verpflichtung einer Organisation besteht darin, ihre eigenen Informationssicherheitsstandards einzuhalten. Die IKT-Ressourcen der Lieferanten müssen auf ihr Potenzial überprüft werden wirken sich auf die Betriebszeit und Integrität in Ihrem gesamten Unternehmen aus.

6) Identifizieren und verwalten Sie die verschiedenen Risiken der Informationssicherheit angehängt an:

a. Nutzung vertraulicher Informationen oder geschützter Vermögenswerte durch Lieferanten (z. B. beschränkt auf böswillige Nutzung und/oder kriminelle Absicht).

b. Fehlerhafte Hardware des Lieferanten oder fehlerhafte Softwareplattform im Zusammenhang mit On-Premise- oder Cloud-basierten Diensten.

Compliance – Unternehmen müssen sich ständig der Informationssicherheitsrisiken bewusst sein, die mit katastrophalen Ereignissen wie böswilligen Benutzeraktivitäten auf Lieferantenseite oder größeren unvorhergesehenen Softwarevorfällen einhergehen, und deren Auswirkungen auf die Informationssicherheit des Unternehmens.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Allgemeine Hinweise Fortsetzung

7) Überwachen Sie die Einhaltung der Informationssicherheit themen- oder lieferantenspezifisch.

Compliance – Die Organisation muss die Auswirkungen auf die Informationssicherheit erkennen, die jedem Lieferantentyp innewohnen, und ihre Überwachungsaktivitäten an unterschiedliche Risikoniveaus anpassen.

8) Begrenzen Sie die Höhe des durch Nichteinhaltung verursachten Schadens und/oder der Störung.

Compliance – Die Aktivitäten des Lieferanten sollten entsprechend seinem Risikoniveau in geeigneter Weise und in unterschiedlichem Umfang überwacht werden. Wenn proaktiv oder reaktiv eine Nichteinhaltung festgestellt wird, sollten sofort Maßnahmen ergriffen werden.

9) Pflegen Sie a robustes Vorfallmanagementverfahren das eine angemessene Menge an Eventualverbindlichkeiten berücksichtigt.

Compliance – Organisationen sollten genau verstehen, wie sie reagieren müssen, wenn sie mit einer breiten Palette von Ereignissen im Zusammenhang mit der Lieferung von Produkten und Dienstleistungen Dritter konfrontiert werden, und Abhilfemaßnahmen skizzieren, die sowohl den Lieferanten als auch die Organisation einbeziehen.

10) Ergreifen Sie Maßnahmen, die auf die Verfügbarkeit und Verarbeitung der Informationen des Lieferanten abzielen, unabhängig davon, wo diese verwendet werden, und stellen Sie so die Integrität der eigenen Informationen der Organisation sicher.

Compliance – Es sollten Maßnahmen ergriffen werden, um sicherzustellen, dass Lieferantensysteme und -daten auf eine Weise gehandhabt werden, die die Verfügbarkeit und Sicherheit der eigenen Systeme und Informationen der Organisation nicht beeinträchtigt.

11) Entwerfen Sie einen gründlichen Schulungsplan, der Anleitungen für den Umgang des Personals mit dem Personal des Lieferanten und Informationen für jeden einzelnen Lieferanten oder für jeden Typ bietet.

Compliance – Die Schulung sollte das gesamte Spektrum der Governance zwischen einer Organisation und ihren Lieferanten abdecken, einschließlich der detaillierten Einbindung Risikomanagementkontrollen und themenspezifische Vorgehensweisen.

12) Verstehen und verwalten Sie das Risikoniveau, das mit der Übertragung von Informationen sowie physischen und virtuellen Vermögenswerten zwischen der Organisation und ihren Lieferanten verbunden ist.

Compliance – Organisationen sollten jede Phase des Transferprozesses planen und ihre Mitarbeiter darüber informieren Risiken im Zusammenhang mit der Verlagerung von Vermögenswerten und Informationen von einer Quelle zur anderen.

13) Stellen Sie sicher, dass Lieferantenbeziehungen unter Berücksichtigung der Informationssicherheit beendet werden, einschließlich der Aufhebung von Zugriffsrechten und der Möglichkeit, auf Unternehmensinformationen zuzugreifen.

Compliance – Ihre IKT-Teams sollten genau wissen, wie sie den Zugriff eines Lieferanten auf Informationen widerrufen können, einschließlich:

  • Detaillierte Analyse aller zugehörigen Domänen- und/oder Cloud-basierten Konten.
  • Vertrieb von geistigem Eigentum.
  • Die Übertragung von Informationen zwischen Lieferanten oder zurück zu Ihrer Organisation.
  • Verwaltung von Aufzeichnungen.
  • Rückgabe von Vermögenswerten an ihren ursprünglichen Eigentümer.
  • Angemessene Entsorgung physischer und virtueller Vermögenswerte, einschließlich Informationen.
  • Einhaltung aller vertraglichen Anforderungen, einschließlich Vertraulichkeitsklauseln und/oder externer Vereinbarungen.

14) Beschreiben Sie genau, wie Sie vom Lieferanten erwarten, dass er sich in Bezug auf physische und virtuelle Sicherheitsmaßnahmen verhält.

Compliance – Organisationen sollten von Beginn jeder Geschäftsbeziehung an klare Erwartungen festlegen, die festlegen, wie sich das Personal auf Lieferantenseite im Umgang mit Ihren Mitarbeitern oder relevanten Vermögenswerten verhalten soll.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Ergänzende Anleitung

ISO erkennt an, dass es nicht immer möglich ist, einem Lieferanten vollständige Richtlinien aufzuzwingen, die jede einzelne Anforderung aus der obigen Liste erfüllen, wie in Control 5.19 vorgesehen, insbesondere wenn es um starre Organisationen des öffentlichen Sektors geht.

Allerdings besagt Control 5.19 eindeutig, dass Organisationen die oben genannten Leitlinien beim Aufbau von Beziehungen zu Lieferanten nutzen und eine Nichteinhaltung von Fall zu Fall prüfen sollten.

Wo eine vollständige Compliance nicht erreichbar ist, gibt Control 5.19 Organisationen Spielraum, indem es „kompensierende Kontrollen“ empfiehlt, die ein angemessenes Maß an Risikomanagement auf der Grundlage der besonderen Umstände einer Organisation erreichen.

Änderungen gegenüber ISO 27002:2013

27002:2022-5.19 ersetzt 27002:2013-5.1.1 (Informationssicherheitsrichtlinie für Lieferantenbeziehungen).

27002:2022-5.19 hält sich im Großen und Ganzen an dieselben zugrunde liegenden Konzepte, die in der Kontrolle von 2013 enthalten sind, enthält jedoch mehrere zusätzliche Leitlinienbereiche, die entweder in 27002:2013-5.1.1 weggelassen oder zumindest nicht so ausführlich behandelt werden. einschließlich:

  • Die Überprüfung von Lieferanten auf der Grundlage ihres Lieferantentyps und ihres Risikoniveaus.
  • Die Notwendigkeit, die Integrität der Lieferanteninformationen sicherzustellen, um ihre eigenen Daten zu schützen und die Geschäftskontinuität sicherzustellen.
  • Die verschiedenen Schritte, die bei Beendigung einer Lieferantenbeziehung erforderlich sind, einschließlich der Aufhebung von Zugriffsrechten, IP-Verteilung, vertraglichen Vereinbarungen usw.

27002:2022-5.19 erkennt auch ausdrücklich die sehr unterschiedliche Natur der Lieferantenbeziehungen an (basierend auf Art, Branche und Risikoniveau) und gibt Organisationen einen gewissen Spielraum bei der Prüfung der Möglichkeit der Nichteinhaltung eines bestimmten Leitlinienpunkts. basierend auf der Art der Beziehung (siehe „Ergänzende Anleitung“ oben).

Wie ISMS.online hilft

Die richtigen ISMS.online kannst Du:

  • Implementieren Sie schnell eine Informationssicherheits-Managementsystem (ISMS).
  • Verwalten Sie ganz einfach die Dokumentation Ihres ISMS.
  • Optimieren Sie die Einhaltung aller relevanten Standards.
  • Verwalten Sie alle Aspekte der Informationssicherheit, vom Risikomanagement bis hin zur Schulung des Sicherheitsbewusstseins.
  • Kommunizieren Sie effektiv in Ihrem gesamten Unternehmen mit unserer integrierten Kommunikationsfunktion.

Es ist ganz einfach, ein kostenloses Testkonto zu erstellen und die von uns bereitgestellten Schritte zu befolgen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeueBedrohungsinformationen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
7.4NeuePhysische Sicherheitsüberwachung
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.16NeueÜberwachungsaktivitäten
8.23NeueWeb-Filter
8.28NeueSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeueBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuePhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeueÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeueWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeueSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.