Mục đích của Kiểm soát 5.22
Kiểm soát 5.22 quy định các phương pháp mà tổ chức nên thực hiện khi giám sát, xem xét và quản lý những thay đổi trong hoạt động bảo mật thông tin và tiêu chuẩn cung cấp dịch vụ của nhà cung cấp, đồng thời đánh giá tác động đến mức độ bảo mật thông tin của chính tổ chức.
Khi quản lý mối quan hệ với nhà cung cấp , tổ chức nên tìm cách duy trì mức độ bảo mật thông tin cơ bản tuân thủ mọi thỏa thuận đã ký kết.
5.22 là biện pháp kiểm soát phòng ngừa giúp điều chỉnh rủi ro bằng cách duy trì “mức độ bảo mật thông tin và cung cấp dịch vụ đã thỏa thuận” từ phía nhà cung cấp.
Bảng Thuộc tính
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Nhận dạng | #Bảo mật mối quan hệ nhà cung cấp | #Quản trị và Hệ sinh thái #Bảo vệ # Quốc phòng #Đảm bảo an ninh thông tin |
Quyền sở hữu kiểm soát 5.22
Quyền kiểm soát 5.22 phải thuộc về một thành viên trong ban quản lý cấp cao giám sát hoạt động thương mại của tổ chức và duy trì mối quan hệ trực tiếp với các nhà cung cấp của tổ chức, chẳng hạn như Giám đốc điều hành .
Hướng dẫn chung về Kiểm soát 5.22
Kiểm soát 5.22 bao gồm 13 lĩnh vực chính mà các tổ chức cần cân nhắc khi quản lý mối quan hệ với nhà cung cấp và tác động của chúng đến tiêu chuẩn bảo mật thông tin của chính tổ chức.
Các tổ chức cần thực hiện các bước để đảm bảo rằng những nhân viên chịu trách nhiệm quản lý SLA và mối quan hệ với nhà cung cấp có đủ trình độ kỹ năng và nguồn lực kỹ thuật cần thiết để có thể đánh giá đầy đủ hiệu suất của nhà cung cấp và các tiêu chuẩn bảo mật thông tin không bị vi phạm.
Các tổ chức nên soạn thảo các chính sách và thủ tục:
- Thường xuyên theo dõi mức độ dịch vụ theo SLA đã công bố và giải quyết mọi thiếu sót.
- Giám sát mọi thay đổi do nhà cung cấp thực hiện đối với hoạt động của họ, bao gồm (nhưng không giới hạn ở):
a) Cải tiến dịch vụ
b) Giới thiệu các ứng dụng, hệ thống hoặc quy trình phần mềm mới
c) Các bản sửa đổi có liên quan và có ý nghĩa đối với các tài liệu quản trị nội bộ của nhà cung cấp
d) Mọi thay đổi về quy trình quản lý sự cố hoặc các nỗ lực nhằm tăng cường mức độ bảo mật thông tin - Theo dõi mọi thay đổi cụ thể về dịch vụ, bao gồm (nhưng không giới hạn ở):
a) Sửa đổi cơ sở hạ tầng
b) Ứng dụng các công nghệ mới
c) Triển khai các bản cập nhật sản phẩm hoặc nâng cấp phiên bản
d) Thay đổi trong môi trường phát triển
e) Thay đổi về mặt hậu cần và vật lý đối với cơ sở của nhà cung cấp, bao gồm cả địa điểm mới
f) Mọi thay đổi đối với đối tác gia công ngoài hoặc nhà thầu phụ
g) Ý định ký hợp đồng phụ, khi trước đó chưa áp dụng - Yêu cầu báo cáo dịch vụ thường xuyên, phân tích dữ liệu và tham dự các cuộc họp đánh giá theo các mức độ cung cấp dịch vụ đã thỏa thuận.
- Kiểm tra các đối tác gia công ngoài và nhà thầu phụ và theo dõi mọi lĩnh vực đáng quan tâm.
- Xem xét các sự cố bảo mật theo các tiêu chuẩn và thông lệ Quản lý sự cố đã thỏa thuận và thỏa thuận với nhà cung cấp.
- Duy trì hồ sơ đầy đủ về các sự kiện bảo mật thông tin, các vấn đề vận hành cụ thể, nhật ký lỗi và các rào cản chung đối với các tiêu chuẩn cung cấp dịch vụ đã được thống nhất.
- Chủ động ứng phó và thực hiện hành động khắc phục đối với các sự kiện liên quan đến an ninh thông tin.
- Nêu bật mọi lỗ hổng bảo mật thông tin và giảm thiểu chúng ở mức tối đa.
- Phân tích mọi yếu tố bảo mật thông tin có liên quan vốn có trong mối quan hệ giữa nhà cung cấp với các nhà cung cấp và nhà thầu phụ của mình.
- Đảm bảo việc cung cấp dịch vụ được thực hiện ở mức chấp nhận được sau khi xảy ra gián đoạn đáng kể từ phía nhà cung cấp, bao gồm cả việc phục hồi sau thảm họa.
- Phác thảo những nhân sự chủ chốt trong hoạt động của nhà cung cấp có trách nhiệm duy trì sự tuân thủ và tuân thủ các điều khoản của thỏa thuận.
- Kiểm tra thường xuyên khả năng duy trì tiêu chuẩn bảo mật thông tin cơ bản của nhà cung cấp.
Hỗ trợ điều khiển
- 5.29
- 5.30
- 5,35
- 5,36
- 8.14
