Objectif du contrôle 5.20
Le contrôle 5.20 régit la manière dont une organisation forme un contrat relation avec un fournisseur, en fonction de leurs exigences en matière de sécurité et du type de fournisseurs avec lesquels ils traitent.
5.20 est un contrôle préventif qui maintient le risque en établissant des obligations mutuellement acceptables entre les organisations et leurs fournisseurs en matière de sécurité de l'information.
Alors que le contrôle 5.19 régit la sécurité des informations tout au long de la relation, Control 5.20 se préoccupe de la manière dont les organisations concluent des accords contraignants à partir du Commencer d'une relation.
Attributs du contrôle 5.20
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Identifier | #Sécurité des relations avec les fournisseurs | #Gouvernance et écosystème |
| #Intégrité | #Protection | |||
| #Disponibilité |
Propriété du contrôle 5.20
La propriété du contrôle 5.20 doit dépendre du fait que l'organisation gère ou non son propre service juridique et de la nature sous-jacente de tout accord signé.
Si l'organisation a la capacité juridique de rédiger, modifier et stocker ses propres accords contractuels sans l'intervention d'un tiers, la propriété de 5.20 devrait revenir à la personne qui détient la responsabilité ultime des accords juridiquement contraignants au sein de l'organisation (contrats, protocoles d'accord, SLA, etc. .)
Si l'organisation sous-traite de tels accords, la propriété de Control 5.20 doit appartenir à un membre de la haute direction qui supervise un fonctionnement commercial de l'organisation, et entretient une relation directe avec les fournisseurs d'une organisation, comme un Chef des opérations.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Orientations générales sur le contrôle 5.20
Le contrôle 5.20 contient 25 points d'orientation qui, selon l'ISO, « peuvent être pris en compte » (c'est-à-dire pas nécessairement tous) afin de répondre aux exigences de sécurité de l'information d'une organisation.
Quelles que soient les mesures adoptées, le contrôle 5.20 stipule explicitement que les deux parties doivent quitter le processus avec une « compréhension claire » de leurs obligations mutuelles en matière de sécurité des informations.
- Une description claire doit être fournie détaillant les informations auxquelles il faut accéder de quelque manière que ce soit, et comment ces informations seront accessibles.
- L'organisation doit classer les informations auxquelles il faut accéder conformément à son système de classification publié (voir Contrôle 5.10, Contrôle 5.12 et Contrôle 5.13).
- Une attention particulière doit être accordée au système de classification du côté des fournisseurs et à la façon dont il est lié à la classification des informations de l'organisation.
- Les droits des deux parties doivent être classés en quatre domaines principaux : légaux, statutaires, réglementaires et contractuels. Au sein de ces quatre domaines, diverses obligations doivent être clairement définies, comme c'est la norme dans les accords commerciaux, notamment l'accès aux informations personnelles, les droits de propriété intellectuelle et les stipulations du droit d'auteur. L’accord devrait également préciser comment chacun de ces domaines clés sera abordé tour à tour.
- Chaque partie devrait être obligée d'adopter une série de contrôles simultanés qui surveillent, évaluent et gèrent risque de sécurité de l'information niveaux (tels que les politiques de contrôle d’accès, les examens contractuels, la surveillance des systèmes, les rapports et les audits périodiques). En outre, l'accord doit clairement souligner la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir Contrôle 5.20).
- Il doit y avoir une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations et des actifs physiques et virtuels de l'une ou l'autre des parties.
- Des procédures doivent être mises en place pour traiter les niveaux d'autorisation requis pour que le personnel côté fournisseur puisse accéder ou visualiser les informations d'une organisation (par exemple, listes d'utilisateurs autorisés, audits côté fournisseur, contrôles d'accès aux serveurs).
- La sécurité de l'information doit être prise en compte parallèlement à l'infrastructure TIC du fournisseur et à son lien avec le type d'informations auxquelles l'organisation a donné accès, le critères de risque et ensemble d'exigences commerciales de base de l'organisation.
- Il convient de réfléchir aux mesures que l'organisation est en mesure de prendre en cas de rupture de contrat de la part du fournisseur ou de non-respect des stipulations individuelles.
- L'accord doit définir clairement un accord mutuel Procédure de gestion des incidents qui stipule clairement ce qui doit se passer lorsque des problèmes surviennent, notamment en ce qui concerne la manière dont l'incident est communiqué entre les deux parties.
- Le personnel des deux parties doit recevoir une formation de sensibilisation adéquate (lorsque la formation standard n'est pas suffisante) sur les domaines clés de l'accord, en particulier concernant les domaines à risque clés tels que la gestion des incidents et la fourniture d'accès à l'information.
- Une attention adéquate doit être accordée au recours à des sous-traitants. Si le fournisseur est autorisé à faire appel à des sous-traitants, les organisations doivent prendre des mesures pour garantir que ces personnes ou entreprises sont alignées sur le même ensemble d'exigences en matière de sécurité de l'information que le fournisseur.
- Lorsque cela est légalement possible et pertinent sur le plan opérationnel, les organisations doivent réfléchir à la manière dont le personnel des fournisseurs est contrôlé avant d'interagir avec leurs informations, et à la manière dont le contrôle est enregistré et signalé à l'organisation, y compris le personnel non sélectionné et les domaines préoccupants.
- Les organisations doivent stipuler la nécessité d'attestations tierces qui vérifient la capacité du fournisseur à répondre aux exigences organisationnelles en matière de sécurité des informations, y compris des rapports indépendants et des audits tiers.
- Les organisations devraient avoir le droit contractuel d'évaluer et d'auditer les procédures d'un fournisseur, liées au contrôle 5.20.
- Les fournisseurs devraient avoir l'obligation de fournir des rapports (à intervalles variables) couvrant l'efficacité de leurs propres processus et procédures, ainsi que la manière dont ils entendent résoudre les problèmes soulevés dans un tel rapport.
- L'accord doit prévoir des mesures pour garantir la résolution rapide et complète de tout défaut ou conflit survenant au cours de la relation.
- Le cas échéant, le fournisseur doit opérer avec une politique BUDR solide, conforme aux besoins de l'organisation, qui couvre trois considérations principales :
a) Type de sauvegarde (serveur complet, fichier et dossier, etc., incrémentielle, etc.)
b) Fréquence de sauvegarde (quotidienne, hebdomadaire, etc.)
c) Emplacement de sauvegarde et support source (sur site, hors site) - La résilience des données doit être obtenue en opérant avec un site de reprise après sinistre distinct du site TIC principal du fournisseur et qui n'est pas soumis au même niveau de risque.
- Le fournisseur doit fonctionner avec un politique globale de gestion du changement qui informe à l'avance l'organisation de tout changement susceptible d'affecter la sécurité des informations et donne à l'organisation la possibilité de rejeter ces changements.
- Contrôles de sécurité physique (accès au bâtiment, accès des visiteurs, accès aux chambres, sécurité du bureau) devraient être adoptés en fonction du type d'informations auxquelles ils sont autorisés à accéder.
- Lorsqu'il est nécessaire de transférer informations entre les actifs, sites, serveurs ou emplacements de stockage, le fournisseur doit garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption tout au long du processus.
- L'accord doit décrire une liste complète des mesures à prendre par l'une ou l'autre des parties en cas de résiliation (voir également Contrôle 5.20), y compris (mais sans s'y limiter) :
a) Cession et/ou déménagement d’actifs
b) Suppression des informations
c) Retour de la propriété intellectuelle
d) Suppression des droits d'accès
e) Obligations continues de confidentialité - Suite au point 23, le fournisseur doit indiquer précisément comment il a l'intention de détruire/supprimer définitivement les informations de l'organisation dès qu'elles ne sont plus nécessaires (c'est-à-dire en cas de résiliation).
- Si, à la fin d'un contrat, il est nécessaire de confier le support et/ou les services à un autre fournisseur non répertorié dans le contrat, des mesures sont prises pour garantir que le processus n'entraîne aucune interruption d'activité.
Prise en charge des contrôles
- 5.10
- 5.12
- 5.13
- 5.20
Conseils supplémentaires
Pour aider les organisations à gérer les relations avec les fournisseurs, le contrôle 5.20 stipule que les organisations doivent maintenir une registre des accords.
Les registres doivent répertorier tous les accords conclus avec d'autres organisations et classés selon la nature de la relation, comme contrats, protocoles d'accord et accords de partage d'informations.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27002:2013
La norme ISO 27002 :2022-5.20 remplace la norme 27002 :2013-15.1.2 (traitant de la sécurité dans les accords avec les fournisseurs).
La norme ISO 27002 :2022-5.20 contient de nombreuses lignes directrices supplémentaires qui traitent d'un large éventail de sujets techniques, juridiques et liés à la conformité, notamment :
- Procédures de transfert
- Destruction d'informations
- Clauses de résiliation
- Contrôles de sécurité physique
- Gestion du changement
- Sauvegardes et redondance des informations
D'une manière générale, la norme ISO 27002:2022-5.20 met beaucoup plus l'accent sur ce qui se passe à la fin d'une relation avec un fournisseur et accorde beaucoup plus d'importance à la manière dont un fournisseur parvient à la redondance et à l'intégrité des données tout au long de l'accord.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.online vous aide
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Contactez-nous dès aujourd'hui pour réserver une démo.
