ISO 27002:2022, Kiểm soát 5.20 – Đề cập đến an ninh thông tin trong các thỏa thuận với nhà cung cấp

Mục đích của Kiểm soát 5.20

Tiêu chuẩn kiểm soát 5.20 điều chỉnh cách một tổ chức hình thành mối quan hệ hợp đồng với nhà cung cấp dựa trên các yêu cầu bảo mật của họ và loại nhà cung cấp mà họ giao dịch.

5.20 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập các nghĩa vụ có thể thỏa thuận chung giữa các tổ chức và nhà cung cấp của họ liên quan đến bảo mật thông tin.

Trong khi Kiểm soát 5.19 quản lý bảo mật thông tin trong suốt mối quan hệ thì Kiểm soát 5.20 quan tâm đến cách các tổ chức hình thành các thỏa thuận ràng buộc ngay từ khi bắt đầu mối quan hệ.

Bảng Thuộc tính

Quyền sở hữu kiểm soát 5.20

Quyền sở hữu quyền kiểm soát 5.20 phải phụ thuộc vào việc tổ chức có bộ phận pháp lý riêng hay không và bản chất cơ bản của bất kỳ thỏa thuận nào đã ký.

Nếu tổ chức có năng lực pháp lý để soạn thảo, sửa đổi và lưu trữ các thỏa thuận hợp đồng của riêng mình mà không cần sự tham gia của bên thứ ba, quyền sở hữu 5.20 sẽ thuộc về người chịu trách nhiệm cuối cùng đối với các thỏa thuận ràng buộc về mặt pháp lý trong tổ chức (hợp đồng, biên bản ghi nhớ, SLA, v.v.)

Nếu tổ chức thuê ngoài các thỏa thuận như vậy, quyền sở hữu Kiểm soát 5.20 sẽ thuộc về một thành viên trong ban quản lý cấp cao giám sát hoạt động thương mại của tổ chức và duy trì mối quan hệ trực tiếp với các nhà cung cấp của tổ chức, chẳng hạn như Giám đốc điều hành 

Hướng dẫn chung về Kiểm soát 5.20

Tiêu chuẩn kiểm soát 5.20 bao gồm 25 điểm hướng dẫn mà ISO nêu “có thể xem xét” (tức là không nhất thiết phải là tất cả) để đáp ứng các yêu cầu về bảo mật thông tin của tổ chức.

Bất kể biện pháp nào được áp dụng, Kiểm soát 5.20 nêu rõ rằng cả hai bên phải kết thúc quy trình với “sự hiểu biết rõ ràng” về nghĩa vụ bảo mật thông tin của họ đối với nhau.

1. Cần phải cung cấp mô tả rõ ràng, nêu chi tiết thông tin cần truy cập theo bất kỳ cách nào và cách thức truy cập thông tin đó.
2. Tổ chức phải phân loại thông tin cần truy cập theo đúng chương trình phân loại đã công bố (xem Kiểm soát 5.10, Kiểm soát 5.12 và Kiểm soát 5.13).
3. Cần cân nhắc đầy đủ đến chương trình phân loại của nhà cung cấp và mối quan hệ của chương trình này với việc phân loại thông tin của tổ chức.
4. Quyền của cả hai bên nên được phân loại thành bốn lĩnh vực chính – pháp lý, luật định, quy định và hợp đồng. Trong bốn lĩnh vực này, các nghĩa vụ khác nhau nên được nêu rõ ràng, như là tiêu chuẩn trong các thỏa thuận thương mại, bao gồm việc tiếp cận PII, quyền sở hữu trí tuệ và các điều khoản bản quyền. Thỏa thuận cũng nên đề cập đến cách thức giải quyết từng lĩnh vực chính này.
5. Mỗi bên phải có nghĩa vụ ban hành một loạt các biện pháp kiểm soát đồng thời để giám sát, đánh giá và quản lý mức độ rủi ro bảo mật thông tin (chẳng hạn như chính sách kiểm soát truy cập, đánh giá hợp đồng, giám sát hệ thống, báo cáo và kiểm toán định kỳ). Ngoài ra, thỏa thuận phải nêu rõ nhu cầu nhân viên nhà cung cấp phải tuân thủ các tiêu chuẩn bảo mật thông tin của tổ chức (xem Kiểm soát 5.20).
6. Cần phải có sự hiểu biết rõ ràng về những gì cấu thành nên cách sử dụng thông tin, tài sản vật chất và ảo được chấp nhận và không được chấp nhận từ mỗi bên.
7. Cần đưa ra các quy trình xử lý các cấp độ ủy quyền cần thiết cho nhân viên phía nhà cung cấp để truy cập hoặc xem thông tin của tổ chức (ví dụ: danh sách người dùng được ủy quyền, kiểm toán phía nhà cung cấp, kiểm soát quyền truy cập máy chủ).
8. Bảo mật thông tin nên được xem xét cùng với cơ sở hạ tầng CNTT của nhà cung cấp và mối quan hệ của cơ sở hạ tầng này với loại thông tin mà tổ chức đã cấp quyền truy cập, tiêu chí rủi ro và bộ yêu cầu kinh doanh cơ bản của tổ chức .
9. Cần cân nhắc xem tổ chức có thể thực hiện những hành động nào trong trường hợp nhà cung cấp vi phạm hợp đồng hoặc không tuân thủ các điều khoản riêng lẻ.
10. Thỏa thuận phải nêu rõ quy trình Quản lý Sự cố chung , trong đó nêu rõ những việc cần làm khi có vấn đề phát sinh, đặc biệt là cách trao đổi sự cố giữa hai bên.
11. Nhân viên của cả hai bên phải được đào tạo nhận thức đầy đủ (khi đào tạo tiêu chuẩn không đủ) về các lĩnh vực chính của thỏa thuận, đặc biệt liên quan đến các lĩnh vực rủi ro chính như Quản lý sự cố và cung cấp quyền truy cập thông tin.
12. Cần chú ý đầy đủ đến việc sử dụng các nhà thầu phụ. Nếu nhà cung cấp được phép sử dụng các nhà thầu phụ, các tổ chức nên thực hiện các bước để đảm bảo rằng bất kỳ cá nhân hoặc công ty nào như vậy đều tuân thủ cùng một bộ yêu cầu bảo mật thông tin như nhà cung cấp.
13. Khi có thể về mặt pháp lý và phù hợp với hoạt động, các tổ chức nên cân nhắc cách sàng lọc nhân sự của nhà cung cấp trước khi tương tác với thông tin của họ, cũng như cách ghi lại và báo cáo quá trình sàng lọc cho tổ chức, bao gồm cả nhân sự không được sàng lọc và các lĩnh vực cần quan tâm.
14. Các tổ chức nên quy định nhu cầu chứng thực của bên thứ ba để xác minh khả năng đáp ứng các yêu cầu bảo mật thông tin của tổ chức của nhà cung cấp, bao gồm các báo cáo độc lập và kiểm toán của bên thứ ba.
15. Các tổ chức phải có quyền theo hợp đồng để đánh giá và kiểm toán các thủ tục của nhà cung cấp liên quan đến Kiểm soát 5.20.
16. Các nhà cung cấp phải có nghĩa vụ cung cấp các báo cáo (theo các khoảng thời gian khác nhau) về hiệu quả của các quy trình và thủ tục của họ, cũng như cách họ dự định giải quyết mọi vấn đề được nêu trong báo cáo đó.
17. Thỏa thuận phải có các bước đảm bảo giải quyết kịp thời và toàn diện mọi khiếm khuyết hoặc xung đột xảy ra trong suốt quá trình quan hệ.
18. Khi có liên quan, nhà cung cấp nên vận hành với chính sách BUDR mạnh mẽ, phù hợp với nhu cầu của tổ chức, bao gồm ba cân nhắc chính:
    a) Loại sao lưu (toàn bộ máy chủ, tệp và thư mục, v.v., gia tăng, v.v.)
    b) Tần suất sao lưu (hàng ngày, hàng tuần, v.v.)
    c) Vị trí sao lưu và phương tiện nguồn (tại chỗ, ngoài trang web)
19. Khả năng phục hồi dữ liệu phải đạt được bằng cách vận hành tại một địa điểm phục hồi sau thảm họa tách biệt với cơ sở ICT chính của nhà cung cấp và không phải chịu cùng mức rủi ro.
20. Nhà cung cấp phải áp dụng chính sách quản lý thay đổi toàn diện , thông báo trước cho tổ chức về bất kỳ thay đổi nào có thể ảnh hưởng đến bảo mật thông tin và cung cấp cho tổ chức khả năng từ chối những thay đổi đó.
21. Các biện pháp kiểm soát an ninh vật lý (ra vào tòa nhà, ra vào của khách, ra vào phòng, an ninh bàn làm việc) phải được ban hành sao cho phù hợp với loại thông tin mà họ được phép truy cập.
22. Khi có nhu cầu chuyển thông tin giữa các tài sản , địa điểm, máy chủ hoặc vị trí lưu trữ, nhà cung cấp phải đảm bảo dữ liệu và tài sản được bảo vệ khỏi bị mất mát, hư hỏng hoặc hỏng hóc trong suốt quá trình.
23. Thỏa thuận phải nêu rõ danh sách toàn diện các hành động mà một trong hai bên phải thực hiện trong trường hợp chấm dứt (xem thêm Kiểm soát 5.20), bao gồm (nhưng không giới hạn ở):
    a) Xử lý và/hoặc di dời tài sản
    b) Xóa thông tin
    c) Trả lại IP
    d) Xóa quyền truy cập
    e) Nghĩa vụ bảo mật đang diễn ra
24. Tiếp theo điểm 23, nhà cung cấp phải phác thảo chính xác cách thức họ dự định hủy/xóa vĩnh viễn thông tin của tổ chức ngay khi thông tin đó không còn cần thiết nữa (tức là trong trường hợp chấm dứt hợp đồng).
25. Nếu sau khi kết thúc hợp đồng, phát sinh nhu cầu bàn giao hỗ trợ và/hoặc dịch vụ cho nhà cung cấp khác không được liệt kê trong thỏa thuận, các bước sẽ được thực hiện để đảm bảo quá trình này không gây gián đoạn kinh doanh.

Kiểm soát hỗ trợ

• 5.10
• 5.12
• 5.13
• 5.20

Hướng dẫn bổ sung

Để hỗ trợ các tổ chức trong việc quản lý mối quan hệ với nhà cung cấp, Kiểm soát 5.20 nêu rõ rằng các tổ chức nên duy trì sổ đăng ký thỏa thuận .

Sổ đăng ký phải liệt kê tất cả các thỏa thuận đã ký với các tổ chức khác và được phân loại theo bản chất mối quan hệ, chẳng hạn như hợp đồng, biên bản ghi nhớ và thỏa thuận chia sẻ thông tin .

Những thay đổi và khác biệt so với ISO 27002:2013

ISO 27002:2022-5.20 thay thế 27002:2013-15.1.2 (Xử lý vấn đề bảo mật trong các thỏa thuận với nhà cung cấp).

ISO 27002:2022-5.20 chứa nhiều hướng dẫn bổ sung liên quan đến nhiều chủ đề kỹ thuật, pháp lý và tuân thủ, bao gồm:

• Thủ tục bàn giao
• Phá hủy thông tin
• Điều khoản chấm dứt
• Kiểm soát an ninh vật lý
• Quản lý thay đổi
• Sao lưu và dự phòng thông tin

Nói chung, ISO 27002:2022-5.20 nhấn mạnh nhiều hơn vào những gì xảy ra khi kết thúc mối quan hệ với nhà cung cấp và chú trọng hơn vào cách nhà cung cấp đạt được sự dự phòng và tính toàn vẹn dữ liệu trong suốt quá trình thực hiện thỏa thuận.