Hvad er formålet med ISO 27001:2022 Annex A 5.21?
I bilag A Kontrol 5.21 skal organisationer implementere robuste processer og procedurer, før de leverer produkter eller tjenester til håndtere informationssikkerhedsrisici.
Kontrol 5.21 i bilag A er en forebyggende kontrol, der fastholder risikoen inden for IKT-forsyningskæden ved at etablere et "aftalt sikkerhedsniveau" mellem parterne.
Bilag A 5.21 i ISO 27001 henvender sig til IKT-leverandører, der kan have behov for noget ud over eller i stedet for standardtilgangen. Selvom ISO 27001 anbefaler adskillige områder til implementering, er pragmatisme også påkrævet. I betragtning af organisationens størrelse i forhold til nogle af de meget store virksomheder, den lejlighedsvis vil arbejde med (f.eks. datacentre, hostingtjenester, banker osv.), kan den have behov for at have mulighed for at påvirke praksis længere nede i forsyningskæden.
Afhængigt af de informations- og kommunikationsteknologiske tjenester, der leveres, bør organisationen nøje vurdere de risici, der kan opstå. I tilfælde af en infrastrukturkritisk tjenesteudbyder er det f.eks. vigtigt at sikre en større beskyttelse, end hvis leverandøren kun har adgang til offentligt tilgængelig information (f.eks. kildekode for flagskibssoftwaretjenesten), hvis leverandøren leverer infrastrukturkritiske tjenester.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A Kontrol 5.21
I bilag A Kontrol 5.21 er fokus på levering af informations- og kommunikationsteknologiske tjenester fra en leverandør eller gruppe af leverandører.
Derfor er den person, der er ansvarlig for at erhverve, administrere og forny IKT-leverandørrelationer på tværs af alle forretningsfunktioner, som f.eks. Chief Technical Officer eller Head of Information Technology, bør have ejerskab til denne proces.
ISO 27001:2022 Bilag A 5.21 – Generelle retningslinjer
ISO 27001-standard specificerer 13 ikt-relaterede vejledningspunkter, der bør overvejes sammen med enhver anden bilag A-kontrol, der styrer en organisations forhold til dens leverandører.
I løbet af det seneste årti er on-premise og cloud-tjenester på tværs af platforme blevet stadig mere populære. ISO 27001:2022 Bilag A Kontrol 5.21 omhandler levering af hardware- og softwarerelaterede komponenter og tjenester (både on-premise og cloud-baserede), men skelner sjældent mellem de to.
Adskillige bilag A-kontroller omhandler forholdet mellem leverandøren og organisationen og leverandørens forpligtelser ved underleverandør af dele af forsyningskæden til tredjepart.
- Organisationer bør udarbejde et omfattende sæt af informationssikkerhed standarder, der er skræddersyet til deres specifikke behov for at sætte klare forventninger til, hvordan leverandører bør opføre sig ved at levere IKT-produkter og -tjenester.
- IKT-leverandører er ansvarlige for at sikre, at entreprenører og deres personale er fuldt fortrolige med organisationens unikke informationssikkerhedsstandarder. Dette er sandt, hvis de giver et hvilket som helst element i forsyningskæden underleverandører.
- Leverandøren skal kommunikere organisationens sikkerhedskrav til eventuelle leverandører eller leverandører, de bruger, når der opstår behov for at erhverve komponenter (fysiske eller virtuelle) fra tredjeparter.
- En organisation bør anmode leverandører om oplysninger om softwarekomponenternes art og funktion.
- Organisationen bør identificere og betjene ethvert produkt eller service, der leveres på en måde, der ikke kompromitterer informationssikkerheden.
- Risikoniveauer bør ikke tages for givet af organisationer. I stedet bør organisationer udarbejde udkast til procedurer, der sikrer, at alle produkter eller tjenester leveret af leverandører er sikre og overholder industristandarder. Der kan anvendes flere metoder til at sikre overholdelse, herunder certificeringstjek, intern test og understøttende dokumentation.
- Som en del af modtagelse af et produkt eller en service, bør organisationer identificere og registrere alle elementer, der anses for at være væsentlige for at opretholde kernefunktionalitet - især hvis disse komponenter stammer fra underleverandører eller outsourcede aftaler.
- Leverandører bør have konkrete forsikringer om, at "kritiske komponenter" spores gennem hele IKT-forsyningskæden fra oprettelse til levering som del af en revisionslog.
- Organisationer bør søge kategorisk sikkerhed, før de leverer IKT-produkter og -tjenester. Dette er for at sikre, at de fungerer inden for rammerne og ikke indeholder yderligere funktioner, der kan udgøre en sikkerhedsrisiko.
- Komponentspecifikationer er afgørende for at sikre, at en organisation forstår de hardware- og softwarekomponenter, den introducerer til sit netværk. Organisationer bør kræve bestemmelser, der bekræfter, at komponenter er legitime ved levering, og leverandører bør overveje foranstaltninger mod manipulation gennem hele udviklingens livscyklus.
- Det er afgørende at opnå forsikringer vedrørende IKT-produkters overensstemmelse med industristandard og sektorspecifikke sikkerhedskrav i henhold til de specifikke produktkrav. Det er almindeligt, at virksomheder opnår dette ved at opnå et minimumsniveau af formel sikkerhedscertificering eller overholde et sæt internationalt anerkendte informationsstandarder (f.eks. Common Criteria Recognition Arrangement).
- Deling af information og data vedrørende gensidig forsyningskædedrift kræver, at organisationer sikrer, at leverandører kender deres forpligtelser. I denne forbindelse bør organisationer anerkende potentielle konflikter eller problemer mellem parterne. De bør også vide, hvordan de skal løse dem i begyndelsen af processen. Processens alder.
- Organisationen skal udvikle procedurer til styre risiko når du arbejder med ikke-understøttede, ikke-understøttede eller ældre komponenter, uanset hvor de er placeret. I disse situationer bør organisationen være i stand til at tilpasse og identificere alternativer i overensstemmelse hermed.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Bilag A 5.21 Supplerende vejledning
I henhold til bilag A, kontrol 5.21, bør ICT-forsyningskædestyring overvejes i samarbejde. Det er beregnet til at supplere eksisterende supply chain management procedurer og at skabe kontekst for IKT-specifikke produkter og tjenester.
ISO 27001:2022-standarden anerkender, at kvalitetskontrol inden for IKT-sektoren ikke omfatter granulær inspektion af en leverandørs overholdelsesprocedurer, især med hensyn til softwarekomponenter.
Det anbefales derfor, at organisationer identificerer leverandørspecifikke kontroller, der bruges til at verificere, at leverandøren er en "reputable source", og at de udarbejder aftaler, der i detaljer angiver leverandørens ansvar for informationssikkerhed ved opfyldelse af en kontrakt, ordre eller levering af en ydelse. .
Hvad er ændringerne fra ISO 27001:2013?
ISO 27001:2022 Bilag A Kontrol 5.21 erstatter ISO 27001:2013 Bilag A Kontrol 15.1.3 (Forsyningskæde til informations- og kommunikationsteknologi).
Ud over at overholde de samme generelle vejledningsregler som ISO 27001:2013 Annex A 15.1.3, lægger ISO 27001:2022 Annex A 5.21 stor vægt på leverandørens forpligtelse til at levere og verificere komponentrelateret information på det tidspunkt, hvor forsyning, herunder:
- Leverandører af informationsteknologikomponenter.
- Giv et overblik over et produkts sikkerhedsfunktioner, og hvordan man bruger det fra et sikkerhedsperspektiv.
- Forsikringer om det nødvendige sikkerhedsniveau.
I henhold til ISO 27001:2022 bilag A 5.21 er organisationen også forpligtet til at oprette yderligere komponentspecifik information, når den introducerer produkter og tjenester, såsom:
- Identifikation og dokumentation af nøglekomponenter af et produkt eller en service, der bidrager til dets kernefunktionalitet.
- Sikring af komponenternes ægthed og integritet.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvad er fordelen ved ISMS.online, når det kommer til leverandørforhold?
Dette bilag A kontrolmål er blevet gjort meget let af ISMS.online. Dette skyldes, at ISMS.online giver bevis for, at dine relationer er nøje udvalgt, veladministreret og overvåget og gennemgået.
Dette gøres i vores brugervenlige kontiforhold (f.eks. leverandør) område. Samarbejdsprojekter arbejdsrum giver revisor mulighed for nemt at se nøgleleverandør om boarding, fælles initiativer, off boarding mv.
Derudover har ISMS.online gjort det nemmere for din organisation at nå dette bilag A kontrolmål ved at give dig mulighed for at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået leverandørens ansvar med hensyn til informationssikkerhed med vores politikpakker.
Ud over de bredere aftaler mellem kunde og leverandør, Politikpakker er ideelle til organisationer med specifikke politikker og bilag A-kontroller, som de ønsker, at leverandørpersonalet skal overholde, og sikrer, at de har læst deres politikker og forpligtet sig til at følge dem.
Den skybaserede platform, vi tilbyder, giver desuden følgende funktioner
- Et dokumenthåndteringssystem, der er nemt at bruge og kan tilpasses.
- Du vil have adgang til et bibliotek af polerede, forudskrevne dokumentationsskabeloner.
- Processen for at gennemføre interne revisioner er blevet forenklet.
- En metode til at kommunikere med ledelse og interessenter på, som er effektiv.
- Et workflow-modul er tilvejebragt for at lette implementeringsprocessen.
For at planlægge en demo, tøv ikke med at komme i kontakt med os i dag.
