ISO 27002:2022 – Kontrol 5.21 – Styring af informationssikkerhed i IKT-forsyningskæden

Formål med kontrol 5.21

Kontrol 5.21 styrer, hvordan organisationer administrere informationssikkerhed risici i hele deres IKT-forsyningskæde ved at implementere robuste processer og procedurer forud for levering af produkter eller tjenester.

5.21 er en forebyggende kontrol at fastholder risiko ved at etablere et "aftalt sikkerhedsniveau" mellem begge parter i hele IKT forsyningskæde.

Attributter Kontroltabel 5.21

Ejerskab af kontrol 5.21

Kontrol 5.21 er eksplicit fokuseret på levering af ikt-tjenester via en leverandør eller gruppe af leverandører.

Som sådan bør ejerskabet ligge hos den person, der er ansvarlig for at erhverve, administrere og forny IKT leverandørforhold på tværs af alle forretningsfunktioner, som f.eks Chief Technical Officer or Leder af it.

Generel vejledning om kontrol 5.21

ISO fastlægger 13 IKT-relaterede vejledningspunkter, som bør overvejes langs med enhver anden kontrol, der dikterer en organisations forhold til dens leverandør(er).

I betragtning af udvidelsen af ​​on-premise og cloud-tjenester på tværs af platforme i løbet af det sidste årti, beskæftiger Control 5.21 sig med levering af både hardware og software-relaterede komponenter og tjenester (både on-premise og cloud-baserede), og skelner sjældent mellem de to.

Ud over forholdet mellem leverandøren og organisationen omhandler flere kontroller også en leverandørs forpligtelser ved underleverandør af dele af forsyningskæden til tredjepartsorganisationer.

1. Organisationer bør udarbejde et klart sæt af informationssikkerhed standarder, der gælder for deres individuelle behov, for at sætte klare forventninger til, hvordan leverandører skal opføre sig, når de leverer IKT-produkter og -tjenester.
2. Hvis IKT-leverandøren giver et element af forsyningskæden i underentreprise, bør leverandøren træffe foranstaltninger for at sikre, at entreprenører og deres personale er fuldt ud fortrolige med organisationens unikke informationssikkerhedsstandarder.
3. Hvis der opstår behov for at erhverve komponenter (fysiske eller virtuelle) købt fra en tredjepart, bør leverandøren formidle organisationens sikkerhedskrav til eventuelle leverandører eller leverandører, de selv bruger.
4. Leverandører bør anmodes om at give oplysninger om arten og funktionen af ​​de softwarekomponenter, de bruger til at levere en service til organisationen.
5. Organisationer bør identificere de underliggende sikkerhedsfunktioner for ethvert leveret produkt eller service, og hvordan man betjener dette produkt eller service på en måde, som går ikke på kompromis med informationssikkerheden.
6. Organisationer bør ikke tage risikoniveauer for givet, og udkast til procedurer, der sikrer, at produkter eller tjenester, som en leverandør leverer, er af sikker karakter og i overensstemmelse med accepterede industristandarder. Metoder kan omfatte certificeringstjek, intern test og understøttende overholdelsesdokumentation.
7. Når de modtager et produkt eller en service, bør organisationer overholde en proces med først at identificere og derefter registrere alle elementer, der anses for at være væsentlige for at opretholde kernefunktionalitet - især hvis disse komponenter stammer fra en underleverandør/outsourcet aftale.
8. Leverandører bør kunne give konkrete forsikringer om, at "kritiske komponenter" har gavn af en grundig revisionslog der sporer deres bevægelse gennem hele IKT-forsyningskæden, fra skabelse til levering.
9. Da IKT-produkter og -tjenester leveres, bør organisationer søge kategorisk sikkerhed for, at de nævnte produkter og tjenester ikke kun fungerer inden for rammerne, men ikke indeholder yderligere funktioner, der kan udgøre en sikkerhed sikkerhedsrisiko.
10. Komponentspecifikationer er nøglen til at sikre, at en organisation forstår de hardware- og softwarekomponenter, den introducerer på sit netværk. Leverandører bør overveje foranstaltninger til bekæmpelse af manipulation gennem hele udviklingens livscyklus, og organisationer bør kræve bestemmelser, som bekræfter komponenter som legitime ved levering.
11. Der bør søges forsikringer for at bekræfte, at IKT-produkter er i overensstemmelse med branchestandarder og/eller sektorspecifikke sikkerhedskrav, som er relevant for hvert produkt. Fælles metoder til at opnå dette omfatter opnåelse af et minimumsniveau af formel sikkerhedscertificering eller overholdelse af et sæt internationalt anerkendte informationsstandarder (såsom Common Criteria Recognition Arrangement) pr. produkt.
12. Organisationer bør tage skridt til at sikre dette leverandører er opmærksomme af deres forpligtelser, når de deler information og/eller data vedrørende den gensidige forsyningskædedrift, herunder anerkendelse af eventuelle potentielle konflikter eller problemer, der kan opstå mellem begge parter, og hvordan man håndterer dem ved kilden.
13. Organisationer skal udarbejde procedurer, der håndterer risiko, når de opererer med utilgængelige, ikke-understøttede eller ældre komponenter, uanset hvor de befinder sig. Hvor komponenter er faldet ind under en af ​​disse kategorier, bør organisationer være i stand til at tilpasse sig i overensstemmelse hermed og identificere alternativer.

Supplerende vejledning

Det er vigtigt at bemærke, at ICT-forsyningskædestyring ikke bør tages isoleret i overensstemmelse med denne kontrol. Kontrol 5.21 er designet til at supplere eksisterende forsyningskædestyringsprocedurer og tilbyde kontekst for IKT-specifikke produkter og tjenester.

ISO anerkender, at, især når det kommer til softwarekomponenter, kvalitetskontrol inden for IKT-produkter og -tjenester ikke strækker sig til granulær inspektion af leverandørens eget sæt af overholdelsesprocedurer.

Som sådan opfordres organisationer til at identificere leverandørspecifikke kontroller, der verificerer leverandøren som en "reputable source" og udkast til aftaler, der kategorisk angiver leverandørens informationssikkerhedsforpligtelser ved opfyldelse af en kontrakt, ordre eller levering af en service.

Kontrol 5.21 Ændringer fra ISO 27002:2013

ISO 27002:2022-5.21 erstatter ISO 27002:2013-15.1.3 (Informations- og kommunikationsteknologiens forsyningskæde).

ISO 27002:2022-5.21 overholder det samme sæt generelle vejledningsregler som ISO 27002:2013-15.1.3, men lægger langt større vægt på en leverandørs forpligtelse til at levere og verificere komponentrelaterede oplysninger på leveringsstedet, herunder:

• IKT-leverandører, der leverer komponentinformation.
• IKT-leverandører, der skitserer et produkts sikkerhedsfunktioner, og hvordan man bedst betjener det ud fra et sikkerhedsperspektiv.
• Forsikringer vedrørende nødvendige sikkerhedsniveauer.

ISO 27002:2022-5.21 beder også organisationen om at skabe yderligere komponentspecifik information for at øge det generelle niveau af informationssikkerhed, når produkter og tjenester introduceres, herunder:

• Identifikation og dokumentation af komponenter, der er afgørende for produktets eller ydelsens kernefunktionalitet.
• Sikring af, at komponenter er ægte og uændrede.

Nye ISO 27002 kontroller

Hvordan ISMS.online hjælper

At ISMS.online, har vi bygget et omfattende og brugervenligt system, der kan hjælpe dig med at implementere ISO 27002 kontroller og administrere hele dit ISMS.

Vores cloud-baserede platform tilbyder:

• Et let at bruge og tilpasse dokumentationsstyringssystem.
• Adgang til et bibliotek med polerede, forudskrevne dokumentationsskabeloner.
• En forenklet proces til gennemførelse af interne revisioner.
• En effektiv metode til at kommunikere med ledelse og interessenter.
• Et workflow-modul til at strømline implementeringsprocessen.

ISMS.online har alle disse funktionerOg meget mere.

Kontakt i dag for book en demo.