ISO 27001:2022 Bilag A 5.21 – Styring af informationssikkerhed i IKT-forsyningskæden

Hvad er formålet med ISO 27001:2022 Annex A 5.21?

I bilag A Kontrol 5.21 skal organisationer implementere robuste processer og procedurer, før de leverer produkter eller tjenester til håndtere informationssikkerhedsrisici.

Kontrol 5.21 i bilag A er en forebyggende kontrol, der fastholder risikoen inden for IKT-forsyningskæden ved at etablere et "aftalt sikkerhedsniveau" mellem parterne.

Bilag A 5.21 i ISO 27001 henvender sig til IKT-leverandører, der kan have behov for noget ud over eller i stedet for standardtilgangen. Selvom ISO 27001 anbefaler adskillige områder til implementering, er pragmatisme også påkrævet. I betragtning af organisationens størrelse i forhold til nogle af de meget store virksomheder, den lejlighedsvis vil arbejde med (f.eks. datacentre, hostingtjenester, banker osv.), kan den have behov for at have mulighed for at påvirke praksis længere nede i forsyningskæden.

Afhængigt af de informations- og kommunikationsteknologiske tjenester, der leveres, bør organisationen nøje vurdere de risici, der kan opstå. I tilfælde af en infrastrukturkritisk tjenesteudbyder er det f.eks. vigtigt at sikre en større beskyttelse, end hvis leverandøren kun har adgang til offentligt tilgængelig information (f.eks. kildekode for flagskibssoftwaretjenesten), hvis leverandøren leverer infrastrukturkritiske tjenester.

Ejerskab af bilag A Kontrol 5.21

I bilag A Kontrol 5.21 er fokus på levering af informations- og kommunikationsteknologiske tjenester fra en leverandør eller gruppe af leverandører.

Derfor er den person, der er ansvarlig for at erhverve, administrere og forny IKT-leverandørrelationer på tværs af alle forretningsfunktioner, som f.eks. Chief Technical Officer eller Head of Information Technology, bør have ejerskab til denne proces.

ISO 27001:2022 Bilag A 5.21 – Generelle retningslinjer

ISO 27001-standard specificerer 13 ikt-relaterede vejledningspunkter, der bør overvejes sammen med enhver anden bilag A-kontrol, der styrer en organisations forhold til dens leverandører.

I løbet af det seneste årti er on-premise og cloud-tjenester på tværs af platforme blevet stadig mere populære. ISO 27001:2022 Bilag A Kontrol 5.21 omhandler levering af hardware- og softwarerelaterede komponenter og tjenester (både on-premise og cloud-baserede), men skelner sjældent mellem de to.

Adskillige bilag A-kontroller omhandler forholdet mellem leverandøren og organisationen og leverandørens forpligtelser ved underleverandør af dele af forsyningskæden til tredjepart.

1. Organisationer bør udarbejde et omfattende sæt af informationssikkerhed standarder, der er skræddersyet til deres specifikke behov for at sætte klare forventninger til, hvordan leverandører bør opføre sig ved at levere IKT-produkter og -tjenester.
2. IKT-leverandører er ansvarlige for at sikre, at entreprenører og deres personale er fuldt fortrolige med organisationens unikke informationssikkerhedsstandarder. Dette er sandt, hvis de giver et hvilket som helst element i forsyningskæden underleverandører.
3. Leverandøren skal kommunikere organisationens sikkerhedskrav til eventuelle leverandører eller leverandører, de bruger, når der opstår behov for at erhverve komponenter (fysiske eller virtuelle) fra tredjeparter.
4. En organisation bør anmode leverandører om oplysninger om softwarekomponenternes art og funktion.
5. Organisationen bør identificere og betjene ethvert produkt eller service, der leveres på en måde, der ikke kompromitterer informationssikkerheden.
6. Risikoniveauer bør ikke tages for givet af organisationer. I stedet bør organisationer udarbejde udkast til procedurer, der sikrer, at alle produkter eller tjenester leveret af leverandører er sikre og overholder industristandarder. Der kan anvendes flere metoder til at sikre overholdelse, herunder certificeringstjek, intern test og understøttende dokumentation.
7. Som en del af modtagelse af et produkt eller en service, bør organisationer identificere og registrere alle elementer, der anses for at være væsentlige for at opretholde kernefunktionalitet - især hvis disse komponenter stammer fra underleverandører eller outsourcede aftaler.
8. Leverandører bør have konkrete forsikringer om, at "kritiske komponenter" spores gennem hele IKT-forsyningskæden fra oprettelse til levering som del af en revisionslog.
9. Organisationer bør søge kategorisk sikkerhed, før de leverer IKT-produkter og -tjenester. Dette er for at sikre, at de fungerer inden for rammerne og ikke indeholder yderligere funktioner, der kan udgøre en sikkerhedsrisiko.
10. Komponentspecifikationer er afgørende for at sikre, at en organisation forstår de hardware- og softwarekomponenter, den introducerer til sit netværk. Organisationer bør kræve bestemmelser, der bekræfter, at komponenter er legitime ved levering, og leverandører bør overveje foranstaltninger mod manipulation gennem hele udviklingens livscyklus.
11. Det er afgørende at opnå forsikringer vedrørende IKT-produkters overensstemmelse med industristandard og sektorspecifikke sikkerhedskrav i henhold til de specifikke produktkrav. Det er almindeligt, at virksomheder opnår dette ved at opnå et minimumsniveau af formel sikkerhedscertificering eller overholde et sæt internationalt anerkendte informationsstandarder (f.eks. Common Criteria Recognition Arrangement).
12. Deling af information og data vedrørende gensidig forsyningskædedrift kræver, at organisationer sikrer, at leverandører kender deres forpligtelser. I denne forbindelse bør organisationer anerkende potentielle konflikter eller problemer mellem parterne. De bør også vide, hvordan de skal løse dem i begyndelsen af ​​processen. Processens alder.
13. Organisationen skal udvikle procedurer til styre risiko når du arbejder med ikke-understøttede, ikke-understøttede eller ældre komponenter, uanset hvor de er placeret. I disse situationer bør organisationen være i stand til at tilpasse og identificere alternativer i overensstemmelse hermed.

Bilag A 5.21 ​​Supplerende vejledning

I henhold til bilag A, kontrol 5.21, bør ICT-forsyningskædestyring overvejes i samarbejde. Det er beregnet til at supplere eksisterende supply chain management procedurer og at skabe kontekst for IKT-specifikke produkter og tjenester.

ISO 27001:2022-standarden anerkender, at kvalitetskontrol inden for IKT-sektoren ikke omfatter granulær inspektion af en leverandørs overholdelsesprocedurer, især med hensyn til softwarekomponenter.

Det anbefales derfor, at organisationer identificerer leverandørspecifikke kontroller, der bruges til at verificere, at leverandøren er en "reputable source", og at de udarbejder aftaler, der i detaljer angiver leverandørens ansvar for informationssikkerhed ved opfyldelse af en kontrakt, ordre eller levering af en ydelse. .

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A Kontrol 5.21 erstatter ISO 27001:2013 Bilag A Kontrol 15.1.3 (Forsyningskæde til informations- og kommunikationsteknologi).

Ud over at overholde de samme generelle vejledningsregler som ISO 27001:2013 Annex A 15.1.3, lægger ISO 27001:2022 Annex A 5.21 stor vægt på leverandørens forpligtelse til at levere og verificere komponentrelateret information på det tidspunkt, hvor forsyning, herunder:

• Leverandører af informationsteknologikomponenter.
• Giv et overblik over et produkts sikkerhedsfunktioner, og hvordan man bruger det fra et sikkerhedsperspektiv.
• Forsikringer om det nødvendige sikkerhedsniveau.

I henhold til ISO 27001:2022 bilag A 5.21 er organisationen også forpligtet til at oprette yderligere komponentspecifik information, når den introducerer produkter og tjenester, såsom:

• Identifikation og dokumentation af nøglekomponenter af et produkt eller en service, der bidrager til dets kernefunktionalitet.
• Sikring af komponenternes ægthed og integritet.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvad er fordelen ved ISMS.online, når det kommer til leverandørforhold?

Dette bilag A kontrolmål er blevet gjort meget let af ISMS.online. Dette skyldes, at ISMS.online giver bevis for, at dine relationer er nøje udvalgt, veladministreret og overvåget og gennemgået.

Dette gøres i vores brugervenlige kontiforhold (f.eks. leverandør) område. Samarbejdsprojekter arbejdsrum giver revisor mulighed for nemt at se nøgleleverandør om boarding, fælles initiativer, off boarding mv.

Derudover har ISMS.online gjort det nemmere for din organisation at nå dette bilag A kontrolmål ved at give dig mulighed for at fremlægge dokumentation for, at leverandøren formelt har forpligtet sig til at overholde kravene og har forstået leverandørens ansvar med hensyn til informationssikkerhed med vores politikpakker.

Ud over de bredere aftaler mellem kunde og leverandør, Politikpakker er ideelle til organisationer med specifikke politikker og bilag A-kontroller, som de ønsker, at leverandørpersonalet skal overholde, og sikrer, at de har læst deres politikker og forpligtet sig til at følge dem.

Den skybaserede platform, vi tilbyder, giver desuden følgende funktioner

• Et dokumenthåndteringssystem, der er nemt at bruge og kan tilpasses.
• Du vil have adgang til et bibliotek af polerede, forudskrevne dokumentationsskabeloner.
• Processen for at gennemføre interne revisioner er blevet forenklet.
• En metode til at kommunikere med ledelse og interessenter på, som er effektiv.
• Et workflow-modul er tilvejebragt for at lette implementeringsprocessen.

For at planlægge en demo, tøv ikke med at komme i kontakt med os i dag.