Le contrôle 5.20 régit la manière dont une organisation forme un contrat relation avec un fournisseur, en fonction de leurs exigences en matière de sécurité et du type de fournisseurs avec lesquels ils traitent.
5.20 est un contrôle préventif qui maintient le risque en établissant des obligations mutuellement acceptables entre les organisations et leurs fournisseurs en matière de sécurité de l'information.
Alors que le contrôle 5.19 régit la sécurité des informations tout au long de la relation, Control 5.20 se préoccupe de la manière dont les organisations concluent des accords contraignants à partir du Commencer d'une relation.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier | #Sécurité des relations avec les fournisseurs | #Gouvernance et écosystème #Protection |
La propriété du contrôle 5.20 doit dépendre du fait que l'organisation gère ou non son propre service juridique et de la nature sous-jacente de tout accord signé.
Si l'organisation a la capacité juridique de rédiger, modifier et stocker ses propres accords contractuels sans l'intervention d'un tiers, la propriété de 5.20 devrait revenir à la personne qui détient la responsabilité ultime des accords juridiquement contraignants au sein de l'organisation (contrats, protocoles d'accord, SLA, etc. .)
Si l'organisation sous-traite de tels accords, la propriété de Control 5.20 doit appartenir à un membre de la haute direction qui supervise un fonctionnement commercial de l'organisation, et entretient une relation directe avec les fournisseurs d'une organisation, comme un Directeur des Opérations.
Nous sommes économiques et rapides
Le contrôle 5.20 contient 25 points d'orientation qui, selon l'ISO, « peuvent être pris en compte » (c'est-à-dire pas nécessairement tous) afin de répondre aux exigences de sécurité de l'information d'une organisation.
Quelles que soient les mesures adoptées, le contrôle 5.20 stipule explicitement que les deux parties doivent quitter le processus avec une « compréhension claire » de leurs obligations mutuelles en matière de sécurité des informations.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Pour aider les organisations à gérer les relations avec les fournisseurs, le contrôle 5.20 stipule que les organisations doivent maintenir une registre des accords.
Les registres doivent répertorier tous les accords conclus avec d'autres organisations et classés selon la nature de la relation, comme contrats, protocoles d'accord ainsi que accords de partage d'informations.
La norme ISO 27002 :2022-5.20 remplace la norme 27002 :2013-15.1.2 (traitant de la sécurité dans les accords avec les fournisseurs).
La norme ISO 27002 :2022-5.20 contient de nombreuses lignes directrices supplémentaires qui traitent d'un large éventail de sujets techniques, juridiques et liés à la conformité, notamment :
D'une manière générale, la norme ISO 27002:2022-5.20 met beaucoup plus l'accent sur ce qui se passe à la fin d'une relation avec un fournisseur et accorde beaucoup plus d'importance à la manière dont un fournisseur parvient à la redondance et à l'intégrité des données tout au long de l'accord.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |