Kontrol 5.21 styrer, hvordan organisationer administrere informationssikkerhed risici i hele deres IKT-forsyningskæde ved at implementere robuste processer og procedurer forud for levering af produkter eller tjenester.
5.21 er en forebyggende kontrol at fastholder risiko ved at etablere et "aftalt sikkerhedsniveau" mellem begge parter i hele IKT forsyningskæde.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse |
Kontrol 5.21 er eksplicit fokuseret på levering af ikt-tjenester via en leverandør eller gruppe af leverandører.
Som sådan bør ejerskabet ligge hos den person, der er ansvarlig for at erhverve, administrere og forny IKT leverandørforhold på tværs af alle forretningsfunktioner, som f.eks Chief Technical Officer or Leder af it.
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
ISO fastlægger 13 IKT-relaterede vejledningspunkter, som bør overvejes langs med enhver anden kontrol, der dikterer en organisations forhold til dens leverandør(er).
I betragtning af udvidelsen af on-premise og cloud-tjenester på tværs af platforme i løbet af det sidste årti, beskæftiger Control 5.21 sig med levering af både hardware , software-relaterede komponenter og tjenester (både on-premise og cloud-baserede), og skelner sjældent mellem de to.
Ud over forholdet mellem leverandøren og organisationen omhandler flere kontroller også en leverandørs forpligtelser ved underleverandør af dele af forsyningskæden til tredjepartsorganisationer.
Det er vigtigt at bemærke, at ICT-forsyningskædestyring ikke bør tages isoleret i overensstemmelse med denne kontrol. Kontrol 5.21 er designet til at supplere eksisterende forsyningskædestyringsprocedurer og tilbyde kontekst for IKT-specifikke produkter og tjenester.
ISO anerkender, at, især når det kommer til softwarekomponenter, kvalitetskontrol inden for IKT-produkter og -tjenester ikke strækker sig til granulær inspektion af leverandørens eget sæt af overholdelsesprocedurer.
Som sådan opfordres organisationer til at identificere leverandørspecifikke kontroller, der verificerer leverandøren som en "reputable source" og udkast til aftaler, der kategorisk angiver leverandørens informationssikkerhedsforpligtelser ved opfyldelse af en kontrakt, ordre eller levering af en service.
ISO 27002:2022-5.21 erstatter ISO 27002:2013-15.1.3 (Informations- og kommunikationsteknologiens forsyningskæde).
ISO 27002:2022-5.21 overholder det samme sæt generelle vejledningsregler som ISO 27002:2013-15.1.3, men lægger langt større vægt på en leverandørs forpligtelse til at levere og verificere komponentrelaterede oplysninger på leveringsstedet, herunder:
ISO 27002:2022-5.21 beder også organisationen om at skabe yderligere komponentspecifik information for at øge det generelle niveau af informationssikkerhed, når produkter og tjenester introduceres, herunder:
At ISMS.online, har vi bygget et omfattende og brugervenligt system, der kan hjælpe dig med at implementere ISO 27002 kontroller og administrere hele dit ISMS.
Vores cloud-baserede platform tilbyder:
ISMS.online har alle disse funktionerOg meget mere.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er omkostningseffektive og hurtige