Control 5.20 regelt, wie eine Organisation einen Vertrag abschließt Beziehung zu einem Lieferanten, basierend auf ihren Sicherheitsanforderungen und der Art der Lieferanten, mit denen sie zusammenarbeiten.
5.20 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung einvernehmlicher Verpflichtungen zwischen Organisationen und ihren Lieferanten, die sich mit Informationssicherheit befassen.
Während Control 5.19 die Informationssicherheit regelt während In Bezug auf die Beziehung beschäftigt sich Control 5.20 damit, wie Organisationen verbindliche Vereinbarungen treffen Anfang einer Beziehung.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem #Schutz |
Die Inhaberschaft der Kontrolle 5.20 sollte davon abhängen, ob die Organisation eine eigene Rechtsabteilung betreibt oder nicht, und von der zugrunde liegenden Natur einer unterzeichneten Vereinbarung.
Wenn die Organisation über die Rechtsfähigkeit verfügt, ihre eigenen vertraglichen Vereinbarungen ohne Beteiligung Dritter zu entwerfen, zu ändern und zu speichern, sollte das Eigentum an 5.20 bei der Person liegen, die die letztendliche Verantwortung für rechtsverbindliche Vereinbarungen innerhalb der Organisation (Verträge, Absichtserklärungen, SLAs usw.) trägt .)
Wenn die Organisation solche Vereinbarungen auslagert, sollte die Verantwortung für Kontrolle 5.20 bei einem Mitglied der Geschäftsleitung liegen, das eine beaufsichtigt kommerzieller Betrieb der Organisationund unterhält eine direkte Beziehung zu den Lieferanten einer Organisation, z Chief Operating Officer.
Wir sind kostengünstig und schnell
Control 5.20 enthält 25 Leitlinienpunkte, die laut ISO „in Betracht gezogen werden können“ (dh nicht unbedingt alle), um die Informationssicherheitsanforderungen einer Organisation zu erfüllen.
Unabhängig davon, welche Maßnahmen ergriffen werden, heißt es in Control 5.20 ausdrücklich, dass beide Parteien den Prozess mit einem „klaren Verständnis“ ihrer gegenseitigen Informationssicherheitsverpflichtungen verlassen sollten.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Um Organisationen bei der Verwaltung von Lieferantenbeziehungen zu unterstützen, heißt es in Control 5.20, dass Organisationen eine pflegen sollten Register der Vereinbarungen.
In den Registern sollten alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt und nach der Art der Beziehung kategorisiert werden, z Verträge, Absichtserklärungen und Vereinbarungen zum Informationsaustausch.
ISO 27002:2022-5.20 ersetzt 27002:2013-15.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen).
ISO 27002:2022-5.20 enthält zahlreiche zusätzliche Leitlinien, die sich mit einem breiten Spektrum technischer, rechtlicher und Compliance-bezogener Themen befassen, darunter:
Im Großen und Ganzen legt ISO 27002:2022-5.20 einen viel größeren Schwerpunkt auf das, was am Ende einer Lieferantenbeziehung geschieht, und misst der Art und Weise, wie ein Lieferant im Verlauf einer Vereinbarung Redundanz und Datenintegrität erreicht, viel mehr Bedeutung bei.
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |