Adressierung der Informationssicherheit in Lieferantenvereinbarungen

ISO 27002:2022 – Kontrolle 5.20 – Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen

ISO 27002:2022 Control 5.20 stellt sicher, dass Unternehmen in Lieferantenvereinbarungen klare Verpflichtungen zur Informationssicherheit festlegen, um Risiken zu mindern, und zu Beginn der Lieferantenbeziehung Verantwortlichkeiten, die Einhaltung gesetzlicher Vorschriften und Sicherheitskontrollen darlegen.

Zweck der Kontrolle 5.20

Control 5.20 regelt, wie eine Organisation einen Vertrag abschließt Beziehung zu einem Lieferanten, basierend auf ihren Sicherheitsanforderungen und der Art der Lieferanten, mit denen sie zusammenarbeiten.

5.20 ist vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Festlegung einvernehmlicher Verpflichtungen zwischen Organisationen und ihren Lieferanten, die sich mit Informationssicherheit befassen.

Während Control 5.19 die Informationssicherheit regelt während In Bezug auf die Beziehung beschäftigt sich Control 5.20 damit, wie Organisationen verbindliche Vereinbarungen treffen Anfang einer Beziehung.

Kontrollattribute 5.20

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Identifizieren	#Sicherheit von Lieferantenbeziehungen	#Governance und Ökosystem
	#Integrität			#Schutz
	#Verfügbarkeit

Eigentum an der Kontrolle 5.20

Die Inhaberschaft der Kontrolle 5.20 sollte davon abhängen, ob die Organisation eine eigene Rechtsabteilung betreibt oder nicht, und von der zugrunde liegenden Natur einer unterzeichneten Vereinbarung.

Wenn die Organisation über die Rechtsfähigkeit verfügt, ihre eigenen vertraglichen Vereinbarungen ohne Beteiligung Dritter zu entwerfen, zu ändern und zu speichern, sollte das Eigentum an 5.20 bei der Person liegen, die die letztendliche Verantwortung für rechtsverbindliche Vereinbarungen innerhalb der Organisation (Verträge, Absichtserklärungen, SLAs usw.) trägt .)

Wenn die Organisation solche Vereinbarungen auslagert, sollte die Verantwortung für Kontrolle 5.20 bei einem Mitglied der Geschäftsleitung liegen, das eine beaufsichtigt kommerzieller Betrieb der Organisationund unterhält eine direkte Beziehung zu den Lieferanten einer Organisation, z Chief Operating Officer.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Leitlinien zur Kontrolle 5.20

Control 5.20 enthält 25 Leitlinienpunkte, die laut ISO „in Betracht gezogen werden können“ (dh nicht unbedingt alle), um die Informationssicherheitsanforderungen einer Organisation zu erfüllen.

Unabhängig davon, welche Maßnahmen ergriffen werden, heißt es in Control 5.20 ausdrücklich, dass beide Parteien den Prozess mit einem „klaren Verständnis“ ihrer gegenseitigen Informationssicherheitsverpflichtungen verlassen sollten.

Es sollte eine klare Beschreibung bereitgestellt werden, in der detailliert beschrieben wird, auf welche Informationen in irgendeiner Weise zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
Die Organisation sollte die Informationen, auf die zugegriffen werden soll, gemäß ihrem veröffentlichten Klassifizierungsschema klassifizieren (siehe Kontrolle 5.10, Kontrolle 5.12 und Kontrolle 5.13).
Das Klassifizierungssystem auf Lieferantenseite und dessen Zusammenhang mit der Klassifizierung von Informationen durch die Organisation sollten angemessen berücksichtigt werden.
Die Rechte beider Parteien sollten in vier Hauptbereiche eingeteilt werden: gesetzlich, gesetzlich, behördlich und vertraglich. Innerhalb dieser vier Bereiche sollten verschiedene Verpflichtungen klar umrissen werden, wie es in kommerziellen Vereinbarungen üblich ist, einschließlich des Zugriffs auf PII, geistige Eigentumsrechte und Urheberrechtsbestimmungen. Die Vereinbarung sollte auch festlegen, wie die einzelnen Schlüsselbereiche der Reihe nach angegangen werden.
Jede Partei sollte verpflichtet sein, eine Reihe gleichzeitiger Kontrollen zur Überwachung, Bewertung und Verwaltung durchzuführen Informationssicherheitsrisiko Ebenen (z. B. Zugriffskontrollrichtlinien, Vertragsprüfungen, Systemüberwachung, Berichterstattung und regelmäßige Prüfungen). Darüber hinaus sollte die Vereinbarung klar darlegen, dass das Personal des Lieferanten die Informationssicherheitsstandards einer Organisation einhalten muss (siehe Kontrolle 5.20).
Es sollte ein klares Verständnis darüber bestehen, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Informationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
Es sollten Verfahren eingerichtet werden, die sich mit den Autorisierungsebenen befassen, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Informationen einer Organisation zuzugreifen oder diese einzusehen (z. B. Listen autorisierter Benutzer, Audits auf Lieferantenseite, Serverzugriffskontrollen).
Die Informationssicherheit sollte zusammen mit der eigenen IKT-Infrastruktur des Lieferanten berücksichtigt werden und wie diese mit der Art der Informationen zusammenhängt, auf die die Organisation Zugriff gewährt hat Risikokriterien und die grundlegenden Geschäftsanforderungen der Organisation.
Es sollte darüber nachgedacht werden, welche Maßnahmen die Organisation ergreifen kann, wenn der Lieferant vertragswidrig ist oder einzelne Vorgaben nicht eingehalten werden.
In der Vereinbarung sollte eine Gegenseitigkeit klar dargelegt werden Vorfallmanagementverfahren Darin wird klar festgelegt, was zu tun ist, wenn Probleme auftreten, insbesondere hinsichtlich der Art und Weise, wie der Vorfall zwischen beiden Parteien kommuniziert wird.
Es sollte Personal beider Parteien vorhanden sein angemessene Sensibilisierungsschulung (wo eine Standardschulung nicht ausreicht) zu Schlüsselbereichen der Vereinbarung, insbesondere in Bezug auf wichtige Risikobereiche wie das Vorfallmanagement und die Bereitstellung des Zugangs zu Informationen.
Dem Einsatz von Subunternehmern sollte angemessene Aufmerksamkeit gewidmet werden. Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen, sollten die Organisationen Maßnahmen ergreifen, um sicherzustellen, dass diese Personen oder Unternehmen denselben Informationssicherheitsanforderungen unterliegen wie der Lieferant.
Wo es rechtlich möglich und betrieblich relevant ist, sollten Organisationen darüber nachdenken, wie Lieferantenpersonal überprüft wird, bevor es mit ihren Informationen interagiert, und wie die Überprüfung aufgezeichnet und der Organisation gemeldet wird, einschließlich nicht überprüftem Personal und besorgniserregenden Bereichen.
Organisationen sollten die Notwendigkeit von Bescheinigungen Dritter vorschreiben, die die Fähigkeit des Lieferanten überprüfen, die organisatorischen Informationssicherheitsanforderungen zu erfüllen, einschließlich unabhängiger Berichte und Audits Dritter.
Organisationen sollten das vertragliche Recht haben, die Verfahren eines Lieferanten in Bezug auf Kontrolle 5.20 zu bewerten und zu prüfen.
Lieferanten sollten verpflichtet sein, Berichte (in unterschiedlichen Abständen) vorzulegen, die die Wirksamkeit ihrer eigenen Prozesse und Verfahren abdecken und darlegen, wie sie die in einem solchen Bericht aufgeworfenen Probleme angehen wollen.
In der Vereinbarung sollten Maßnahmen getroffen werden, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte sicherzustellen, die im Laufe der Beziehung auftreten.
Gegebenenfalls sollte der Lieferant mit einer robusten BUDR-Richtlinie im Einklang mit den Bedürfnissen der Organisation arbeiten, die drei Hauptüberlegungen abdeckt:
a) Sicherungstyp (vollständiger Server, Datei und Ordner usw., inkrementell usw.)
b) Backup-Häufigkeit (täglich, wöchentlich usw.)
c) Backup-Standort und Quellmedien (vor Ort, extern)

Die Datenresilienz sollte durch den Betrieb mit einem Disaster-Recovery-Standort erreicht werden, der vom Haupt-IKT-Standort des Lieferanten getrennt ist und nicht dem gleichen Risikoniveau unterliegt.
Der Lieferant sollte mit a zusammenarbeiten umfassende Change-Management-Richtlinie Dies informiert die Organisation im Voraus über alle Änderungen, die sich auf die Informationssicherheit auswirken könnten, und gibt der Organisation die Möglichkeit, solche Änderungen abzulehnen.
Physische Sicherheitskontrollen (Gebäudezugang, Besucherzugang, Raumzugang, Schreibtischsicherheit) sollten erlassen werden, die für die Art der Informationen relevant sind, auf die sie zugreifen dürfen.
Wenn die Notwendigkeit einer Übertragung besteht Informationen zwischen Vermögenswerten, Standorten, Servern oder Speicherorten sollte der Lieferant sicherstellen, dass Daten und Vermögenswerte während des gesamten Prozesses vor Verlust, Beschädigung oder Beschädigung geschützt sind.
Die Vereinbarung sollte eine umfassende Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen enthalten (siehe auch Kontrolle 5.20), einschließlich (aber nicht beschränkt auf):
a) Veräußerung und/oder Umzug von Vermögenswerten
b) Löschung von Informationen
c) Rückgabe von IP
d) Zugriffsrechte entziehen
e) Laufende Geheimhaltungspflichten

Ergänzend zu Punkt 23 sollte der Lieferant genau darlegen, wie er beabsichtigt, die Informationen der Organisation zu vernichten bzw. dauerhaft zu löschen, sobald sie nicht mehr benötigt werden (z. B. im Falle einer Kündigung).
Wenn sich am Ende eines Vertrags die Notwendigkeit ergibt, Support und/oder Dienstleistungen an einen anderen Anbieter zu übergeben, der nicht im Vertrag aufgeführt ist, werden Maßnahmen ergriffen, um sicherzustellen, dass der Prozess zu keiner Betriebsunterbrechung führt.

Unterstützende Kontrollen

5.10
5.12
5.13
5.20

Ergänzende Anleitung

Um Organisationen bei der Verwaltung von Lieferantenbeziehungen zu unterstützen, heißt es in Control 5.20, dass Organisationen eine pflegen sollten Register der Vereinbarungen.

In den Registern sollten alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt und nach der Art der Beziehung kategorisiert werden, z Verträge, Absichtserklärungen mit einem Vereinbarungen zum Informationsaustausch.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

ISO 27002:2022-5.20 ersetzt 27002:2013-15.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen).

ISO 27002:2022-5.20 enthält zahlreiche zusätzliche Leitlinien, die sich mit einem breiten Spektrum technischer, rechtlicher und Compliance-bezogener Themen befassen, darunter:

Übergabeverfahren
Informationsvernichtung
Kündigungsklauseln
Physische Sicherheitskontrollen
Änderungsmanagement
Backups und Informationsredundanz

Im Großen und Ganzen legt ISO 27002:2022-5.20 einen viel größeren Schwerpunkt auf das, was am Ende einer Lieferantenbeziehung geschieht, und misst der Art und Weise, wie ein Lieferant im Verlauf einer Vereinbarung Redundanz und Datenintegrität erreicht, viel mehr Bedeutung bei.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet