Kontroll 5.21 styr hur organisationer hantera informationssäkerhet risker genom hela deras IKT-försörjningskedja, genom att implementera robusta processer och procedurer innan leverans av produkter eller tjänster.
5.21 är en förebyggande kontroll den där upprätthåller risken genom att upprätta en "överenskommen säkerhetsnivå" mellan båda parter inom hela IKT leveranskedjan.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem #Skydd |
Kontroll 5.21 är uttryckligen inriktat på tillhandahållande av IKT-tjänster, via en leverantör eller grupp av leverantörer.
Som sådan bör ägandet ligga hos den person som är ansvarig för att förvärva, förvalta och förnya IKT leverantörsrelationer över alla affärsfunktioner, såsom en Teknisk chef or Chef för IT.
Med ISMS.online är utmaningar kring versionskontroll, policygodkännande och policydelning ett minne blott.
ISO anger 13 IKT-relaterade vägledningspunkter som bör beaktas vid sidan av alla andra kontroller som dikterar en organisations relation till dess leverantör(er).
Med tanke på expansionen av plattformsoberoende on-premise- och molntjänster under det senaste decenniet, handlar Control 5.21 om leverans av både hårdvara och programvara-relaterade komponenter och tjänster (både på plats och molnbaserade), och gör sällan skillnad mellan de två.
Förutom förhållandet mellan leverantören och organisationen, handlar flera kontroller också om en leverantörs skyldigheter när delar av leverantörskedjan läggs ut på underleverantörer till tredjepartsorganisationer.
Det är viktigt att notera att styrning av ICT-försörjningskedjan inte bör tas isolerat, i enlighet med denna kontroll. Kontroll 5.21 är utformad för att komplettera befintliga rutiner för hantering av försörjningskedjan och erbjuda sammanhang för IKT-specifika produkter och tjänster.
ISO erkänner att, särskilt när det gäller mjukvarukomponenter, kvalitetskontroll inom området för ICT-produkter och -tjänster inte sträcker sig till detaljerad inspektion av leverantörens egen uppsättning av efterlevnadsprocedurer.
Som sådan uppmuntras organisationer att identifiera leverantörsspecifika kontroller som verifierar leverantören som en "reputabel källa" och utkast till avtal som kategoriskt anger leverantörens informationssäkerhetsskyldigheter, när de fullgör ett kontrakt, beställer eller tillhandahåller en tjänst.
ISO 27002 :2022-5.21 ersätter ISO 27002:2013-15.1.3 (Informations- och kommunikationsteknikens leveranskedja).
ISO 27002:2022-5.21 följer samma uppsättning allmänna vägledningsregler som ISO 27002:2013-15.1.3, men lägger mycket större vikt vid en leverantörs skyldighet att tillhandahålla och verifiera komponentrelaterad information vid leveransstället, inklusive:
ISO 27002:2022-5.21 ber också organisationen att skapa ytterligare komponentspecifik information för att öka den allmänna informationssäkerhetsnivån vid introduktion av produkter och tjänster, inklusive:
At ISMS.online, vi har byggt ett omfattande och lättanvänt system som kan hjälpa dig att implementera ISO 27002-kontroller och hantera hela ditt ISMS.
Vår molnbaserade plattform erbjuder:
ISMS.online har alla dessa funktionerOch mycket mer.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |