Vad är syftet med ISO 27001:2022 bilaga A 5.21?
I bilaga A Kontroll 5.21 måste organisationer implementera robusta processer och procedurer innan de levererar några produkter eller tjänster till hantera informationssäkerhetsrisker.
Kontroll 5.21 i bilaga A är en förebyggande kontroll som upprätthåller risken inom IKT-försörjningskedjan genom att upprätta en "överenskommen säkerhetsnivå" mellan parterna.
Annex A 5.21 i ISO 27001 riktar sig till IKT-leverantörer som kan behöva något utöver eller istället för standardmetoden. Även om ISO 27001 rekommenderar många områden för implementering, krävs också pragmatism. Med tanke på organisationens storlek jämfört med några av de mycket stora företag som den emellanåt kommer att arbeta med (t.ex. datacenter, värdtjänster, banker etc.), kan den behöva ha förmågan att påverka praxis längre ner i leverantörskedjan.
Beroende på vilka informations- och kommunikationstekniska tjänster som tillhandahålls bör organisationen noggrant bedöma de risker som kan uppstå. När det gäller en infrastrukturkritisk tjänsteleverantör är det till exempel viktigt att säkerställa ett större skydd än om leverantören bara har tillgång till allmänt tillgänglig information (t.ex. källkod för flaggskeppsmjukvarutjänsten) om leverantören tillhandahåller infrastrukturkritiska tjänster.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll av bilaga A 5.21
I bilaga A Kontroll 5.21 ligger fokus på tillhandahållande av informations- och kommunikationstekniktjänster av en leverantör eller grupp av leverantörer.
Därför är den person som är ansvarig för att förvärva, hantera och förnya IKT-leverantörsrelationer över alla affärsfunktioner, t.ex. Chief Technical Officer eller Head of Information Technology, bör ha äganderätt till denna process.
ISO 27001:2022 Annex A 5.21 – Allmänna riktlinjer
Ocuco-landskapet ISO 27001-standard specificerar 13 IKT-relaterade vägledningspunkter som bör beaktas vid sidan av alla andra bilaga A-kontroller som styr en organisations relation med dess leverantörer.
Under det senaste decenniet har plattformsoberoende on-premise- och molntjänster blivit allt mer populära. ISO 27001:2022 Bilaga A Kontroll 5.21 handlar om leverans av hårdvaru- och mjukvarurelaterade komponenter och tjänster (både på plats och molnbaserade) men skiljer sällan på de två.
Flera bilaga A-kontroller tar upp relationen mellan leverantören och organisationen och leverantörens skyldigheter vid utläggning av delar av leverantörskedjan till tredje part.
- Organisationer bör utarbeta en omfattande uppsättning av informationssäkerhet standarder skräddarsydda för deras specifika behov för att sätta tydliga förväntningar på hur leverantörer ska bete sig när de tillhandahåller IKT-produkter och -tjänster.
- IKT-leverantörer ansvarar för att entreprenörer och deras personal är fullt insatta i organisationens unika informationssäkerhetsstandarder. Detta gäller om de lägger ut någon del av leveranskedjan på underleverantörer.
- Leverantören måste kommunicera organisationens säkerhetskrav till alla leverantörer eller leverantörer de använder när behov uppstår att skaffa komponenter (fysiska eller virtuella) från tredje part.
- En organisation bör begära information från leverantörer om mjukvarukomponenternas karaktär och funktion.
- Organisationen bör identifiera och driva alla produkter eller tjänster som tillhandahålls på ett sätt som inte äventyrar informationssäkerheten.
- Risknivåer bör inte tas för givna av organisationer. Istället bör organisationer utarbeta rutiner som säkerställer att alla produkter eller tjänster som levereras av leverantörer är säkra och följer branschstandarder. Flera metoder kan användas för att säkerställa efterlevnad, inklusive certifieringskontroller, interna tester och stödjande dokumentation.
- Som en del av att ta emot en produkt eller tjänst bör organisationer identifiera och registrera alla element som anses vara väsentliga för att upprätthålla kärnfunktionalitet – särskilt om dessa komponenter härrörde från underleverantörer eller utkontrakterade avtal.
- Leverantörer bör ha konkreta försäkringar om att "kritiska komponenter" spåras genom hela IKT-försörjningskedjan från skapande till leverans som del av en revisionslogg.
- Organisationer bör söka kategorisk säkerhet innan de levererar IKT-produkter och -tjänster. Detta för att säkerställa att de fungerar inom räckvidden och inte innehåller några ytterligare funktioner som kan utgöra en säkerhetsrisk.
- Komponentspecifikationer är avgörande för att säkerställa att en organisation förstår de hårdvaru- och mjukvarukomponenter som den introducerar till sitt nätverk. Organisationer bör kräva bestämmelser som bekräftar att komponenterna är legitima vid leverans, och leverantörer bör överväga åtgärder mot manipulering under hela utvecklingens livscykel.
- Det är avgörande att erhålla garantier om att ICT-produkter överensstämmer med industristandard och branschspecifika säkerhetskrav enligt de specifika produktkraven. Det är vanligt att företag uppnår detta genom att erhålla en miniminivå av formell säkerhetscertifiering eller följa en uppsättning internationellt erkända informationsstandarder (till exempel Common Criteria Recognition Arrangement).
- Att dela information och data om ömsesidig drift i leveranskedjan kräver att organisationer säkerställer att leverantörerna känner till sina skyldigheter. I detta avseende bör organisationer erkänna potentiella konflikter eller problem mellan parterna. De bör också veta hur de ska lösa dem i början av processen. Processens ålder.
- Organisationen måste utveckla rutiner för att hantera risker när de arbetar med komponenter som inte stöds, inte stöds eller äldre komponenter, var de än befinner sig. I dessa situationer bör organisationen kunna anpassa sig och identifiera alternativ därefter.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Bilaga A 5.21 Kompletterande vägledning
Enligt bilaga A Kontroll 5.21 bör styrning av IKT-försörjningskedjan övervägas i samarbete. Det är tänkt att komplettera befintliga supply chain management förfaranden och för att tillhandahålla sammanhang för IKT-specifika produkter och tjänster.
ISO 27001:2022-standarden erkänner att kvalitetskontroll inom IKT-sektorn inte inkluderar detaljerad inspektion av en leverantörs efterlevnadsprocedurer, särskilt när det gäller programvarukomponenter.
Det rekommenderas därför att organisationer identifierar leverantörsspecifika kontroller som används för att verifiera att leverantören är en ”reputable source” och att de utarbetar avtal som i detalj anger leverantörens ansvar för informationssäkerhet vid fullgörande av ett kontrakt, beställning eller tillhandahållande av en tjänst. .
Vilka är ändringarna från ISO 27001:2013?
ISO 27001:2022 Annex A Control 5.21 ersätter ISO 27001:2013 Annex A Control 15.1.3 (Supply chain for information and communication technology).
Förutom att följa samma allmänna vägledningsregler som ISO 27001:2013 Annex A 15.1.3, lägger ISO 27001:2022 Annex A 5.21 stor vikt vid leverantörens skyldighet att tillhandahålla och verifiera komponentrelaterad information vid punkten av utbud, inklusive:
- Leverantörer av informationsteknologikomponenter.
- Ge en översikt över en produkts säkerhetsfunktioner och hur man använder den ur ett säkerhetsperspektiv.
- Försäkran om vilken säkerhetsnivå som krävs.
Enligt ISO 27001:2022 bilaga A 5.21 är organisationen också skyldig att skapa ytterligare komponentspecifik information vid introduktion av produkter och tjänster, såsom:
- Identifiera och dokumentera nyckelkomponenter i en produkt eller tjänst som bidrar till dess kärnfunktionalitet.
- Säkerställa komponenternas äkthet och integritet.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Vad är fördelen med ISMS.online när det kommer till leverantörsrelationer?
Detta kontrollmål i bilaga A har gjorts mycket enkelt av ISMS.online. Detta beror på att ISMS.online ger bevis på att dina relationer är noggrant utvalda, välskötta och övervakade och granskade.
Detta görs inom vårt lättanvända Kontorelationer (t.ex. leverantörer). Samarbetsprojekts arbetsutrymmen gör det möjligt för revisorn att enkelt se nyckelleverantörer vid boarding, gemensamma initiativ, off boarding, etc.
Dessutom har ISMS.online gjort det lättare för din organisation att uppnå detta bilaga A-kontrollmål genom att göra det möjligt för dig att tillhandahålla bevis på att leverantören formellt har åtagit sig att följa kraven och har förstått leverantörens ansvar när det gäller informationssäkerhet med våra policypaket.
Utöver de bredare avtalen mellan kund och leverantör, Policypaket är idealiska för organisationer med specifika policyer och bilaga A-kontroller som de vill att leverantörspersonalen ska följa, vilket säkerställer att de har läst deras policyer och åtagit sig att följa dem.
Den molnbaserade plattformen vi erbjuder har dessutom följande funktioner
- Ett dokumenthanteringssystem som är lätt att använda och kan anpassas.
- Du kommer att ha tillgång till ett bibliotek med polerade, förskrivna dokumentationsmallar.
- Processen för att genomföra internrevisioner har förenklats.
- En metod för att kommunicera med ledning och intressenter som är effektiv.
- En arbetsflödesmodul tillhandahålls för att underlätta implementeringsprocessen.
För att schemalägga en demo, tveka inte Kontakta oss idag.
