Kontrol 5.21 – Styring af informationssikkerhed i IKT-forsyningskæden

ISO 27002:2022 Reviderede kontroller

Book en demo

moderne, arkitektur, bank, finansiel, kontor, tårn, bygning

Formål med kontrol 5.21

Kontrol 5.21 styrer, hvordan organisationer administrere informationssikkerhed risici i hele deres IKT-forsyningskæde ved at implementere robuste processer og procedurer forud for levering af produkter eller tjenester.

5.21 er en forebyggende kontrol at fastholder risiko ved at etablere et "aftalt sikkerhedsniveau" mellem begge parter i hele IKT forsyningskæde.

Attributter Kontroltabel 5.21

Kontrol typeInformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende#Fortrolighed #Integritet #Tilgængelighed#Identificere#Sikkerhed for leverandørforhold#Governance og økosystem #Beskyttelse

Ejerskab af kontrol 5.21

Kontrol 5.21 er eksplicit fokuseret på levering af ikt-tjenester via en leverandør eller gruppe af leverandører.

Som sådan bør ejerskabet ligge hos den person, der er ansvarlig for at erhverve, administrere og forny IKT leverandørforhold på tværs af alle forretningsfunktioner, som f.eks Chief Technical Officer or Leder af it.

Gå til emne
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Dean Fields
IT-direktør NHS fagfolk
100 % af vores brugere består certificeringen første gang
Book din demo

Generel vejledning om kontrol 5.21

ISO fastlægger 13 IKT-relaterede vejledningspunkter, som bør overvejes langs med enhver anden kontrol, der dikterer en organisations forhold til dens leverandør(er).

I betragtning af udvidelsen af ​​on-premise og cloud-tjenester på tværs af platforme i løbet af det sidste årti, beskæftiger Control 5.21 sig med levering af både hardware , software-relaterede komponenter og tjenester (både on-premise og cloud-baserede), og skelner sjældent mellem de to.

Ud over forholdet mellem leverandøren og organisationen omhandler flere kontroller også en leverandørs forpligtelser ved underleverandør af dele af forsyningskæden til tredjepartsorganisationer.

  1. Organisationer bør udarbejde et klart sæt af informationssikkerhed standarder, der gælder for deres individuelle behov, for at sætte klare forventninger til, hvordan leverandører skal opføre sig, når de leverer IKT-produkter og -tjenester.
  2. Hvis IKT-leverandøren giver et element af forsyningskæden i underentreprise, bør leverandøren træffe foranstaltninger for at sikre, at entreprenører og deres personale er fuldt ud fortrolige med organisationens unikke informationssikkerhedsstandarder.
  3. Hvis der opstår behov for at erhverve komponenter (fysiske eller virtuelle) købt fra en tredjepart, bør leverandøren formidle organisationens sikkerhedskrav til eventuelle leverandører eller leverandører, de selv bruger.
  4. Leverandører bør anmodes om at give oplysninger om arten og funktionen af ​​de softwarekomponenter, de bruger til at levere en service til organisationen.
  5. Organisationer bør identificere de underliggende sikkerhedsfunktioner for ethvert leveret produkt eller service, og hvordan man betjener dette produkt eller service på en måde, som går ikke på kompromis med informationssikkerheden.
  6. Organisationer bør ikke tage risikoniveauer for givet, og udkast til procedurer, der sikrer, at produkter eller tjenester, som en leverandør leverer, er af sikker karakter og i overensstemmelse med accepterede industristandarder. Metoder kan omfatte certificeringstjek, intern test og understøttende overholdelsesdokumentation.
  7. Når de modtager et produkt eller en service, bør organisationer overholde en proces med først at identificere og derefter registrere alle elementer, der anses for at være væsentlige for at opretholde kernefunktionalitet - især hvis disse komponenter stammer fra en underleverandør/outsourcet aftale.
  8. Leverandører bør kunne give konkrete forsikringer om, at "kritiske komponenter" har gavn af en grundig revisionslog der sporer deres bevægelse gennem hele IKT-forsyningskæden, fra skabelse til levering.
  9. Da IKT-produkter og -tjenester leveres, bør organisationer søge kategorisk sikkerhed for, at de nævnte produkter og tjenester ikke kun fungerer inden for rammerne, men ikke indeholder yderligere funktioner, der kan udgøre en sikkerhed sikkerhedsrisiko.
  10. Komponentspecifikationer er nøglen til at sikre, at en organisation forstår de hardware- og softwarekomponenter, den introducerer på sit netværk. Leverandører bør overveje foranstaltninger til bekæmpelse af manipulation gennem hele udviklingens livscyklus, og organisationer bør kræve bestemmelser, som bekræfter komponenter som legitime ved levering.
  11. Der bør søges forsikringer for at bekræfte, at IKT-produkter er i overensstemmelse med branchestandarder og/eller sektorspecifikke sikkerhedskrav, som er relevant for hvert produkt. Fælles metoder til at opnå dette omfatter opnåelse af et minimumsniveau af formel sikkerhedscertificering eller overholdelse af et sæt internationalt anerkendte informationsstandarder (såsom Common Criteria Recognition Arrangement) pr. produkt.
  12. Organisationer bør tage skridt til at sikre dette leverandører er opmærksomme af deres forpligtelser, når de deler information og/eller data vedrørende den gensidige forsyningskædedrift, herunder anerkendelse af eventuelle potentielle konflikter eller problemer, der kan opstå mellem begge parter, og hvordan man håndterer dem ved kilden.
  13. Organisationer skal udarbejde procedurer, der håndterer risiko, når de opererer med utilgængelige, ikke-understøttede eller ældre komponenter, uanset hvor de befinder sig. Hvor komponenter er faldet ind under en af ​​disse kategorier, bør organisationer være i stand til at tilpasse sig i overensstemmelse hermed og identificere alternativer.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Supplerende vejledning

Det er vigtigt at bemærke, at ICT-forsyningskædestyring ikke bør tages isoleret i overensstemmelse med denne kontrol. Kontrol 5.21 er designet til at supplere eksisterende forsyningskædestyringsprocedurer og tilbyde kontekst for IKT-specifikke produkter og tjenester.

ISO anerkender, at, især når det kommer til softwarekomponenter, kvalitetskontrol inden for IKT-produkter og -tjenester ikke strækker sig til granulær inspektion af leverandørens eget sæt af overholdelsesprocedurer.

Som sådan opfordres organisationer til at identificere leverandørspecifikke kontroller, der verificerer leverandøren som en "reputable source" og udkast til aftaler, der kategorisk angiver leverandørens informationssikkerhedsforpligtelser ved opfyldelse af en kontrakt, ordre eller levering af en service.

Kontrol 5.21 Ændringer fra ISO 27002:2013

ISO 27002:2022-5.21 erstatter ISO 27002:2013-15.1.3 (Informations- og kommunikationsteknologiens forsyningskæde).

ISO 27002:2022-5.21 overholder det samme sæt generelle vejledningsregler som ISO 27002:2013-15.1.3, men lægger langt større vægt på en leverandørs forpligtelse til at levere og verificere komponentrelaterede oplysninger på leveringsstedet, herunder:

  • IKT-leverandører, der leverer komponentinformation.
  • IKT-leverandører, der skitserer et produkts sikkerhedsfunktioner, og hvordan man bedst betjener det ud fra et sikkerhedsperspektiv.
  • Forsikringer vedrørende nødvendige sikkerhedsniveauer.

ISO 27002:2022-5.21 beder også organisationen om at skabe yderligere komponentspecifik information for at øge det generelle niveau af informationssikkerhed, når produkter og tjenester introduceres, herunder:

  • Identifikation og dokumentation af komponenter, der er afgørende for produktets eller ydelsens kernefunktionalitet.
  • Sikring af, at komponenter er ægte og uændrede.

Hvordan ISMS.online hjælper

At ISMS.online, har vi bygget et omfattende og brugervenligt system, der kan hjælpe dig med at implementere ISO 27002 kontroller og administrere hele dit ISMS.

Vores cloud-baserede platform tilbyder:

  • Et let at bruge og tilpasse dokumentationsstyringssystem.
  • Adgang til et bibliotek med polerede, forudskrevne dokumentationsskabeloner.
  • En forenklet proces til gennemførelse af interne revisioner.
  • En effektiv metode til at kommunikere med ledelse og interessenter.
  • Et workflow-modul til at strømline implementeringsprocessen.

ISMS.online har alle disse funktionerOg meget mere.

Kontakt i dag for book en demo.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere