ISO 27002:2022, Contrôle 5.20 – Aborder la sécurité des informations dans les accords avec les fournisseurs

Contrôles révisés ISO 27002 : 2022

Demander demo

Affaires,gens,travail,dans,conférence,prix

Objectif du contrôle 5.20

Le contrôle 5.20 régit la manière dont une organisation forme un contrat relation avec un fournisseur, en fonction de leurs exigences en matière de sécurité et du type de fournisseurs avec lesquels ils traitent.

5.20 est un contrôle préventif qui maintient le risque en établissant des obligations mutuellement acceptables entre les organisations et leurs fournisseurs en matière de sécurité de l'information.

Alors que le contrôle 5.19 régit la sécurité des informations tout au long de la relation, Control 5.20 se préoccupe de la manière dont les organisations concluent des accords contraignants à partir du Commencer d'une relation.

Tableau des attributs

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Identifier#Sécurité des relations avec les fournisseurs#Gouvernance et écosystème
#Protection

Propriété du contrôle 5.20

La propriété du contrôle 5.20 doit dépendre du fait que l'organisation gère ou non son propre service juridique et de la nature sous-jacente de tout accord signé.

Si l'organisation a la capacité juridique de rédiger, modifier et stocker ses propres accords contractuels sans l'intervention d'un tiers, la propriété de 5.20 devrait revenir à la personne qui détient la responsabilité ultime des accords juridiquement contraignants au sein de l'organisation (contrats, protocoles d'accord, SLA, etc. .)

Si l'organisation sous-traite de tels accords, la propriété de Control 5.20 doit appartenir à un membre de la haute direction qui supervise un fonctionnement commercial de l'organisation, et entretient une relation directe avec les fournisseurs d'une organisation, comme un Directeur des Opérations.

Aller au sujet

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Orientations générales sur le contrôle 5.20

Le contrôle 5.20 contient 25 points d'orientation qui, selon l'ISO, « peuvent être pris en compte » (c'est-à-dire pas nécessairement tous) afin de répondre aux exigences de sécurité de l'information d'une organisation.

Quelles que soient les mesures adoptées, le contrôle 5.20 stipule explicitement que les deux parties doivent quitter le processus avec une « compréhension claire » de leurs obligations mutuelles en matière de sécurité des informations.

  1. Une description claire doit être fournie détaillant les informations auxquelles il faut accéder de quelque manière que ce soit, et comment ces informations seront accessibles.

  2. L'organisation doit classer les informations auxquelles il faut accéder conformément à son système de classification publié (voir Contrôle 5.10, Contrôle 5.12 et Contrôle 5.13).

  3. Une attention particulière doit être accordée au système de classification du côté des fournisseurs et à la façon dont il est lié à la classification des informations de l'organisation.

  4. Les droits des deux parties doivent être classés en quatre domaines principaux : légaux, statutaires, réglementaires et contractuels. Au sein de ces quatre domaines, diverses obligations doivent être clairement définies, comme c'est la norme dans les accords commerciaux, notamment l'accès aux informations personnelles, les droits de propriété intellectuelle et les stipulations du droit d'auteur. L’accord devrait également préciser comment chacun de ces domaines clés sera abordé tour à tour.

  5. Chaque partie devrait être obligée d'adopter une série de contrôles simultanés qui surveillent, évaluent et gèrent risque de sécurité de l'information niveaux (tels que les politiques de contrôle d’accès, les examens contractuels, la surveillance des systèmes, les rapports et les audits périodiques). En outre, l'accord doit clairement souligner la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir Contrôle 5.20).

  6. Il doit y avoir une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations et des actifs physiques et virtuels de l'une ou l'autre des parties.

  7. Des procédures doivent être mises en place pour traiter les niveaux d'autorisation requis pour que le personnel côté fournisseur puisse accéder ou visualiser les informations d'une organisation (par exemple, listes d'utilisateurs autorisés, audits côté fournisseur, contrôles d'accès aux serveurs).

  8. La sécurité de l'information doit être prise en compte parallèlement à l'infrastructure TIC du fournisseur et à son lien avec le type d'informations auxquelles l'organisation a donné accès, le critères de risque et ensemble d'exigences commerciales de base de l'organisation.

  9. Il convient de réfléchir aux mesures que l'organisation est en mesure de prendre en cas de rupture de contrat de la part du fournisseur ou de non-respect des stipulations individuelles.

  10. L'accord doit définir clairement un accord mutuel Procédure de gestion des incidents qui stipule clairement ce qui doit se passer lorsque des problèmes surviennent, notamment en ce qui concerne la manière dont l'incident est communiqué entre les deux parties.

  11. Le personnel des deux parties doit recevoir une formation de sensibilisation adéquate (lorsque la formation standard n'est pas suffisante) sur les domaines clés de l'accord, en particulier concernant les domaines à risque clés tels que la gestion des incidents et la fourniture d'accès à l'information.

  12. Une attention adéquate doit être accordée au recours à des sous-traitants. Si le fournisseur est autorisé à faire appel à des sous-traitants, les organisations doivent prendre des mesures pour garantir que ces personnes ou entreprises sont alignées sur le même ensemble d'exigences en matière de sécurité de l'information que le fournisseur.

  13. Lorsque cela est légalement possible et pertinent sur le plan opérationnel, les organisations doivent réfléchir à la manière dont le personnel des fournisseurs est contrôlé avant d'interagir avec leurs informations, et à la manière dont le contrôle est enregistré et signalé à l'organisation, y compris le personnel non sélectionné et les domaines préoccupants.

  14. Les organisations doivent stipuler la nécessité d'attestations tierces qui vérifient la capacité du fournisseur à répondre aux exigences organisationnelles en matière de sécurité des informations, y compris des rapports indépendants et des audits tiers.

  15. Les organisations devraient avoir le droit contractuel d'évaluer et d'auditer les procédures d'un fournisseur, liées au contrôle 5.20.

  16. Les fournisseurs devraient avoir l'obligation de fournir des rapports (à intervalles variables) couvrant l'efficacité de leurs propres processus et procédures, ainsi que la manière dont ils entendent résoudre les problèmes soulevés dans un tel rapport.

  17. L'accord doit prévoir des mesures pour garantir la résolution rapide et complète de tout défaut ou conflit survenant au cours de la relation.

  18. Le cas échéant, le fournisseur doit opérer avec une politique BUDR solide, conforme aux besoins de l'organisation, qui couvre trois considérations principales :

    a) Type de sauvegarde (serveur complet, fichier et dossier, etc., incrémentielle, etc.)
    b) Fréquence de sauvegarde (quotidienne, hebdomadaire, etc.)
    c) Emplacement de sauvegarde et support source (sur site, hors site)

  19. La résilience des données doit être obtenue en opérant avec un site de reprise après sinistre distinct du site TIC principal du fournisseur et qui n'est pas soumis au même niveau de risque.

  20. Le fournisseur doit fonctionner avec un politique globale de gestion du changement qui informe à l'avance l'organisation de tout changement susceptible d'affecter la sécurité des informations et donne à l'organisation la possibilité de rejeter ces changements.

  21. Contrôles de sécurité physique (accès au bâtiment, accès des visiteurs, accès aux chambres, sécurité du bureau) devraient être adoptés en fonction du type d'informations auxquelles ils sont autorisés à accéder.

  22. Lorsqu'il est nécessaire de transférer informations entre les actifs, sites, serveurs ou emplacements de stockage, le fournisseur doit garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption tout au long du processus.

  23. L'accord doit décrire une liste complète des mesures à prendre par l'une ou l'autre des parties en cas de résiliation (voir également Contrôle 5.20), y compris (mais sans s'y limiter) :

    a) Cession et/ou déménagement d’actifs
    b) Suppression des informations
    c) Retour de la propriété intellectuelle
    d) Suppression des droits d'accès
    e) Obligations continues de confidentialité

  24. Suite au point 23, le fournisseur doit indiquer précisément comment il a l'intention de détruire/supprimer définitivement les informations de l'organisation dès qu'elles ne sont plus nécessaires (c'est-à-dire en cas de résiliation).

  25. Si, à la fin d'un contrat, il est nécessaire de confier le support et/ou les services à un autre fournisseur non répertorié dans le contrat, des mesures sont prises pour garantir que le processus n'entraîne aucune interruption d'activité.

Prise en charge des contrôles

  • 5.10
  • 5.12
  • 5.13
  • 5.20

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Conseils supplémentaires

Pour aider les organisations à gérer les relations avec les fournisseurs, le contrôle 5.20 stipule que les organisations doivent maintenir une registre des accords.

Les registres doivent répertorier tous les accords conclus avec d'autres organisations et classés selon la nature de la relation, comme contrats, protocoles d'accord ainsi que accords de partage d'informations.

Modifications et différences par rapport à la norme ISO 27002:2013

La norme ISO 27002 :2022-5.20 remplace la norme 27002 :2013-15.1.2 (traitant de la sécurité dans les accords avec les fournisseurs).

La norme ISO 27002 :2022-5.20 contient de nombreuses lignes directrices supplémentaires qui traitent d'un large éventail de sujets techniques, juridiques et liés à la conformité, notamment :

  • Procédures de transfert
  • Destruction d'informations
  • Clauses de résiliation
  • Contrôles de sécurité physique
  • Gestion du changement
  • Sauvegardes et redondance des informations

D'une manière générale, la norme ISO 27002:2022-5.20 met beaucoup plus l'accent sur ce qui se passe à la fin d'une relation avec un fournisseur et accorde beaucoup plus d'importance à la manière dont un fournisseur parvient à la redondance et à l'intégrité des données tout au long de l'accord.

Comment ISMS.online vous aide

ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.

Contactez-nous dès aujourd'hui pour réserver une démo.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage