ISO 27701 – Cláusula 6.12 – Relaciones con proveedores

Cláusula 27701 de la norma ISO 6.12: Fundamentos de la gestión de proveedores

Formar y mantener relaciones productivas con los proveedores constituye una gran parte de la mayoría de las empresas modernas basadas en datos, ya sea a través del suministro de equipos, servicios de soporte o subcontratación.

Desde el inicio de la relación y durante toda la duración del contrato de servicio, ambas partes deben ser conscientes continuamente de sus obligaciones con respecto a la privacidad y la seguridad de la información, y los estándares deben estar alineados para salvaguardar la PII y garantizar la integridad de la información confidencial.

Qué se cubre en la cláusula 27701 de la norma ISO 6.12

ISO 27701 Cláusula 6.12 se compone de dos partes constituyentes:

• ISO 27701 6.12.1 – Seguridad de la información en las relaciones con proveedores
• ISO 27701 6.12.2 – Gestión de la prestación de servicios de proveedores

En estas dos secciones, hay cinco subcláusulas que contienen orientación de ISO 27002, aplicado en el contexto de la gestión y seguridad de la información de privacidad:

• ISO 27701 6.12.1.1 – Política de seguridad de la información para las relaciones con proveedores (ISO 27002 Control 5.19)
• ISO 27701 6.12.1.2 – Abordar la seguridad dentro de los acuerdos con proveedores (ISO 27002 Control 5.20)
• ISO 27701 6.12.1.3 – Cadena de suministro de tecnologías de la información y las comunicaciones (ISO 27002 Control 5.21)
• ISO 27701 6.12.2.1 – Seguimiento y revisión de los servicios de los proveedores (ISO 27002 Control 5.22)
• ISO 27701 6.12.2.2 – Gestión de cambios en los servicios de proveedores (ISO 27002 Control 5.22)

Solo un artículo contiene orientación aplicable al Reino Unido. GDPR legislación – (ISO 27701 6.12.1.2). Los números de artículo se han proporcionado para su comodidad.

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

ISO 27701 Cláusula 6.12.1.1 – Protección de datos de prueba

Referencias ISO 27002 Control 5.19

Las organizaciones deben implementar políticas y procedimientos que no solo rijan el uso de los recursos de los proveedores y las plataformas en la nube, sino que también formen la base de cómo esperan que sus proveedores se comporten antes y durante la vigencia de la relación comercial, particularmente en lo que respecta a la PII y activos relacionados con la privacidad.

ISO 27701 6.12.1.1 puede verse como el documento de calificación esencial que dicta cómo se maneja la gobernanza de la información de privacidad durante el transcurso de un contrato con un proveedor.

Las organizaciones deberían:

• Mantener un registro de los tipos de proveedores que tienen el potencial de afectar la privacidad y la seguridad de la información.
• Comprenda cómo examinar a los proveedores, en función de los distintos niveles de riesgo.
• Identifique proveedores que tengan controles de seguridad de la información de privacidad preexistentes.
• Identificar áreas de la infraestructura TIC de la organización a las que los proveedores podrán acceder o ver.
• Definir cómo la propia infraestructura de los proveedores puede impactar en la protección de la privacidad.
• Identificar y gestionar los riesgos de privacidad asociados a:
• Uso de información confidencial.
• Uso de bienes protegidos.
• Hardware defectuoso o software que no funciona correctamente.
• Supervise el cumplimiento de la seguridad de la información de privacidad por tema específico o por tipo de proveedor.
• Limitar cualquier perturbación causada como consecuencia del incumplimiento.
• Operar con un procedimiento de gestión de incidencias.
• Implementar un plan de capacitación exhaustivo que informe al personal sobre cómo deben interactuar con los proveedores.
• Tenga mucho cuidado al transferir información de privacidad y activos físicos y virtuales entre la organización y los proveedores.
• Asegúrese de que las relaciones con los proveedores finalicen teniendo en cuenta la seguridad de la privacidad de la información.

Las organizaciones deben utilizar la guía anterior al establecer nuevas relaciones con proveedores y considerar el incumplimiento caso por caso.

ISO reconoce que las relaciones comerciales varían enormemente de un sector a otro y de una empresa a otra, y da a las organizaciones margen de maniobra al recomendar la exploración de “controles compensatorios” que buscan lograr los mismos principios subyacentes de protección de la privacidad.

Cláusula 27701 de ISO 6.12.1.2: Abordar la seguridad en los acuerdos con proveedores

Referencias ISO 27002 Control 5.20

Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.

Al hacerlo, las organizaciones deberían:

• Ofrezca una descripción clara que detalle la información de privacidad a la que se debe acceder y cómo se accederá a esa información.
• Clasifique la información de privacidad a la que se accederá de acuerdo con un esquema de clasificación aceptado (ver Controles ISO 27002 5.10, 5.12 y 5.13).
• Dar la debida consideración al propio esquema de clasificación de los proveedores.
• Clasifique los derechos en cuatro áreas principales (legales, estatutarias, regulatorias y contractuales) con una descripción detallada de las obligaciones por área.
• Asegúrese de que cada parte esté obligada a implementar una serie de controles que monitoreen, evalúen y administren los niveles de riesgo de seguridad de la información de privacidad.
• Describa la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (consulte ISO 27002 Control 5.20).
• Facilitar una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información de privacidad y de los activos físicos y virtuales de cualquiera de las partes.
• Establecer controles de autorización necesarios para que el personal del proveedor acceda o vea la información de privacidad de una organización.
• Considerar lo que ocurre en caso de incumplimiento del contrato o de incumplimiento de las estipulaciones individuales.
• Describir un procedimiento de gestión de incidentes, incluido cómo se comunican los eventos importantes.
• Asegúrese de que el personal reciba capacitación en concientización sobre seguridad.
• (Si al proveedor se le permite utilizar subcontratistas) agregue requisitos para garantizar que los subcontratistas estén alineados con el mismo conjunto de estándares de seguridad de la información de privacidad que el proveedor.
• Considere cómo se examina al personal de los proveedores antes de interactuar con la información de privacidad.
• Estipular la necesidad de certificaciones de terceros que aborden la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de privacidad de la organización.
• Tener el derecho contractual de auditar los procedimientos de un proveedor.
• Exigir a los proveedores que entreguen informes que detallen la efectividad de sus propios procesos y procedimientos.
• Concéntrese en tomar medidas para afectar la resolución oportuna y exhaustiva de cualquier defecto o conflicto.
• Asegurar que los proveedores operen con una política BUDR adecuada, para proteger la integridad y disponibilidad de la PII y los activos relacionados con la privacidad.
• Requerir una política de gestión de cambios del lado del proveedor que informe a la organización sobre cualquier cambio que tenga el potencial de afectar la protección de la privacidad.
• Implementar controles de seguridad física que sean proporcionales a la sensibilidad de los datos que se almacenan y procesan.
• (Cuando se vayan a transferir datos) solicite a los proveedores que se aseguren de que los datos y los activos estén protegidos contra pérdidas, daños o corrupción.
• Describa una lista de acciones que deberá tomar cualquiera de las partes en caso de rescisión.
• Pídale al proveedor que describa cómo pretende destruir la información de privacidad después de la terminación, o si los datos ya no son necesarios.
• Tome medidas para garantizar una interrupción mínima del negocio durante un período de transferencia.

Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.

Artículos aplicables del RGPD

• Artículo 5, apartado 1, letra f)
• Artículo 28 (1)
• Artículo 28, apartado 3, letras a), 3, b), 3, c), 3, d), 3, e), 3, f), 3, g). , (3)(h)
• Artículo 30, apartado 2, letra d)
• Artículo 32, apartado 1, letra b)

Controles ISO 27002 relevantes

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Cláusula 6.12.1.3 – Cadena de suministro de tecnologías de la información y las comunicaciones

Referencias ISO 27002 Control 5.21

Al subcontratar elementos de su cadena de suministro, para salvaguardar la PII y los activos relacionados con la privacidad, las organizaciones deben:

• Redacte un conjunto claro de estándares de seguridad de la información de privacidad con los que los proveedores y contratistas estén plenamente familiarizados.
• Solicite a los proveedores que proporcionen información sobre los componentes de software que se utilizan para brindar un servicio.
• Identificar las funciones de seguridad de cualquier producto o servicio suministrado y establecer cómo dichos productos y servicios deben operarse de manera que no comprometa la seguridad de la privacidad de la información.
• Elaborar procedimientos que garanticen que cualquier producto o servicio cumpla con los estándares aceptados de la industria.
• Adhiérase a un proceso que identifique y registre elementos de un producto o servicio que son cruciales para mantener la funcionalidad principal.
• Solicite a los proveedores que garanticen que ciertos componentes tengan un registro de auditoría adjunto que demuestre el movimiento a lo largo de la cadena de suministro.
• Busque la seguridad de que los productos y servicios no contengan ninguna característica que pueda presentar un riesgo de seguridad.
• Asegúrese de que los proveedores consideren medidas antimanipulación durante todo el ciclo de vida del desarrollo.
• Busque garantías de que cualquier producto o servicio entregado esté alineado con los requisitos de seguridad de la información de privacidad estándar de la industria.
• Tome medidas para garantizar que los proveedores sean conscientes de sus obligaciones al compartir información de privacidad a lo largo de la cadena de suministro.
• Elaborar procedimientos que gestionen el riesgo al operar con componentes no disponibles, no compatibles o heredados.

Es importante señalar que el control de calidad no se extiende necesariamente a una inspección granular de los propios procedimientos del proveedor.

Las organizaciones deben implementar controles específicos de proveedores que confirmen que las organizaciones de terceros son una fuente confiable, dentro del ámbito de la gestión de la información de privacidad.

ISO 27701 Cláusula 6.12.2.1 – Seguimiento y revisión de los servicios del proveedor

Referencias ISO 27002 Control 5.22

Las organizaciones deben estar continuamente conscientes de cómo se prestan los servicios de los proveedores (y a qué niveles) para mantener una operación de gestión de la información de privacidad segura.

Para lograr esto, las organizaciones deberían:

• Monitorear los niveles de servicio de acuerdo con los SLA publicados.
• Abordar cualquier deficiencia o evento del servicio lo más rápido posible, particularmente aquellos que impactan la PII o los activos relacionados con la privacidad.
• Supervisar cualquier cambio realizado por el proveedor en su propia operación que tenga el potencial de afectar la protección de la privacidad, incluido cualquier cambio específico del servicio.
• Solicite que se le proporcionen informes de servicio periódicos y reuniones de revisión programadas.
• Examinar a los socios y subcontratistas de subcontratación y buscar cualquier área de preocupación.
• Operar dentro de los estándares y prácticas acordados de gestión de incidentes.
• Mantenga un registro de eventos de seguridad de la información de privacidad, problemas operativos y fallas.
• Resalte cualquier vulnerabilidad de seguridad de la información y mitíguela al máximo.
• Tenga en cuenta las relaciones de los proveedores con sus propios proveedores y subcontratistas, y cómo esto afecta la protección de la privacidad dentro de los límites de la propia organización.
• Identifique al personal del lado del proveedor que sea responsable de mantener los términos del contrato de servicio.
• Realizar auditorías que confirmen la capacidad de un proveedor para mantener estándares adecuados de privacidad de la información.

Controles ISO 27002 relevantes

• ISO 27002 5.29
• ISO 27002 5.30
• ISO 27002 5.35
• ISO 27002 5.36
• ISO 27002 8.14

ISO 27701 Cláusula 6.12.2.2 – Gestión de cambios en los servicios del proveedor

Referencias ISO 27002 Control 5.22

Ver ISO 27701 Cláusula 6.12.2.1

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

Puede ser difícil saber por dónde empezar con ISO 27701, especialmente si nunca antes has tenido que hacer algo como esto. ¡Aquí es donde entra ISMS.online!

Nuestras soluciones ISO 27701 proporcionan marcos que permiten a su organización demostrar el cumplimiento de la norma ISO 27701.

Nuestros expertos en seguridad de la información pueden trabajar con usted para garantizar que desarrolle un proceso de implementación lógico que se alinee con el marco de documentación en línea.

‌Más información por reservar una demostración práctica.