ISO 27001:2022 Annexe A Contrôle 5.20

ISO 27001:2022 Annexe A 5.20 Orientations générales

Le contrôle 5.20 de l'Annexe A contient 25 points d'orientation que les États ISO sont « susceptibles de prendre en compte » (c'est-à-dire pas nécessairement tous) pour que les organisations répondent à leurs exigences en matière de sécurité de l'information.

L'Annexe A Contrôle 5.20 précise que quelles que soient les mesures adoptées, les deux parties doivent sortir du processus avec une « compréhension claire » des obligations de chacune en matière de sécurité de l'information.

1. Il est essentiel de fournir une description claire des informations auxquelles il faut accéder et de la manière dont ces informations seront accessibles.
2. Les organisations doivent classer les informations selon leurs systèmes de classification publiés (voir l'Annexe A, Contrôles 5.10, 5.12 et 5.13).
3. Classement des informations du côté du fournisseur doivent être pris en compte ainsi que leur rapport avec ceux du côté de l'organisation.
4. Généralement, les droits des deux parties peuvent être divisés en quatre catégories : légaux, statutaires, réglementaires et contractuels. Comme c'est le cas pour les accords commerciaux, diverses obligations doivent être clairement définies dans ces quatre domaines, notamment l'accès aux informations personnelles, les droits de propriété intellectuelle et les dispositions sur les droits d'auteur. Le contrat devrait également couvrir la manière dont ces domaines clés seront abordés séparément.
5. Dans le cadre du système de contrôle de l'annexe A, chaque partie devrait être tenue de mettre en œuvre des mesures simultanées conçues pour surveiller, évaluer et gérer les risques liés à la sécurité de l'information (telles que des politiques de contrôle d'accès, des examens contractuels, une surveillance, des rapports et des audits périodiques). En outre, l'accord doit clairement indiquer que le personnel du fournisseur doit se conformer aux normes de sécurité des informations de l'organisation (voir ISO 27001, Annexe A, Contrôle 5.20).
6. Les deux parties doivent clairement comprendre ce qui constitue une utilisation acceptable et inacceptable des informations, ainsi que des actifs physiques et virtuels.
7. Pour garantir que le personnel côté fournisseur puisse accéder et visualiser les informations d'une organisation, des procédures doivent être mises en place (par exemple, audits côté fournisseur et contrôles d'accès aux serveurs).
8. En plus de prendre en compte l'infrastructure TIC du fournisseur, il est important de comprendre son lien avec le type d'informations auxquelles l'organisation aura accès. Cela s’ajoute à l’ensemble des exigences commerciales de base de l’organisation.
9. Si le fournisseur rompt le contrat ou ne respecte pas les conditions individuelles, l’organisation doit réfléchir aux mesures qu’elle peut prendre.
10. Plus précisément, l'accord devrait décrire une procédure mutuelle de gestion des incidents qui clarifie la manière dont les problèmes doivent être traités lorsqu'ils surviennent. Cela inclut la manière dont les deux parties doivent communiquer lorsqu'un incident se produit.
11. Les deux parties doivent proposer une formation de sensibilisation adéquate (lorsque la formation standard n'est pas suffisante) dans les domaines clés de l'accord, en particulier dans les domaines à risque tels que la gestion des incidents et le partage d'informations.
12. Le recours à des sous-traitants doit être abordé de manière adéquate. Les organisations doivent s'assurer que, si le fournisseur est autorisé à faire appel à des sous-traitants, ces personnes ou entreprises adhèrent aux mêmes normes de sécurité des informations que le fournisseur.
13. Dans la mesure où cela est possible d’un point de vue juridique et opérationnel, les organisations doivent réfléchir à la manière dont le personnel des fournisseurs est sélectionné avant d’interagir avec leurs informations. En outre, ils doivent réfléchir à la manière dont les contrôles sont enregistrés et signalés à l'organisation, y compris le personnel non contrôlé et les domaines préoccupants.
14. Attestation de tiers, telle qu'indépendante rapports et audits tiers, devraient être exigés par les organisations pour les fournisseurs qui respectent leurs exigences en matière de sécurité des informations.
15. ISO 27001:2022 Annexe A Le contrôle 5.20 exige que les organisations aient le droit d'évaluer et de vérifier les procédures de leurs fournisseurs.
16. Un fournisseur doit être tenu de fournir des rapports périodiques (à intervalles variables) résumant l'efficacité de ses processus et procédures et la manière dont il entend résoudre les problèmes soulevés.
17. Au cours de la relation, l'accord doit inclure des mesures visant à garantir que tout défaut ou conflit soit résolu en temps opportun et de manière approfondie.
18. Une politique BUDR appropriée doit être mise en œuvre par le fournisseur, adaptée aux besoins de l'organisation, qui répond à trois considérations clés : a) Type de sauvegarde (serveur complet, fichiers et dossiers, incrémentielle), b) Fréquence de sauvegarde (quotidienne, hebdomadaire, etc. ) C) Emplacement de sauvegarde et support source (sur site, hors site).
19. Il est essentiel de garantir la résilience des données en opérant à partir d'une installation de reprise après sinistre distincte du site TIC principal du fournisseur. Cette installation n'est pas soumise au même niveau de risque que le site principal des TIC.
20. Les fournisseurs doivent maintenir une politique complète de gestion des changements qui permet à l’organisation de rejeter à l’avance toute modification susceptible d’affecter la sécurité des informations.
21. Contrôles de sécurité physique doivent être mises en œuvre en fonction des informations auxquelles ils sont autorisés à accéder (accès au bâtiment, accès des visiteurs, accès aux chambres, sécurité du bureau).
22. Chaque fois que des données sont transférées entre des actifs, des sites, des serveurs ou des emplacements de stockage, les fournisseurs doivent s'assurer que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
23. Dans le cadre de l'accord, chaque partie devrait être tenue de prendre une liste détaillée de mesures en cas de résiliation (voir l'annexe A, contrôle 5.20). Ces actions comprennent (sans toutefois s'y limiter) : a) la cession d'actifs et/ou la relocalisation, b) la suppression d'informations, c) la restitution de la propriété intellectuelle, d) la suppression des droits d'accès e) le maintien des obligations de confidentialité.
24. Outre le point 23, le fournisseur doit expliquer en détail comment il entend détruire/supprimer définitivement les informations de l'organisation lorsqu'elles ne sont plus nécessaires (c'est-à-dire à la résiliation du contrat).
25. Chaque fois qu'un contrat prend fin et qu'il est nécessaire de transférer le support et/ou les services à un autre fournisseur non répertorié dans le contrat, des mesures sont prises pour garantir qu'il n'y ait aucune interruption des opérations commerciales.

Contrôles accompagnant l’Annexe A

• ISO 27001:2022 Annexe A 5.10
• ISO 27001:2022 Annexe A 5.12
• ISO 27001:2022 Annexe A 5.13
• ISO 27001:2022 Annexe A 5.20

Orientations supplémentaires sur l'Annexe A 5.20

L'Annexe A Contrôle 5.20 recommande aux organisations de tenir un registre des accords pour les aider à gérer leurs relations avec les fournisseurs.

Les enregistrements de tous les accords conclus avec d’autres organisations doivent être conservés, classés selon la nature de la relation. Cela comprend les contrats, les protocoles d'accord et les accords relatifs au partage d'informations.

Quels sont les changements par rapport à la norme ISO 27001:2013 ?

Un amendement à la norme ISO 27001:2013, Annexe A 15.1.2 (Traitement de la sécurité dans les accords avec les fournisseurs) a été apporté pour ISO 27001: 2022 Annexe A Contrôle 5.20.

Plusieurs lignes directrices supplémentaires sont contenues dans l'Annexe A Contrôle 5.20 de la norme ISO 27001:2022 qui traitent d'un large éventail de questions techniques, juridiques et liées à la conformité, notamment :

• La procédure de passation de pouvoir.
• Destruction d'informations.
• Dispositions de résiliation.
• Contrôles de sécurité physique.
• Gestion du changement.
• Redondance et sauvegardes des informations.

En règle générale, l'annexe A 27001 de la norme ISO 2022:5.20 souligne la manière dont un fournisseur assure la redondance et l'intégrité des données tout au long d'un contrat.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Quels sont les avantages de l’utilisation d’ISMS.online pour les relations avec les fournisseurs ?

Une liste de contrôle étape par étape vous guide tout au long de Processus de mise en œuvre de la norme ISO 27001, de la définition du périmètre de votre SMSI à l'identification des risques et à la mise en place de contrôles.

Grâce à la zone de relations avec les comptes (par exemple, les fournisseurs) facile à utiliser d'ISMS.online, vous pouvez vous assurer que vos relations sont soigneusement sélectionnées, bien gérées dans la vie et surveillées et examinées. Les espaces de travail de projets collaboratifs d'ISMS.online ont facilement répondu à cet objectif de contrôle. Ces espaces de travail sont utiles pour l'intégration des fournisseurs, les initiatives conjointes, les départs, etc., que l'auditeur peut également visualiser facilement si nécessaire.

Nous avons également facilité cet objectif de contrôle pour votre organisation en vous permettant de démontrer que le fournisseur s'est formellement engagé à respecter les exigences. Cela se fait grâce à notre Packs de politiques. Ces packs de politiques sont particulièrement utiles pour les organisations disposant de politiques et de contrôles spécifiques qu'elles souhaitent que leurs fournisseurs adhèrent afin qu'elles puissent être sûres que leurs fournisseurs ont lu ces politiques et se sont engagés à les respecter.

Il peut être nécessaire d'aligner le changement sur A.6.1.5 Sécurité de l'information dans la gestion de projet en fonction de la nature du changement (par exemple pour des changements plus substantiels).

Réservez une démo aujourd'hui.