Objectif du contrôle 5.19
Le contrôle 5.19 porte sur l'obligation d'une organisation de garantir que, lors de l'utilisation de produits et services côté fournisseur (y compris les fournisseurs de services cloud), une prise en compte adéquate est accordée au niveau de risque inhérent à l'utilisation de systèmes externes et à l'impact conséquent que cela peut avoir sur les leurs respect de la sécurité de l'information.
5.19 est un contrôle préventif qui modifie le risque en maintenant des procédures qui répondent aux risques de sécurité inhérents associés à l'utilisation des produits et services fournis par des tiers.
Alors que le contrôle 5.20 traite de la sécurité des informations dans les accords avec les fournisseurs, le contrôle 5.19 concerne globalement le respect tout au long de la relation.
Attributs Table de contrôle 5.19
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Identifier | #Sécurité des relations avec les fournisseurs | #Gouvernance et écosystème |
| #Intégrité | #Protection | |||
| #Disponibilité |
Propriété du contrôle 5.19
Bien que le contrôle 5.19 contienne de nombreuses indications sur l'utilisation des services TIC, la portée plus large du contrôle englobe de nombreux autres aspects de la relation d'une organisation avec sa base de fournisseurs, y compris les types de fournisseurs, la logistique, les services publics, les services financiers et les composants d'infrastructure).
En tant que tel, la propriété du Contrôle 5.19 devrait appartenir à un membre de la haute direction qui supervise les opérations commerciales d'une organisation et entretient une relation directe avec les fournisseurs d'une organisation, comme un Chef de la direction des opérations.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Orientation générale
La conformité au contrôle 5.19 implique le respect de ce que l'on appelle un approche « thématique » à la sécurité de l’information dans les relations avec les fournisseurs.
Les approches thématiques encouragent les organisations à créer des politiques liées aux fournisseurs adaptées aux fonctions commerciales individuelles, plutôt que d'adhérer à une politique générale. politique de gestion des fournisseurs cela s'applique à toutes les relations avec des tiers dans le cadre des opérations commerciales d'une organisation.
Il est important de noter que le contrôle 5.19 demande à l'organisation de mettre en œuvre des politiques et des procédures qui non seulement régissent l'utilisation par l'organisation des ressources des fournisseurs et des plateformes cloud, mais constituent également la base de la manière dont elles attendent de leurs fournisseurs qu'ils se comportent avant et pendant la durée du contrat. la relation commerciale.
En tant que tel, le contrôle 5.19 peut être considéré comme le document de qualification essentiel qui dicte la manière dont la gouvernance de la sécurité de l'information est gérée au cours d'un contrat avec un fournisseur.
Le contrôle 5.19 contient 14 points d’orientation principaux à respecter :
1) Tenir un registre précis des types de fournisseurs (par exemple, services financiers, matériel informatique, téléphonie) susceptibles d'affecter l'intégrité de la sécurité des informations.
Conformité – Rédigez une liste de tous les fournisseurs avec lesquels votre organisation travaille, catégorisez-les en fonction de leur fonction commerciale et ajoutez des catégories auxdits types de fournisseurs selon les besoins.
2) Comprendre comment évaluer les fournisseurs, en fonction du niveau de risque inhérent à leur type de fournisseur.
Conformité – Différents types de fournisseurs nécessiteront différents contrôles de diligence raisonnable. Envisagez d'utiliser des méthodes de vérification fournisseur par fournisseur (par exemple, références industrielles, états financiers, évaluations sur site, certifications spécifiques à un secteur telles que les partenariats Microsoft).
3) Identifiez les fournisseurs qui ont déjà mis en place des contrôles de sécurité des informations.
Conformité – Demandez à voir des copies des procédures pertinentes de gouvernance de la sécurité de l'information des fournisseurs, afin d'évaluer le risque pour votre propre organisation. S’ils n’en ont pas, ce n’est pas bon signe.
4) Identifiez et définissez les domaines spécifiques de l'infrastructure TIC de votre organisation auxquels vos fournisseurs pourront accéder, surveiller ou utiliser eux-mêmes.
Conformité – Il est important d'établir dès le départ précisément comment vos fournisseurs vont interagir avec vos actifs TIC – qu'ils soient physiques ou virtuels – et quels niveaux d'accès leur sont accordés conformément à leurs obligations contractuelles.
5) Définissez l'impact de l'infrastructure TIC des fournisseurs sur vos propres données et sur celles de vos clients.
Conformité – La première obligation d'une organisation est de respecter son propre ensemble de normes de sécurité de l'information. Les actifs TIC des fournisseurs doivent être examinés en fonction de leur potentiel à affecter la disponibilité et l’intégrité dans toute votre organisation.
6) Identifier et gérer les différents risques liés à la sécurité de l'information attaché à:
a. Utilisation par le fournisseur d'informations confidentielles ou d'actifs protégés (par exemple limitée à une utilisation malveillante et/ou à une intention criminelle).
b. Matériel du fournisseur défectueux ou plate-forme logicielle défectueuse associée à des services sur site ou basés sur le cloud.
Conformité – Les organisations doivent être continuellement conscientes des risques de sécurité des informations associés à des événements catastrophiques, tels qu’une activité néfaste des utilisateurs du côté des fournisseurs ou des incidents logiciels imprévus majeurs, et de leur impact sur la sécurité des informations de l’organisation.
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Conseils généraux (suite)
7) Surveiller la conformité en matière de sécurité des informations sur une base spécifique à un sujet ou à un type de fournisseur.
Conformité – La nécessité pour l'organisation d'apprécier les implications en matière de sécurité de l'information inhérentes à chaque type de fournisseur et d'ajuster son activité de surveillance pour s'adapter aux différents niveaux de risque.
8) Limiter le montant des dommages et/ou des perturbations causés par le non-respect.
Conformité – L’activité des fournisseurs doit être surveillée de manière appropriée et à des degrés divers, en fonction de son niveau de risque. Lorsqu’une non-conformité est découverte, de manière proactive ou réactive, des mesures immédiates doivent être prises.
9) Maintenir un procédure robuste de gestion des incidents qui répond à un nombre raisonnable d’éventualités.
Conformité – Les organisations doivent comprendre précisément comment réagir lorsqu’elles sont confrontées à un large éventail d’événements liés à la fourniture de produits et de services de tiers, et définir des mesures correctives impliquant à la fois le fournisseur et l’organisation.
10) Adopter des mesures qui garantissent la disponibilité et le traitement des informations du fournisseur, quel que soit le lieu où elles sont utilisées, garantissant ainsi l'intégrité des propres informations de l'organisation.
Conformité – Des mesures doivent être prises pour garantir que les systèmes et les données des fournisseurs sont traités d'une manière qui ne compromet pas la disponibilité et la sécurité des propres systèmes et informations de l'organisation.
11) Rédigez un plan de formation approfondi qui offre des conseils sur la manière dont le personnel doit interagir avec le personnel des fournisseurs et des informations sur une base fournisseur par fournisseur ou sur une base type par type.
Conformité – La formation doit couvrir tout le spectre de la gouvernance entre une organisation et ses fournisseurs, y compris l'engagement, les contrôles de gestion des risques et des procédures spécifiques à un sujet.
12) Comprendre et gérer le niveau de risque inhérent au transfert d'informations et d'actifs physiques et virtuels entre l'organisation et ses fournisseurs.
Conformité – Les organisations doivent cartographier chaque étape du processus de transfert et sensibiliser le personnel aux risques associés au déplacement d’actifs et les informations d'une source à une autre.
13) Assurez-vous que les relations avec les fournisseurs prennent fin en gardant à l’esprit la sécurité des informations, notamment en supprimant les droits d’accès et la possibilité d’accéder aux informations de l’organisation.
Conformité – Vos équipes informatiques doivent bien comprendre comment révoquer l'accès d'un fournisseur à l'information, notamment :
- Analyse granulaire de tout domaine associé et/ou comptes cloud.
- Répartition de la propriété intellectuelle.
- Le portage des informations entre fournisseurs ou vers votre organisation.
- La gestion des dossiers.
- Restituer les actifs à leur propriétaire d'origine.
- Élimination adéquate des actifs physiques et virtuels, y compris les informations.
- Respect de toutes les exigences contractuelles, y compris les clauses de confidentialité et/ou les accords externes.
14) Décrivez précisément comment vous attendez du fournisseur qu'il se comporte en ce qui concerne les mesures de sécurité physiques et virtuelles.
Conformité – Les organisations doivent définir des attentes claires dès le début de toute relation commerciale, spécifiant comment le personnel du fournisseur doit se comporter lorsqu'il interagit avec votre personnel ou tout actif pertinent.
Conseils supplémentaires
L'ISO reconnaît qu'il n'est pas toujours possible d'imposer à un fournisseur un ensemble complet de politiques qui répondent à toutes les exigences de la liste ci-dessus, comme le prévoit le contrôle 5.19, en particulier lorsqu'il s'agit d'organisations rigides du secteur public.
Cela étant dit, le contrôle 5.19 indique clairement que les organisations doivent utiliser les directives ci-dessus lorsqu'elles établissent des relations avec des fournisseurs et envisager le non-respect au cas par cas.
Lorsqu'une conformité totale n'est pas réalisable, le contrôle 5.19 donne une marge de manœuvre aux organisations en recommandant des « contrôles compensatoires » qui permettent d'atteindre des niveaux adéquats de gestion des risques, en fonction des circonstances uniques d'une organisation.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Modifications par rapport à la norme ISO 27002:2013
27002:2022-5.19 remplace 27002:2013-5.1.1 (Politique de sécurité des informations pour les relations avec les fournisseurs).
27002:2022-5.19 adhère globalement aux mêmes concepts sous-jacents contenus dans le contrôle de 2013, mais contient plusieurs domaines d'orientation supplémentaires qui sont soit omis de 27002:2013-5.1.1, soit à tout le moins pas couverts avec autant de détails, y compris:
- La vérification des fournisseurs en fonction de leur type de fournisseur et de leur niveau de risque.
- La nécessité de garantir l’intégrité des informations des fournisseurs afin de sécuriser leurs propres données et d’assurer la continuité des activités.
- Les différentes étapes nécessaires à la fin d'une relation fournisseur, y compris la mise hors service des droits d'accès, la distribution de la propriété intellectuelle, les accords contractuels, etc.
27002:2022-5.19 reconnaît également explicitement la nature très variable des relations avec les fournisseurs (en fonction du type, du secteur et du niveau de risque) et donne aux organisations une certaine marge de manœuvre lorsqu'elles envisagent la possibilité de non-conformité à un point d'orientation donné, en fonction de la nature de la relation (voir « Orientations supplémentaires » ci-dessus).
Nouveaux contrôles ISO 27002
Nouveaux contrôles
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Équipement | Intelligence de la menace |
| 5.23 | Équipement | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Équipement | Préparation aux TIC pour la continuité des activités |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 8.9 | Équipement | Gestion de la configuration |
| 8.10 | Équipement | Suppression des informations |
| 8.11 | Équipement | Masquage des données |
| 8.12 | Équipement | Prévention des fuites de données |
| 8.16 | Équipement | Activités de surveillance |
| 8.23 | Équipement | filtrage web |
| 8.28 | Équipement | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Équipement | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.online vous aide
En utilisant ISMS.en ligne vous pouvez:
- Mettre en œuvre rapidement un Système de gestion de la sécurité de l'information (SMSI).
- Gérez facilement la documentation de votre SMSI.
- Rationalisez la conformité à toutes les normes pertinentes.
- Gérez tous les aspects de la sécurité des informations, de la gestion des risques à la formation de sensibilisation à la sécurité.
- Communiquez efficacement au sein de votre organisation grâce à notre fonctionnalité de communication intégrée.
Il suffit de créer un compte d'essai gratuit et de suivre les étapes que nous vous proposons.
Contactez-nous dès aujourd'hui pour réserver une démo.
Aller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Demande de Pro forma
