ISO 27002:2022 - קאָנטראָל 5.20 - אַדרעסינג אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער אַגרימאַנץ

ציל פון קאָנטראָל 5.20

קאָנטראָל 5.20 רעגיאַלייץ ווי אַן אָרגאַניזאַציע פארמען אַ קאַנטראַקטשואַל שייכות מיט אַ סאַפּלייער, באזירט אויף זייער זיכערהייט רעקווירעמענץ און די טיפּ פון סאַפּלייערז זיי האַנדלען מיט.

קסנומקס איז אַ פאַרהיטנדיק קאָנטראָל אַז מיינטיינז ריזיקירן דורך גרינדן מיוטשואַלי אַגריאַבאַל אַבלאַגיישאַנז צווישן אָרגאַנאַזיישאַנז און זייער סאַפּלייערז וואָס האַנדלען מיט אינפֿאָרמאַציע זיכערהייט.

כוועראַז קאָנטראָל 5.19 גאַווערנז מיט אינפֿאָרמאַציע זיכערהייט איבער די שייכות, קאָנטראָל 5.20 איז פאַרנומען מיט ווי אָרגאַנאַזיישאַנז פאָרעם ביינדינג אַגרימאַנץ פון די אָנהייב פון אַ שייכות.

אַטריביוץ פון קאָנטראָל 5.20

אָונערשיפּ פון קאָנטראָל 5.20

אָונערשיפּ פון קאָנטראָל 5.20 זאָל זיין אָפענגיק אויף צי די אָרגאַניזאַציע אַפּערייץ זייער אייגענע לעגאַל אָפּטיילונג, און די אַנדערלייינג נאַטור פון קיין געחתמעט העסקעם.

אויב די אָרגאַניזאַציע האט די לעגאַל פיייקייט צו פּלאַן, ענדערן און קראָם זייער אייגענע קאַנטראַקטשואַל אַגרימאַנץ אָן אַ דריט טיילווייַז ינוואַלוומאַנט, אָונערשיפּ פון 5.20 זאָל זיין קאַנסידערד מיט דער מענטש וואָס האלט די לעצט פֿאַראַנטוואָרטלעכקייט פֿאַר ליגאַלי ביינדינג אַגרימאַנץ אין דער אָרגאַניזאַציע (קאָנטראַקץ, מעמאָס פון פארשטאנד, SLAs, עטק. .)

אויב די אָרגאַניזאַציע אַוצאָרסאַז אַזאַ אַגרימאַנץ, די אָונערשיפּ פון קאָנטראָל 5.20 זאָל זיין קאַנסידערד מיט אַ מיטגליד פון עלטער פאַרוואַלטונג וואָס אָוווערסיז אַן די געשעפט אָפּעראַציע פון ​​די אָרגאַניזאַציע, און האלט אן דירעקטע באציאונג מיט אן ארגאניזאציע'ס סאַפּלייערז, אַזאַ ווי א הויפּט אָפּערייטינג אָפיסער.

אַלגעמיינע גיידאַנס אויף קאָנטראָל 5.20

קאָנטראָל 5.20 כּולל 25 גיידאַנס פונקטן וואָס ISO שטאַט "קענען זיין קאַנסידערד" (ד"ה ניט דאַווקע אַלע פון ​​זיי) אין סדר צו מקיים אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ.

רעגאַרדלעסס פון וואָס מיטלען זענען אנגענומען, קאָנטראָל 5.20 זאגט בפירוש אַז ביידע פּאַרטיעס זאָל אַרויסגאַנג דעם פּראָצעס מיט אַ "קלאָר פארשטאנד" פון זייער אינפֿאָרמאַציע זיכערהייט אַבלאַגיישאַנז צו איינער דעם אנדערן.

1. א קלאָר באַשרייַבונג זאָל זיין צוגעשטעלט מיט דיטיילד די אינפֿאָרמאַציע וואָס דאַרף זיין אַקסעסט אין קיין וועג, און ווי די אינפֿאָרמאַציע וועט זיין אַקסעסט.
2. די אָרגאַניזאַציע זאָל קלאַסיפיצירן די אינפֿאָרמאַציע צו זיין אַקסעסט אין לויט מיט זיין ארויס קלאַסאַפאַקיישאַן סכעמע (זען קאָנטראָל 5.10, קאָנטראָל 5.12 און קאָנטראָל 5.13).
3. צונעמען באַטראַכטונג זאָל זיין געגעבן צו די סאַפּלייער-זייַט קלאַסאַפאַקיישאַן סכעמע, און ווי דאָס איז שייך צו די אָרגאַניזאַציע 'ס קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע.
4. די רעכט פון ביידע פּאַרטיעס זאָל זיין קאַטאַגערייזד אין פיר הויפּט געביטן - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל. אין די פיר געביטן, פאַרשידן אַבלאַגיישאַנז זאָל זיין קלאר אַוטליינד, ווי נאָרמאַל אין געשעפט אַגרימאַנץ, אַרייַנגערעכנט אַקסעס PII, אינטעלעקטואַל פאַרמאָג רעכט און דרוקרעכט סטיפּיאַליישאַנז. דער העסקעם זאָל אויך דעקן ווי יעדער פון די שליסל געביטן וועט זיין גערעדט אין קער.
5. יעדער פּאַרטיי זאָל זיין אַבליידזשד צו דורכפירן אַ סעריע פון ​​קאַנקעראַנט קאָנטראָלס וואָס מאָניטאָר, אַססעסס און פירן אינפֿאָרמאַציע זיכערהייט ריזיקירן לעוועלס (אַזאַ ווי אַקסעס קאָנטראָל פּאַלאַסיז, ​​קאַנטראַקטשואַל באריכטן, סיסטעמען מאָניטאָרינג, ריפּאָרטינג און פּעריאָדיש אַדאַטינג). אין אַדישאַן, די העסקעם זאָל קלאר באַשרייַבן די נויט פֿאַר סאַפּלייער פּערסאַנעל צו אַדכיר צו אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס (זען קאָנטראָל 5.20).
6. עס זאָל זיין אַ קלאָר פארשטאנד פון וואָס קאַנסטאַטוץ ביידע פּאַסיק און אַנאַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע, און גשמיות און ווירטואַל אַסעץ פון יעדער פּאַרטיי.
7. פּראָוסידזשערז זאָל זיין שטעלן אין פּלאַץ וואָס האַנדלען מיט די לעוועלס פון דערלויבעניש פארלאנגט פֿאַר סאַפּלייער-זייַט פּערסאַנעל צו אַקסעס אָדער זען אַן אָרגאַניזאַציע אינפֿאָרמאַציע (למשל אָטערייזד באַניצער רשימות, סאַפּלייער-זייַט אַדאַץ, סערווער אַקסעס קאָנטראָלס).
8. אינפֿאָרמאַציע זיכערהייט זאָל זיין באַטראַכט צוזאמען מיט די סאַפּלייער ס אייגענע יקט ינפראַסטראַקטשער, און ווי דאָס איז שייך צו די טיפּ פון אינפֿאָרמאַציע וואָס די אָרגאַניזאַציע האט צוגעשטעלט אַקסעס צו, די ריזיקירן קרייטיריאַ און דער אָרגאַניזאַציע ס באַזע גאַנג פון געשעפט רעקווירעמענץ.
9. עס זאָל זיין באַטראַכט וואָס קאָרסאַז פון קאַמף די אָרגאַניזאַציע איז ביכולת צו נעמען אין די געשעעניש פון אַ בריטש פון קאָנטראַקט פון די סאַפּלייער אָדער דורכפאַל צו נאָכקומען מיט יחיד סטיפּיאַליישאַנז.
10. די העסקעם זאָל קלאר אַוטליין אַ קעגנצייַטיק ינסידענט מאַנאַגעמענט פּראָצעדור אַז קלאר סטיפּיאַלייץ וואָס דאַרף צו פּאַסירן ווען פּראָבלעמס אויפשטיין, ספּעציעל וועגן ווי דער אינצידענט איז קאַמיונאַקייטיד צווישן ביידע פּאַרטיעס.
11. פּערסאַנעל פון ביידע פּאַרטיעס זאָל זיין געגעבן טויגן וויסיקייַט טריינינג (וואו נאָרמאַל טריינינג איז נישט גענוג) אויף שליסל געביטן פון די העסקעם, ספּאַסיפיקלי וועגן שליסל ריזיקירן געביטן אַזאַ ווי ינסידענט מאַנאַגעמענט און די צושטעלן פון אַקסעס צו אינפֿאָרמאַציע.
12. צונעמען ופמערקזאַמקייַט זאָל זיין געגעבן צו די נוצן פון סאַבקאַנטראַקטערז. אויב דער סאַפּלייער איז דערלויבט צו נוצן סאַבקאַנטראַקטערז, די אָרגאַנאַזיישאַנז זאָל נעמען סטעפּס צו ענשור אַז אַזאַ מענטשן אָדער קאָמפּאַניעס זענען אַליינד מיט די זעלבע גאַנג פון אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ ווי די סאַפּלייער.
13. וואו עס איז ליגאַלי מעגלעך און אַפּעריישאַנאַל באַטייַטיק, אָרגאַנאַזיישאַנז זאָל באַטראַכטן ווי סאַפּלייער פּערסאַנעל זענען סקרינד איידער ינטעראַקטינג מיט זייער אינפֿאָרמאַציע, און ווי זיפּונג איז רעקאָרדעד און רעפּאָרטעד צו די אָרגאַניזאַציע, אַרייַנגערעכנט ניט-סקרינד פּערסאַנעל און געביטן פֿאַר זארגן.
14. אָרגאַנאַזיישאַנז זאָל סטיפּיאַלייט די נויט פֿאַר דריט-פּאַרטיי אַטטעסטיישאַנז וואָס באַשטעטיקן די סאַפּלייער ס פיייקייט צו מקיים אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ, אַרייַנגערעכנט פרייַ ריפּאָרץ און דריט-פּאַרטיי אַדאַץ.
15. אָרגאַנאַזיישאַנז זאָל האָבן די קאַנטראַקטשואַל רעכט צו אַססעסס און קאָנטראָלירן די פּראָוסידזשערז פון אַ סאַפּלייער מיט קאָנטראָל 5.20.
16. סאַפּלייערז זאָל האָבן אַ פליכט צו צושטעלן ריפּאָרץ (אין וועריינג ינטערוואַלז) וואָס דעקן די יפעקטיוונאַס פון זייער אייגענע פּראַסעסאַז און פּראָוסידזשערז, און ווי זיי בדעה צו אַדרעס קיין ישוז וואָס זענען אויפגעשטאנען אין אַזאַ אַ באַריכט.
17. די העסקעם זאָל נעמען סטעפּס צו ענשור די בייַצייַטיק און גרונטיק האַכלאָטע פון ​​קיין חסרונות אָדער קאָנפליקט וואָס פּאַסירן בעשאַס די שייכות.
18. אויב נייטיק, דער סאַפּלייער זאָל אַרבעטן מיט אַ שטאַרק BUDR פּאָליטיק אין לויט מיט די באדערפענישן פון דער אָרגאַניזאַציע, וואָס קאָווערס דריי הויפּט קאַנסידעריישאַנז:

    a) באַקקופּ טיפּ (פול סערווער, טעקע און טעקע עטק, ינקראַמענטאַל עטק)
    b) באַקקופּ אָפטקייַט (טעגלעך, וואכנשריפט אאז"ו ו)
    c) באַקקופּ אָרט און מקור מידיאַ (אַנסייט, אָפפסיט)

19. דאַטאַ ריזיליאַנס זאָל זיין אַטשיווד דורך אַפּערייטינג מיט אַ ומגליק אָפּזוך אָרט וואָס איז באַזונדער פון די סאַפּלייער ס הויפּט יקט פּלאַץ, און איז נישט אונטערטעניק צו דער זעלביקער מדרגה פון ריזיקירן.
20. דער סאַפּלייער זאָל אַרבעטן מיט אַ פולשטענדיק טוישן פאַרוואַלטונג פּאָליטיק וואָס גיט פאָרויס אָנזאָג צו דער אָרגאַניזאַציע פון ​​קיין ענדערונגען וואָס קען ווירקן אינפֿאָרמאַציע זיכערהייט, און צושטעלן די אָרגאַניזאַציע די פיייקייַט צו אָפּוואַרפן אַזאַ ענדערונגען.
21. פיזיש זיכערהייט קאָנטראָלס (בנין אַקסעס, גאַסט אַקסעס, צימער אַקסעס, שרייַבטיש זיכערהייט) זאָל זיין ענאַקטאַד וואָס זענען באַטייַטיק צו די סאָרט פון אינפֿאָרמאַציע זיי זענען דערלויבט צו אַקסעס.
22. ווען די נויט קומט צו אַריבערפירן אינפֿאָרמאַציע צווישן אַסעץ, זייטלעך, סערווערס אָדער סטאָרידזש לאָוקיישאַנז, דער סאַפּלייער זאָל ענשור אַז דאַטן און אַסעץ זענען פּראָטעקטעד פון אָנווער, שעדיקן אָדער קאָרופּציע איבער דעם פּראָצעס.
23. דער העסקעם זאָל באַשרייַבן אַ פולשטענדיק רשימה פון אַקשאַנז צו זיין גענומען דורך יעדער פּאַרטיי אין די געשעעניש פון טערמאַניישאַן (זען אויך קאָנטראָל 5.20), אַרייַנגערעכנט (אָבער ניט לימיטעד צו):

    a) אַסעט באַזייַטיקונג און / אָדער רילאָוקיישאַן
    b) אינפֿאָרמאַציע דילישאַן
    c) צוריקקער פון IP
    d) באַזייַטיקונג פון אַקסעס רעכט
    e) אָנגאָינג קאַנפאַדענשיאַלאַטי אַבלאַגיישאַנז

24. ווייַטער צו פונט 23, דער סאַפּלייער זאָל אָפּשאַצן פּונקט ווי עס בדעה צו צעשטערן / פּערמאַנענטלי ויסמעקן די אָרגאַניזאַציע ס אינפֿאָרמאַציע אין דעם מאָמענט עס איז ניט מער פארלאנגט (ד"ה אין די געשעעניש פון אַ טערמאַניישאַן).
25. אויב, אין די סוף פון אַ קאָנטראַקט, עס איז נויטיק צו יבערגעבן שטיצן און / אָדער באַדינונגס צו אן אנדער שפּייַזער וואָס איז נישט ליסטעד אויף די העסקעם, סטעפּס זענען גענומען צו ענשור אַז דער פּראָצעס רעזולטאט אין נול געשעפט יבעררייַס.

שטיצן קאָנטראָלס

• 5.10
• 5.12
• 5.13
• 5.20

סופּפּלעמענטאַרי גיידאַנס

צו העלפן אָרגאַנאַזיישאַנז אין אָנפירונג סאַפּלייער באַציונגען, קאָנטראָל 5.20 זאגט אַז אָרגאַנאַזיישאַנז זאָל האַלטן אַ רעגיסטרירן פון אַגרימאַנץ.

רעדזשיסטערז זאָל רשימה אַלע אַגרימאַנץ מיט אנדערע אָרגאַנאַזיישאַנז און קאַטאַגערייזד דורך די נאַטור פון די שייכות, אַזאַ ווי קאַנטראַקץ, מעמאראנדומס פון פארשטאנד און אינפֿאָרמאַציע-ייַנטיילונג אַגרימאַנץ.

ענדערונגען און דיפפערענסעס פֿון ISO 27002:2013

ISO 27002:2022-5.20 ריפּלייסיז 27002:2013-15.1.2 (אַדרעסינג זיכערהייט אין סאַפּלייער אַגרימאַנץ).

ISO 27002: 2022-5.20 כּולל פילע נאָך גיידאַנס וואָס האַנדלען מיט אַ ברייט קייט פון טעכניש, לעגאַל און העסקעם-פֿאַרבונדענע טעמעס, אַרייַנגערעכנט:

• האַנדאָווער פּראָוסידזשערז
• אינפֿאָרמאַציע צעשטערונג
• טערמאַניישאַן קלאָזיז
• פיזיש זיכערהייט קאָנטראָלס
• טוישן פאַרוואַלטונג
• באַקאַפּס און אינפֿאָרמאַציע יבעריקייַט

ברייט גערעדט, ISO 27002: 2022-5.20 לייגט אַ פיל גרעסערע טראָפּ אויף וואָס אַקערז אין די סוף פון אַ סאַפּלייער שייכות, און אַלאַקייץ פיל מער וויכטיקייט צו ווי אַ סאַפּלייער אַטשיווז יבעריקייַט און דאַטן אָרנטלעכקייַט אין די לויף פון אַן העסקעם.

נייַ יסאָ 27002 קאָנטראָלס

ווי ISMS.online העלפּס

יסאָ קסנומקס ימפּלאַמענטיישאַן איז סימפּלער מיט אונדזער שריט-דורך-שריט טשעקליסט וואָס פירן איר דורך די גאנצע פּראָצעס, פֿון דיפיינינג די פאַרנעם פון דיין ISMS דורך ריזיקירן לעגיטימאַציע און קאָנטראָל ימפּלאַמענטיישאַן.

באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.