ISO 27001:2022 bilaga A 5.21 – Hantera informationssäkerhet i IKT-leverantörskedjan

Vad är syftet med ISO 27001:2022 bilaga A 5.21?

I bilaga A Kontroll 5.21 måste organisationer implementera robusta processer och procedurer innan de levererar några produkter eller tjänster till hantera informationssäkerhetsrisker.

Kontroll 5.21 i bilaga A är en förebyggande kontroll som upprätthåller risken inom IKT-försörjningskedjan genom att upprätta en "överenskommen säkerhetsnivå" mellan parterna.

Annex A 5.21 i ISO 27001 riktar sig till IKT-leverantörer som kan behöva något utöver eller istället för standardmetoden. Även om ISO 27001 rekommenderar många områden för implementering, krävs också pragmatism. Med tanke på organisationens storlek jämfört med några av de mycket stora företag som den emellanåt kommer att arbeta med (t.ex. datacenter, värdtjänster, banker etc.), kan den behöva ha förmågan att påverka praxis längre ner i leverantörskedjan.

Beroende på vilka informations- och kommunikationstekniska tjänster som tillhandahålls bör organisationen noggrant bedöma de risker som kan uppstå. När det gäller en infrastrukturkritisk tjänsteleverantör är det till exempel viktigt att säkerställa ett större skydd än om leverantören bara har tillgång till allmänt tillgänglig information (t.ex. källkod för flaggskeppsmjukvarutjänsten) om leverantören tillhandahåller infrastrukturkritiska tjänster.

Äganderätt till kontroll av bilaga A 5.21

I bilaga A Kontroll 5.21 ligger fokus på tillhandahållande av informations- och kommunikationstekniktjänster av en leverantör eller grupp av leverantörer.

Därför är den person som är ansvarig för att förvärva, hantera och förnya IKT-leverantörsrelationer över alla affärsfunktioner, t.ex. Chief Technical Officer eller Head of Information Technology, bör ha äganderätt till denna process.

ISO 27001:2022 Annex A 5.21 – Allmänna riktlinjer

Smakämnen ISO 27001-standard specificerar 13 IKT-relaterade vägledningspunkter som bör beaktas vid sidan av alla andra bilaga A-kontroller som styr en organisations relation med dess leverantörer.

Under det senaste decenniet har plattformsoberoende on-premise- och molntjänster blivit allt mer populära. ISO 27001:2022 Bilaga A Kontroll 5.21 handlar om leverans av hårdvaru- och mjukvarurelaterade komponenter och tjänster (både på plats och molnbaserade) men skiljer sällan på de två.

Flera bilaga A-kontroller tar upp relationen mellan leverantören och organisationen och leverantörens skyldigheter vid utläggning av delar av leverantörskedjan till tredje part.

1. Organisationer bör utarbeta en omfattande uppsättning av informationssäkerhet standarder skräddarsydda för deras specifika behov för att sätta tydliga förväntningar på hur leverantörer ska bete sig när de tillhandahåller IKT-produkter och -tjänster.
2. IKT-leverantörer ansvarar för att entreprenörer och deras personal är fullt insatta i organisationens unika informationssäkerhetsstandarder. Detta gäller om de lägger ut någon del av leveranskedjan på underleverantörer.
3. Leverantören måste kommunicera organisationens säkerhetskrav till alla leverantörer eller leverantörer de använder när behov uppstår att skaffa komponenter (fysiska eller virtuella) från tredje part.
4. En organisation bör begära information från leverantörer om mjukvarukomponenternas karaktär och funktion.
5. Organisationen bör identifiera och driva alla produkter eller tjänster som tillhandahålls på ett sätt som inte äventyrar informationssäkerheten.
6. Risknivåer bör inte tas för givna av organisationer. Istället bör organisationer utarbeta rutiner som säkerställer att alla produkter eller tjänster som levereras av leverantörer är säkra och följer branschstandarder. Flera metoder kan användas för att säkerställa efterlevnad, inklusive certifieringskontroller, interna tester och stödjande dokumentation.
7. Som en del av att ta emot en produkt eller tjänst bör organisationer identifiera och registrera alla element som anses vara väsentliga för att upprätthålla kärnfunktionalitet – särskilt om dessa komponenter härrörde från underleverantörer eller utkontrakterade avtal.
8. Leverantörer bör ha konkreta försäkringar om att "kritiska komponenter" spåras genom hela IKT-försörjningskedjan från skapande till leverans som del av en revisionslogg.
9. Organisationer bör söka kategorisk säkerhet innan de levererar IKT-produkter och -tjänster. Detta för att säkerställa att de fungerar inom räckvidden och inte innehåller några ytterligare funktioner som kan utgöra en säkerhetsrisk.
10. Komponentspecifikationer är avgörande för att säkerställa att en organisation förstår de hårdvaru- och mjukvarukomponenter som den introducerar till sitt nätverk. Organisationer bör kräva bestämmelser som bekräftar att komponenterna är legitima vid leverans, och leverantörer bör överväga åtgärder mot manipulering under hela utvecklingens livscykel.
11. Det är avgörande att erhålla garantier om att ICT-produkter överensstämmer med industristandard och branschspecifika säkerhetskrav enligt de specifika produktkraven. Det är vanligt att företag uppnår detta genom att erhålla en miniminivå av formell säkerhetscertifiering eller följa en uppsättning internationellt erkända informationsstandarder (till exempel Common Criteria Recognition Arrangement).
12. Att dela information och data om ömsesidig drift i leveranskedjan kräver att organisationer säkerställer att leverantörerna känner till sina skyldigheter. I detta avseende bör organisationer erkänna potentiella konflikter eller problem mellan parterna. De bör också veta hur de ska lösa dem i början av processen. Processens ålder.
13. Organisationen måste utveckla rutiner för att hantera risker när de arbetar med komponenter som inte stöds, inte stöds eller äldre komponenter, var de än befinner sig. I dessa situationer bör organisationen kunna anpassa sig och identifiera alternativ därefter.

Bilaga A 5.21 Kompletterande vägledning

Enligt bilaga A Kontroll 5.21 bör styrning av IKT-försörjningskedjan övervägas i samarbete. Det är tänkt att komplettera befintliga supply chain management förfaranden och för att tillhandahålla sammanhang för IKT-specifika produkter och tjänster.

ISO 27001:2022-standarden erkänner att kvalitetskontroll inom IKT-sektorn inte inkluderar detaljerad inspektion av en leverantörs efterlevnadsprocedurer, särskilt när det gäller programvarukomponenter.

Det rekommenderas därför att organisationer identifierar leverantörsspecifika kontroller som används för att verifiera att leverantören är en ”reputable source” och att de utarbetar avtal som i detalj anger leverantörens ansvar för informationssäkerhet vid fullgörande av ett kontrakt, beställning eller tillhandahållande av en tjänst. .

Vilka är ändringarna från ISO 27001:2013?

ISO 27001:2022 Annex A Control 5.21 ersätter ISO 27001:2013 Annex A Control 15.1.3 (Supply chain for information and communication technology).

Förutom att följa samma allmänna vägledningsregler som ISO 27001:2013 Annex A 15.1.3, lägger ISO 27001:2022 Annex A 5.21 stor vikt vid leverantörens skyldighet att tillhandahålla och verifiera komponentrelaterad information vid punkten av utbud, inklusive:

• Leverantörer av informationsteknologikomponenter.
• Ge en översikt över en produkts säkerhetsfunktioner och hur man använder den ur ett säkerhetsperspektiv.
• Försäkran om vilken säkerhetsnivå som krävs.

Enligt ISO 27001:2022 bilaga A 5.21 är organisationen också skyldig att skapa ytterligare komponentspecifik information vid introduktion av produkter och tjänster, såsom:

• Identifiera och dokumentera nyckelkomponenter i en produkt eller tjänst som bidrar till dess kärnfunktionalitet.
• Säkerställa komponenternas äkthet och integritet.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vad är fördelen med ISMS.online när det kommer till leverantörsrelationer?

Detta kontrollmål i bilaga A har gjorts mycket enkelt av ISMS.online. Detta beror på att ISMS.online ger bevis på att dina relationer är noggrant utvalda, välskötta och övervakade och granskade.

Detta görs inom vårt lättanvända Kontorelationer (t.ex. leverantörer). Samarbetsprojekts arbetsutrymmen gör det möjligt för revisorn att enkelt se nyckelleverantörer vid boarding, gemensamma initiativ, off boarding, etc.

Dessutom har ISMS.online gjort det lättare för din organisation att uppnå detta bilaga A-kontrollmål genom att göra det möjligt för dig att tillhandahålla bevis på att leverantören formellt har åtagit sig att följa kraven och har förstått leverantörens ansvar när det gäller informationssäkerhet med våra policypaket.

Utöver de bredare avtalen mellan kund och leverantör, Policypaket är idealiska för organisationer med specifika policyer och bilaga A-kontroller som de vill att leverantörspersonalen ska följa, vilket säkerställer att de har läst deras policyer och åtagit sig att följa dem.

Den molnbaserade plattformen vi erbjuder har dessutom följande funktioner

• Ett dokumenthanteringssystem som är lätt att använda och kan anpassas.
• Du kommer att ha tillgång till ett bibliotek med polerade, förskrivna dokumentationsmallar.
• Processen för att genomföra internrevisioner har förenklats.
• En metod för att kommunicera med ledning och intressenter som är effektiv.
• En arbetsflödesmodul tillhandahålls för att underlätta implementeringsprocessen.

För att schemalägga en demo, tveka inte kontakta oss idag.