ISO 27002:2022, Control 5.20 – Adressierung der Informationssicherheit in Lieferantenvereinbarungen

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Geschäft, Menschen, Arbeiten, in, Konferenz, Zimmer

Zweck der Kontrolle 5.20

Control 5.20 regelt, wie eine Organisation einen Vertrag abschließt Beziehung zu einem Lieferanten, basierend auf ihren Sicherheitsanforderungen und der Art der Lieferanten, mit denen sie zusammenarbeiten.

5.20 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung einvernehmlicher Verpflichtungen zwischen Organisationen und ihren Lieferanten, die sich mit Informationssicherheit befassen.

Während Control 5.19 die Informationssicherheit regelt während In Bezug auf die Beziehung beschäftigt sich Control 5.20 damit, wie Organisationen verbindliche Vereinbarungen treffen Anfang einer Beziehung.

Attributtabelle

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Identifizieren#Sicherheit von Lieferantenbeziehungen#Governance und Ökosystem
#Schutz

Eigentum an der Kontrolle 5.20

Die Inhaberschaft der Kontrolle 5.20 sollte davon abhängen, ob die Organisation eine eigene Rechtsabteilung betreibt oder nicht, und von der zugrunde liegenden Natur einer unterzeichneten Vereinbarung.

Wenn die Organisation über die Rechtsfähigkeit verfügt, ihre eigenen vertraglichen Vereinbarungen ohne Beteiligung Dritter zu entwerfen, zu ändern und zu speichern, sollte das Eigentum an 5.20 bei der Person liegen, die die letztendliche Verantwortung für rechtsverbindliche Vereinbarungen innerhalb der Organisation (Verträge, Absichtserklärungen, SLAs usw.) trägt .)

Wenn die Organisation solche Vereinbarungen auslagert, sollte die Verantwortung für Kontrolle 5.20 bei einem Mitglied der Geschäftsleitung liegen, das eine beaufsichtigt kommerzieller Betrieb der Organisationund unterhält eine direkte Beziehung zu den Lieferanten einer Organisation, z Chief Operating Officer.

Zum Thema springen

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Allgemeine Leitlinien zur Kontrolle 5.20

Control 5.20 enthält 25 Leitlinienpunkte, die laut ISO „in Betracht gezogen werden können“ (dh nicht unbedingt alle), um die Informationssicherheitsanforderungen einer Organisation zu erfüllen.

Unabhängig davon, welche Maßnahmen ergriffen werden, heißt es in Control 5.20 ausdrücklich, dass beide Parteien den Prozess mit einem „klaren Verständnis“ ihrer gegenseitigen Informationssicherheitsverpflichtungen verlassen sollten.

  1. Es sollte eine klare Beschreibung bereitgestellt werden, in der detailliert beschrieben wird, auf welche Informationen in irgendeiner Weise zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.

  2. Die Organisation sollte die Informationen, auf die zugegriffen werden soll, gemäß ihrem veröffentlichten Klassifizierungsschema klassifizieren (siehe Kontrolle 5.10, Kontrolle 5.12 und Kontrolle 5.13).

  3. Das Klassifizierungssystem auf Lieferantenseite und dessen Zusammenhang mit der Klassifizierung von Informationen durch die Organisation sollten angemessen berücksichtigt werden.

  4. Die Rechte beider Parteien sollten in vier Hauptbereiche eingeteilt werden: gesetzlich, gesetzlich, behördlich und vertraglich. Innerhalb dieser vier Bereiche sollten verschiedene Verpflichtungen klar umrissen werden, wie es in kommerziellen Vereinbarungen üblich ist, einschließlich des Zugriffs auf PII, geistige Eigentumsrechte und Urheberrechtsbestimmungen. Die Vereinbarung sollte auch festlegen, wie die einzelnen Schlüsselbereiche der Reihe nach angegangen werden.

  5. Jede Partei sollte verpflichtet sein, eine Reihe gleichzeitiger Kontrollen zur Überwachung, Bewertung und Verwaltung durchzuführen Informationssicherheitsrisiko Ebenen (z. B. Zugriffskontrollrichtlinien, Vertragsprüfungen, Systemüberwachung, Berichterstattung und regelmäßige Prüfungen). Darüber hinaus sollte die Vereinbarung klar darlegen, dass das Personal des Lieferanten die Informationssicherheitsstandards einer Organisation einhalten muss (siehe Kontrolle 5.20).

  6. Es sollte ein klares Verständnis darüber bestehen, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Informationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.

  7. Es sollten Verfahren eingerichtet werden, die sich mit den Autorisierungsebenen befassen, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Informationen einer Organisation zuzugreifen oder diese einzusehen (z. B. Listen autorisierter Benutzer, Audits auf Lieferantenseite, Serverzugriffskontrollen).

  8. Die Informationssicherheit sollte zusammen mit der eigenen IKT-Infrastruktur des Lieferanten berücksichtigt werden und wie diese mit der Art der Informationen zusammenhängt, auf die die Organisation Zugriff gewährt hat Risikokriterien und die grundlegenden Geschäftsanforderungen der Organisation.

  9. Es sollte darüber nachgedacht werden, welche Maßnahmen die Organisation ergreifen kann, wenn der Lieferant vertragswidrig ist oder einzelne Vorgaben nicht eingehalten werden.

  10. In der Vereinbarung sollte eine Gegenseitigkeit klar dargelegt werden Vorfallmanagementverfahren Darin wird klar festgelegt, was zu tun ist, wenn Probleme auftreten, insbesondere hinsichtlich der Art und Weise, wie der Vorfall zwischen beiden Parteien kommuniziert wird.

  11. Es sollte Personal beider Parteien vorhanden sein angemessene Sensibilisierungsschulung (wo eine Standardschulung nicht ausreicht) zu Schlüsselbereichen der Vereinbarung, insbesondere in Bezug auf wichtige Risikobereiche wie das Vorfallmanagement und die Bereitstellung des Zugangs zu Informationen.

  12. Dem Einsatz von Subunternehmern sollte angemessene Aufmerksamkeit gewidmet werden. Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen, sollten die Organisationen Maßnahmen ergreifen, um sicherzustellen, dass diese Personen oder Unternehmen denselben Informationssicherheitsanforderungen unterliegen wie der Lieferant.

  13. Wo es rechtlich möglich und betrieblich relevant ist, sollten Organisationen darüber nachdenken, wie Lieferantenpersonal überprüft wird, bevor es mit ihren Informationen interagiert, und wie die Überprüfung aufgezeichnet und der Organisation gemeldet wird, einschließlich nicht überprüftem Personal und besorgniserregenden Bereichen.

  14. Organisationen sollten die Notwendigkeit von Bescheinigungen Dritter vorschreiben, die die Fähigkeit des Lieferanten überprüfen, die organisatorischen Informationssicherheitsanforderungen zu erfüllen, einschließlich unabhängiger Berichte und Audits Dritter.

  15. Organisationen sollten das vertragliche Recht haben, die Verfahren eines Lieferanten in Bezug auf Kontrolle 5.20 zu bewerten und zu prüfen.

  16. Lieferanten sollten verpflichtet sein, Berichte (in unterschiedlichen Abständen) vorzulegen, die die Wirksamkeit ihrer eigenen Prozesse und Verfahren abdecken und darlegen, wie sie die in einem solchen Bericht aufgeworfenen Probleme angehen wollen.

  17. In der Vereinbarung sollten Maßnahmen getroffen werden, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte sicherzustellen, die im Laufe der Beziehung auftreten.

  18. Gegebenenfalls sollte der Lieferant mit einer robusten BUDR-Richtlinie im Einklang mit den Bedürfnissen der Organisation arbeiten, die drei Hauptüberlegungen abdeckt:

    a) Sicherungstyp (vollständiger Server, Datei und Ordner usw., inkrementell usw.)
    b) Backup-Häufigkeit (täglich, wöchentlich usw.)
    c) Backup-Standort und Quellmedien (vor Ort, extern)

  19. Die Datenresilienz sollte durch den Betrieb mit einem Disaster-Recovery-Standort erreicht werden, der vom Haupt-IKT-Standort des Lieferanten getrennt ist und nicht dem gleichen Risikoniveau unterliegt.

  20. Der Lieferant sollte mit a zusammenarbeiten umfassende Change-Management-Richtlinie Dies informiert die Organisation im Voraus über alle Änderungen, die sich auf die Informationssicherheit auswirken könnten, und gibt der Organisation die Möglichkeit, solche Änderungen abzulehnen.

  21. Physische Sicherheitskontrollen (Gebäudezugang, Besucherzugang, Raumzugang, Schreibtischsicherheit) sollten erlassen werden, die für die Art der Informationen relevant sind, auf die sie zugreifen dürfen.

  22. Wenn die Notwendigkeit einer Übertragung besteht Informationen zwischen Vermögenswerten, Standorten, Servern oder Speicherorten sollte der Lieferant sicherstellen, dass Daten und Vermögenswerte während des gesamten Prozesses vor Verlust, Beschädigung oder Beschädigung geschützt sind.

  23. Die Vereinbarung sollte eine umfassende Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen enthalten (siehe auch Kontrolle 5.20), einschließlich (aber nicht beschränkt auf):

    a) Veräußerung und/oder Umzug von Vermögenswerten
    b) Löschung von Informationen
    c) Rückgabe von IP
    d) Zugriffsrechte entziehen
    e) Laufende Geheimhaltungspflichten

  24. Ergänzend zu Punkt 23 sollte der Lieferant genau darlegen, wie er beabsichtigt, die Informationen der Organisation zu vernichten bzw. dauerhaft zu löschen, sobald sie nicht mehr benötigt werden (z. B. im Falle einer Kündigung).

  25. Wenn sich am Ende eines Vertrags die Notwendigkeit ergibt, Support und/oder Dienstleistungen an einen anderen Anbieter zu übergeben, der nicht im Vertrag aufgeführt ist, werden Maßnahmen ergriffen, um sicherzustellen, dass der Prozess zu keiner Betriebsunterbrechung führt.

Unterstützende Kontrollen

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Ergänzende Anleitung

Um Organisationen bei der Verwaltung von Lieferantenbeziehungen zu unterstützen, heißt es in Control 5.20, dass Organisationen eine pflegen sollten Register der Vereinbarungen.

In den Registern sollten alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt und nach der Art der Beziehung kategorisiert werden, z Verträge, Absichtserklärungen und Vereinbarungen zum Informationsaustausch.

Änderungen und Unterschiede zu ISO 27002:2013

ISO 27002:2022-5.20 ersetzt 27002:2013-15.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen).

ISO 27002:2022-5.20 enthält zahlreiche zusätzliche Leitlinien, die sich mit einem breiten Spektrum technischer, rechtlicher und Compliance-bezogener Themen befassen, darunter:

  • Übergabeverfahren
  • Informationsvernichtung
  • Kündigungsklauseln
  • Physische Sicherheitskontrollen
  • Änderungsmanagement
  • Backups und Informationsredundanz

Im Großen und Ganzen legt ISO 27002:2022-5.20 einen viel größeren Schwerpunkt auf das, was am Ende einer Lieferantenbeziehung geschieht, und misst der Art und Weise, wie ein Lieferant im Verlauf einer Vereinbarung Redundanz und Datenintegrität erreicht, viel mehr Bedeutung bei.

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren