Le contrôle 5.19 porte sur l'obligation d'une organisation de garantir que, lors de l'utilisation de produits et services côté fournisseur (y compris les fournisseurs de services cloud), une prise en compte adéquate est accordée au niveau de risque inhérent à l'utilisation de systèmes externes et à l'impact conséquent que cela peut avoir sur les leurs respect de la sécurité de l'information.
5.19 est un contrôle préventif qui modifie le risque en maintenant des procédures qui répondent aux risques de sécurité inhérents associés à l'utilisation des produits et services fournis par des tiers.
Alors que le contrôle 5.20 traite de la sécurité des informations dans les accords avec les fournisseurs, le contrôle 5.19 concerne globalement le respect tout au long de la relation.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier | #Sécurité des relations avec les fournisseurs | #Gouvernance et #Protection des écosystèmes |
Nous avons commencé à utiliser des feuilles de calcul et c'était un cauchemar. Avec la solution ISMS.online, tout le travail acharné a été facilité.
Bien que le contrôle 5.19 contienne de nombreuses indications sur l'utilisation des services TIC, la portée plus large du contrôle englobe de nombreux autres aspects de la relation d'une organisation avec sa base de fournisseurs, y compris les types de fournisseurs, la logistique, les services publics, les services financiers et les composants d'infrastructure).
En tant que tel, la propriété du Contrôle 5.19 devrait appartenir à un membre de la haute direction qui supervise les opérations commerciales d'une organisation et entretient une relation directe avec les fournisseurs d'une organisation, comme un Directeur des Opérations.
La conformité au contrôle 5.19 implique le respect de ce que l'on appelle un approche « thématique » à la sécurité de l’information dans les relations avec les fournisseurs.
Les approches thématiques encouragent les organisations à créer des politiques liées aux fournisseurs adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique générale. politique de gestion des fournisseurs cela s'applique à toutes les relations avec des tiers dans le cadre des opérations commerciales d'une organisation.
Il est important de noter que le contrôle 5.19 demande à l'organisation de mettre en œuvre des politiques et des procédures qui non seulement régissent l'utilisation par l'organisation des ressources des fournisseurs et des plateformes cloud, mais constituent également la base de la manière dont elles attendent de leurs fournisseurs qu'ils se comportent avant et pendant la durée du contrat. la relation commerciale.
En tant que tel, le contrôle 5.19 peut être considéré comme le document de qualification essentiel qui dicte la manière dont la gouvernance de la sécurité de l'information est gérée au cours d'un contrat avec un fournisseur.
Le contrôle 5.19 contient 14 points d’orientation principaux à respecter :
1) Tenir un registre précis des types de fournisseurs (par exemple, services financiers, matériel informatique, téléphonie) susceptibles d'affecter l'intégrité de la sécurité des informations.
Conformité – Rédigez une liste de tous les fournisseurs avec lesquels votre organisation travaille, catégorisez-les en fonction de leur fonction commerciale et ajoutez des catégories auxdits types de fournisseurs selon les besoins.
2) Comprendre comment évaluer les fournisseurs, en fonction du niveau de risque inhérent à leur type de fournisseur.
Conformité – Différents types de fournisseurs nécessiteront différents contrôles de diligence raisonnable. Envisagez d'utiliser des méthodes de vérification fournisseur par fournisseur (par exemple, références industrielles, états financiers, évaluations sur site, certifications spécifiques à un secteur telles que les partenariats Microsoft).
3) Identifiez les fournisseurs qui ont déjà mis en place des contrôles de sécurité des informations.
Conformité – Demandez à voir des copies des procédures pertinentes de gouvernance de la sécurité de l'information des fournisseurs, afin d'évaluer le risque pour votre propre organisation. S’ils n’en ont pas, ce n’est pas bon signe.
4) Identifiez et définissez les domaines spécifiques de l'infrastructure TIC de votre organisation auxquels vos fournisseurs pourront accéder, surveiller ou utiliser eux-mêmes.
Conformité – Il est important d'établir dès le départ précisément comment vos fournisseurs vont interagir avec vos actifs TIC – qu'ils soient physiques ou virtuels – et quels niveaux d'accès leur sont accordés conformément à leurs obligations contractuelles.
5) Définissez l'impact de l'infrastructure TIC des fournisseurs sur vos propres données et sur celles de vos clients.
Conformité – La première obligation d'une organisation est de respecter son propre ensemble de normes de sécurité de l'information. Les actifs TIC des fournisseurs doivent être examinés en fonction de leur potentiel à affecter la disponibilité et l’intégrité dans toute votre organisation.
6) Identifier et gérer les différents risques liés à la sécurité de l'information attaché à:
a. Utilisation par le fournisseur d'informations confidentielles ou d'actifs protégés (par exemple limitée à une utilisation malveillante et/ou à une intention criminelle).
b. Matériel du fournisseur défectueux ou plate-forme logicielle défectueuse associée à des services sur site ou basés sur le cloud.
Conformité – Les organisations doivent être continuellement conscientes des risques de sécurité des informations associés à des événements catastrophiques, tels qu’une activité néfaste des utilisateurs du côté des fournisseurs ou des incidents logiciels imprévus majeurs, et de leur impact sur la sécurité des informations de l’organisation.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Nous sommes économiques et rapides
7) Surveiller la conformité en matière de sécurité des informations sur une base spécifique à un sujet ou à un type de fournisseur.
Conformité – La nécessité pour l'organisation d'apprécier les implications en matière de sécurité de l'information inhérentes à chaque type de fournisseur et d'ajuster son activité de surveillance pour s'adapter aux différents niveaux de risque.
8) Limiter le montant des dommages et/ou des perturbations causés par le non-respect.
Conformité – L’activité des fournisseurs doit être surveillée de manière appropriée et à des degrés divers, en fonction de son niveau de risque. Lorsqu’une non-conformité est découverte, de manière proactive ou réactive, des mesures immédiates doivent être prises.
9) Maintenir un procédure robuste de gestion des incidents qui répond à un nombre raisonnable d’éventualités.
Conformité – Les organisations doivent comprendre précisément comment réagir lorsqu’elles sont confrontées à un large éventail d’événements liés à la fourniture de produits et de services de tiers, et définir des mesures correctives impliquant à la fois le fournisseur et l’organisation.
10) Adopter des mesures qui garantissent la disponibilité et le traitement des informations du fournisseur, quel que soit le lieu où elles sont utilisées, garantissant ainsi l'intégrité des propres informations de l'organisation.
Conformité – Des mesures doivent être prises pour garantir que les systèmes et les données des fournisseurs sont traités d'une manière qui ne compromet pas la disponibilité et la sécurité des propres systèmes et informations de l'organisation.
11) Rédigez un plan de formation approfondi qui offre des conseils sur la manière dont le personnel doit interagir avec le personnel des fournisseurs et des informations sur une base fournisseur par fournisseur ou sur une base type par type.
Conformité – La formation doit couvrir tout le spectre de la gouvernance entre une organisation et ses fournisseurs, y compris l'engagement, les contrôles de gestion des risques et des procédures spécifiques à un sujet.
12) Comprendre et gérer le niveau de risque inhérent au transfert d'informations et d'actifs physiques et virtuels entre l'organisation et ses fournisseurs.
Conformité – Les organisations doivent cartographier chaque étape du processus de transfert et sensibiliser le personnel aux risques associés au déplacement d’actifs et les informations d'une source à une autre.
13) Assurez-vous que les relations avec les fournisseurs prennent fin en gardant à l’esprit la sécurité des informations, notamment en supprimant les droits d’accès et la possibilité d’accéder aux informations de l’organisation.
Conformité – Vos équipes informatiques doivent bien comprendre comment révoquer l'accès d'un fournisseur à l'information, notamment :
14) Décrivez précisément comment vous attendez du fournisseur qu'il se comporte en ce qui concerne les mesures de sécurité physiques et virtuelles.
Conformité – Les organisations doivent définir des attentes claires dès le début de toute relation commerciale, spécifiant comment le personnel du fournisseur doit se comporter lorsqu'il interagit avec votre personnel ou tout actif pertinent.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
L'ISO reconnaît qu'il n'est pas toujours possible d'imposer à un fournisseur un ensemble complet de politiques qui répondent à toutes les exigences de la liste ci-dessus, comme le prévoit le contrôle 5.19, en particulier lorsqu'il s'agit d'organisations rigides du secteur public.
Cela étant dit, le contrôle 5.19 indique clairement que les organisations doivent utiliser les directives ci-dessus lorsqu'elles établissent des relations avec des fournisseurs et envisager le non-respect au cas par cas.
Lorsqu'une conformité totale n'est pas réalisable, le contrôle 5.19 donne une marge de manœuvre aux organisations en recommandant des « contrôles compensatoires » qui permettent d'atteindre des niveaux adéquats de gestion des risques, en fonction des circonstances uniques d'une organisation.
27002:2022-5.19 remplace 27002:2013-5.1.1 (Politique de sécurité des informations pour les relations avec les fournisseurs).
27002:2022-5.19 adhère globalement aux mêmes concepts sous-jacents contenus dans le contrôle de 2013, mais contient plusieurs domaines d'orientation supplémentaires qui sont soit omis de 27002:2013-5.1.1, soit à tout le moins pas couverts avec autant de détails, y compris:
27002:2022-5.19 reconnaît également explicitement la nature très variable des relations avec les fournisseurs (en fonction du type, du secteur et du niveau de risque) et donne aux organisations une certaine marge de manœuvre lorsqu'elles envisagent la possibilité de non-conformité à un point d'orientation donné, en fonction de la nature de la relation (voir « Orientations supplémentaires » ci-dessus).
En utilisant ISMS.en ligne vous pouvez:
Il suffit de créer un compte d'essai gratuit et de suivre les étapes que nous vous proposons.
Contactez-nous dès aujourd'hui pour réserver une démo.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
