Abordar la seguridad de la información en los acuerdos con proveedores

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Propósito del Control 5.20

El control 5.20 rige cómo una organización forma un contrato relación con un proveedor, en función de sus requisitos de seguridad y del tipo de proveedores con los que tratan.

5.20 es una control preventivo que mantiene el riesgo estableciendo obligaciones mutuamente aceptables entre las organizaciones y sus proveedores que se ocupan de la seguridad de la información.

Mientras que el Control 5.19 rige con la seguridad de la información a lo largo de la relación, el Control 5.20 se preocupa por cómo las organizaciones forman acuerdos vinculantes desde el comienzo de una relacion

Atributos de Control 5.20

Tipo de control	Propiedades de seguridad de la información	Conceptos de ciberseguridad	Capacidades operativas	Dominios de seguridad
#Preventivo	#Confidencialidad	#Identificar	#Seguridad en las relaciones con proveedores	#Gobernanza y Ecosistema
	#Integridad			#Proteccion
	#Disponibilidad

Propiedad del Control 5.20

La propiedad del Control 5.20 debe depender de si la organización opera o no su propio departamento legal y de la naturaleza subyacente de cualquier acuerdo firmado.

Si la organización tiene la capacidad legal para redactar, modificar y almacenar sus propios acuerdos contractuales sin la participación de terceros, la propiedad de 5.20 debe recaer en la persona que tiene la responsabilidad final de los acuerdos legalmente vinculantes dentro de la organización (contratos, memorandos de entendimiento, SLA, etc.). .)

Si la organización subcontrata dichos acuerdos, la propiedad del Control 5.20 debe recaer en un miembro de la alta dirección que supervise una operación comercial de la organizacióny mantiene una relación directa con los proveedores de una organización, como por ejemplo Jefa de Operaciones.

Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo

Orientación general sobre control 5.20

El Control 5.20 contiene 25 puntos de orientación que según ISO “pueden considerarse” (es decir, no necesariamente todos) para cumplir con los requisitos de seguridad de la información de una organización.

Independientemente de las medidas que se adopten, el Control 5.20 establece explícitamente que ambas partes deben salir del proceso con un "claro entendimiento" de sus obligaciones mutuas en materia de seguridad de la información.

Se debe proporcionar una descripción clara que detalle la información a la que se debe acceder de cualquier manera y cómo se accederá a esa información.
La organización debería clasificar la información a la que se accederá de acuerdo con su esquema de clasificación publicado (ver Control 5.10, Control 5.12 y Control 5.13).
Se debe dar la debida consideración al esquema de clasificación del lado del proveedor y cómo se relaciona con la clasificación de la información de la organización.
Los derechos de ambas partes deben clasificarse en cuatro áreas principales: legal, estatutaria, regulatoria y contractual. Dentro de estas cuatro áreas, se deben delinear claramente varias obligaciones, como es estándar en los acuerdos comerciales, incluido el acceso a la PII, los derechos de propiedad intelectual y las estipulaciones de derechos de autor. El acuerdo también debe cubrir cómo se abordará cada una de estas áreas clave.
Cada parte debe estar obligada a promulgar una serie de controles simultáneos que monitoreen, evalúen y gestionen riesgo de seguridad de la información niveles (tales como políticas de control de acceso, revisiones contractuales, monitoreo de sistemas, informes y auditorías periódicas). Además, el acuerdo debe describir claramente la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (ver Control 5.20).
Debe haber una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información y de los activos físicos y virtuales de cualquiera de las partes.
Se deben implementar procedimientos que aborden los niveles de autorización requeridos para que el personal del proveedor acceda o vea la información de una organización (por ejemplo, listas de usuarios autorizados, auditorías del proveedor, controles de acceso al servidor).
La seguridad de la información debe considerarse junto con la propia infraestructura de TIC del proveedor y cómo se relaciona con el tipo de información a la que la organización ha brindado acceso, la Criterios de riesgo y el conjunto básico de requisitos comerciales de la organización..
Se debe considerar qué cursos de acción puede tomar la organización en caso de incumplimiento de contrato por parte del proveedor o incumplimiento de estipulaciones individuales.
El acuerdo debe esbozar claramente un acuerdo mutuo. Procedimiento de Gestión de Incidentes que estipule claramente lo que debe suceder cuando surgen problemas, particularmente en lo que respecta a cómo se comunica el incidente entre ambas partes.
Se debe proporcionar personal de ambas partes. formación adecuada de sensibilización (cuando la formación estándar no sea suficiente) en áreas clave del acuerdo, específicamente en áreas clave de riesgo como la gestión de incidentes y la provisión de acceso a la información.
Se debe prestar la debida atención al uso de subcontratistas. Si al proveedor se le permite utilizar subcontratistas, las organizaciones deben tomar medidas para garantizar que dichas personas o empresas estén alineadas con el mismo conjunto de requisitos de seguridad de la información que el proveedor.
Cuando sea legalmente posible y operativamente relevante, las organizaciones deben considerar cómo se examina al personal de los proveedores antes de interactuar con su información, y cómo se registran y reportan las evaluaciones a la organización, incluido el personal no examinado y las áreas de preocupación.
Las organizaciones deben estipular la necesidad de certificaciones de terceros que verifiquen la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de la organización, incluidos informes independientes y auditorías de terceros.
Las organizaciones deben tener el derecho contractual de evaluar y auditar los procedimientos de un proveedor, en relación con el Control 5.20.
Los proveedores deben tener la obligación de entregar informes (a intervalos variables) que cubran la efectividad de sus propios procesos y procedimientos, y cómo pretenden abordar cualquier problema planteado en dicho informe.
El acuerdo debe tomar medidas para garantizar la resolución oportuna y exhaustiva de cualquier defecto o conflicto que tenga lugar durante el curso de la relación.
Cuando sea relevante, el proveedor debe operar con una política BUDR sólida, en línea con las necesidades de la organización, que cubra tres consideraciones principales:
a) Tipo de copia de seguridad (servidor completo, archivos y carpetas, etc., incremental, etc.)
b) Frecuencia de respaldo (diaria, semanal, etc.)
c) Ubicación de la copia de seguridad y medios de origen (en el sitio, fuera del sitio)

La resiliencia de los datos debe lograrse operando con una ubicación de recuperación ante desastres que esté separada del sitio principal de TIC del proveedor y no esté sujeta al mismo nivel de riesgo.
El proveedor debe operar con una política integral de gestión del cambio que notifica con antelación a la organización cualquier cambio que pueda afectar la seguridad de la información y proporciona a la organización la capacidad de rechazar dichos cambios.
Controles de seguridad física (acceso al edificio, acceso de visitantes, acceso a las habitaciones, seguridad de escritorio) deben promulgarse que sean relevantes al tipo de información a la que se les permite acceder.
Cuando surge la necesidad de transferir información entre activos, sitios, servidores o ubicaciones de almacenamiento, el proveedor debe garantizar que los datos y activos estén protegidos contra pérdidas, daños o corrupción durante todo el proceso.
El acuerdo debe describir una lista completa de las acciones que debe tomar cualquiera de las partes en caso de rescisión (ver también Control 5.20), que incluyen (pero no se limitan a):
a) Enajenación y/o reubicación de activos
b) Eliminación de información
c) Devolución de propiedad intelectual
d) Eliminación de derechos de acceso
e) Obligaciones de confidencialidad continuas

Además del punto 23, el proveedor debe describir con precisión cómo pretende destruir/eliminar permanentemente la información de la organización en el momento en que ya no sea necesaria (es decir, en caso de rescisión).
Si, al finalizar un contrato, surge la necesidad de traspasar soporte y/o servicios a otro proveedor que no figura en el acuerdo, se toman medidas para garantizar que el proceso resulte en cero interrupciones del negocio.

Controles de apoyo

5.10
5.12
5.13
5.20

Orientación complementaria

Para ayudar a las organizaciones a gestionar las relaciones con los proveedores, el Control 5.20 establece que las organizaciones deben mantener un registro de acuerdos.

Los registros deben enumerar todos los acuerdos celebrados con otras organizaciones y clasificarlos según la naturaleza de la relación, como contratos, memorandos de entendimiento y acuerdos de intercambio de información.

Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo

Cambios y diferencias con respecto a ISO 27002:2013

ISO 27002:2022-5.20 reemplaza a 27002:2013-15.1.2 (Abordando la seguridad dentro de los acuerdos con proveedores).

ISO 27002:2022-5.20 contiene numerosas orientaciones adicionales que abordan una amplia gama de temas técnicos, legales y relacionados con el cumplimiento, que incluyen:

Procedimientos de entrega
Destrucción de información
Cláusulas de rescisión
Controles de seguridad física
Gestión del cambio
Copias de seguridad y redundancia de información

En términos generales, ISO 27002:2022-5.20 pone mucho mayor énfasis en lo que ocurre al final de una relación con un proveedor y asigna mucha más importancia a cómo un proveedor logra la redundancia y la integridad de los datos durante el transcurso de un acuerdo.

Nuevos controles ISO 27002

Nuevos controles

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.7	Nuevo	Inteligencia de amenazas
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
7.4	Nuevo	Monitoreo de seguridad física
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.16	Nuevo	Actividades de monitoreo
8.23	Nuevo	Filtrado Web
8.28	Nuevo	Codificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
5.1	05.1.1, 05.1.2	Políticas de seguridad de la información.
5.2	06.1.1	Funciones y responsabilidades de seguridad de la información
5.3	06.1.2	Segregación de deberes
5.4	07.2.1	Responsabilidades de gestión
5.5	06.1.3	Contacto con autoridades
5.6	06.1.4	Contacto con grupos de intereses especiales
5.7	Nuevo	Inteligencia de amenazas
5.8	06.1.5, 14.1.1	Seguridad de la información en la gestión de proyectos.
5.9	08.1.1, 08.1.2	Inventario de información y otros activos asociados
5.10	08.1.3, 08.2.3	Uso aceptable de la información y otros activos asociados
5.11	08.1.4	Devolución de activos
5.12	08.2.1	Clasificación de la información
5.13	08.2.2	Etiquetado de información
5.14	13.2.1, 13.2.2, 13.2.3	Transferencia de información
5.15	09.1.1, 09.1.2	Control de acceso
5.16	09.2.1	Gestión de identidad
5.17	09.2.4, 09.3.1, 09.4.3	Información de autenticación
5.18	09.2.2, 09.2.5, 09.2.6	Derechos de acceso
5.19	15.1.1	Seguridad de la información en las relaciones con proveedores
5.20	15.1.2	Abordar la seguridad de la información en los acuerdos con proveedores
5.21	15.1.3	Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22	15.2.1, 15.2.2	Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23	Nuevo	Seguridad de la información para el uso de servicios en la nube.
5.24	16.1.1	Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25	16.1.4	Evaluación y decisión sobre eventos de seguridad de la información.
5.26	16.1.5	Respuesta a incidentes de seguridad de la información
5.27	16.1.6	Aprender de los incidentes de seguridad de la información
5.28	16.1.7	Recolección de evidencia
5.29	17.1.1, 17.1.2, 17.1.3	Seguridad de la información durante la interrupción
5.30	Nuevo	Preparación de las TIC para la continuidad del negocio
5.31	18.1.1, 18.1.5	Requisitos legales, estatutarios, reglamentarios y contractuales
5.32	18.1.2	Derechos de propiedad intelectual
5.33	18.1.3	Protección de registros
5.34	18.1.4	Privacidad y protección de la PII
5.35	18.2.1	Revisión independiente de la seguridad de la información.
5.36	18.2.2, 18.2.3	Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37	12.1.1	Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
6.1	07.1.1	examen en línea.
6.2	07.1.2	Términos y condiciones de empleo
6.3	07.2.2	Concientización, educación y capacitación sobre seguridad de la información.
6.4	07.2.3	Proceso Disciplinario
6.5	07.3.1	Responsabilidades tras el despido o cambio de empleo
6.6	13.2.4	Acuerdos de confidencialidad o no divulgación
6.7	06.2.2	Trabajo remoto
6.8	16.1.2, 16.1.3	Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
7.1	11.1.1	Perímetros de seguridad física
7.2	11.1.2, 11.1.6	Entrada física
7.3	11.1.3	Seguridad de oficinas, habitaciones e instalaciones.
7.4	Nuevo	Monitoreo de seguridad física
7.5	11.1.4	Protección contra amenazas físicas y ambientales.
7.6	11.1.5	Trabajar en áreas seguras
7.7	11.2.9	Escritorio claro y pantalla clara
7.8	11.2.1	Ubicación y protección de equipos.
7.9	11.2.6	Seguridad de los activos fuera de las instalaciones
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Medios de almacenamiento
7.11	11.2.2	Servicios públicos de apoyo
7.12	11.2.3	Seguridad del cableado
7.13	11.2.4	Mantenimiento de equipo
7.14	11.2.7	Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022	Identificador de control ISO/IEC 27002:2013	Nombre de control
8.1	06.2.1, 11.2.8	Dispositivos terminales de usuario
8.2	09.2.3	Derechos de acceso privilegiados
8.3	09.4.1	Restricción de acceso a la información
8.4	09.4.5	Acceso al código fuente
8.5	09.4.2	Autenticación segura
8.6	12.1.3	Gestión de la capacidad
8.7	12.2.1	Protección contra malware
8.8	12.6.1, 18.2.3	Gestión de vulnerabilidades técnicas.
8.9	Nuevo	gestión de la configuración
8.10	Nuevo	Eliminación de información
8.11	Nuevo	Enmascaramiento de datos
8.12	Nuevo	Prevención de fuga de datos
8.13	12.3.1	Copia de seguridad de la información
8.14	17.2.1	Redundancia de instalaciones de procesamiento de información.
8.15	12.4.1, 12.4.2, 12.4.3	Inicio de sesión
8.16	Nuevo	Actividades de monitoreo
8.17	12.4.4	sincronización de los relojes
8.18	09.4.4	Uso de programas de utilidad privilegiados.
8.19	12.5.1, 12.6.2	Instalación de software en sistemas operativos.
8.20	13.1.1	Seguridad en redes
8.21	13.1.2	Seguridad de los servicios de red.
8.22	13.1.3	Segregación de redes
8.23	Nuevo	Filtrado Web
8.24	10.1.1, 10.1.2	Uso de criptografía
8.25	14.2.1	Ciclo de vida de desarrollo seguro
8.26	14.1.2, 14.1.3	Requisitos de seguridad de la aplicación
8.27	14.2.5	Principios de ingeniería y arquitectura de sistemas seguros
8.28	Nuevo	Codificación segura
8.29	14.2.8, 14.2.9	Pruebas de seguridad en desarrollo y aceptación.
8.30	14.2.7	Desarrollo subcontratado
8.31	12.1.4, 14.2.6	Separación de los entornos de desarrollo, prueba y producción.
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestión del cambio
8.33	14.3.1	Información de prueba
8.34	12.7.1	Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

ISO 27002:2022 – Control 5.20 – Abordar la seguridad de la información dentro de los acuerdos con proveedores