ISO 27001:2022 Vedlegg A Kontroll 5.21

ISO 27001:2022 vedlegg A 5.21 – Generelle retningslinjer

De ISO 27001-standard spesifiserer 13 IKT-relaterte veiledningspunkter som bør vurderes sammen med andre vedlegg A-kontroller som styrer en organisasjons forhold til sine leverandører.

I løpet av det siste tiåret har on-premise- og skytjenester på tvers av plattformer blitt stadig mer populære. ISO 27001:2022 Vedlegg A Kontroll 5.21 omhandler levering av maskinvare- og programvarerelaterte komponenter og tjenester (både lokalt og skybasert), men skiller sjelden mellom de to.

Flere vedlegg A-kontroller tar for seg forholdet mellom leverandøren og organisasjonen og leverandørens forpliktelser ved underleverandør av deler av forsyningskjeden til tredjeparter.

1. Organisasjoner bør utarbeide et omfattende sett med informasjonssikkerhet standarder skreddersydd til deres spesifikke behov for å sette klare forventninger til hvordan leverandørene skal oppføre seg når de leverer IKT-produkter og -tjenester.
2. IKT-leverandører er ansvarlige for å sikre at entreprenører og deres personell er fullt fortrolig med organisasjonens unike informasjonssikkerhetsstandarder. Dette er sant hvis de legger inn noen del av forsyningskjeden som underleverandører.
3. Leverandøren skal kommunisere organisasjonens sikkerhetskrav til eventuelle leverandører eller leverandører de bruker når det oppstår behov for å anskaffe komponenter (fysiske eller virtuelle) fra tredjeparter.
4. En organisasjon bør be om informasjon fra leverandører om programvarekomponentenes natur og funksjon.
5. Organisasjonen bør identifisere og drive ethvert produkt eller tjeneste som tilbys på en måte som ikke kompromitterer informasjonssikkerheten.
6. Risikonivåer bør ikke tas for gitt av organisasjoner. I stedet bør organisasjoner utarbeide utkast til prosedyrer som sikrer at alle produkter eller tjenester levert av leverandører er sikre og samsvarer med industristandarder. Flere metoder kan brukes for å sikre samsvar, inkludert sertifiseringskontroller, intern testing og støttedokumentasjon.
7. Som en del av å motta et produkt eller en tjeneste, bør organisasjoner identifisere og registrere alle elementer som anses som essensielle for å opprettholde kjernefunksjonalitet – spesielt hvis disse komponentene var avledet fra underleverandører eller utkontrakterte avtaler.
8. Leverandører bør ha konkrete forsikringer om at "kritiske komponenter" spores gjennom hele IKT-forsyningskjeden fra opprettelse til levering som del av en revisjonslogg.
9. Organisasjoner bør søke kategorisk sikkerhet før de leverer IKT-produkter og -tjenester. Dette er for å sikre at de opererer innenfor omfanget og ikke inneholder noen tilleggsfunksjoner som kan utgjøre en sikkerhetsrisiko.
10. Komponentspesifikasjoner er avgjørende for å sikre at en organisasjon forstår maskinvare- og programvarekomponentene den introduserer til nettverket sitt. Organisasjoner bør kreve krav som bekrefter at komponenter er legitime ved levering, og leverandører bør vurdere tiltak mot tukling gjennom hele utviklingens livssyklus.
11. Det er avgjørende å få forsikringer om at IKT-produkter er i samsvar med industristandard og sektorspesifikke sikkerhetskrav i henhold til de spesifikke produktkravene. Det er vanlig at bedrifter oppnår dette ved å oppnå et minimumsnivå av formell sikkerhetssertifisering eller følge et sett med internasjonalt anerkjente informasjonsstandarder (for eksempel Common Criteria Recognition Arrangement).
12. Deling av informasjon og data om gjensidig forsyningskjedeoperasjoner krever at organisasjoner sikrer at leverandørene kjenner sine forpliktelser. I denne forbindelse bør organisasjoner erkjenne potensielle konflikter eller problemer mellom partene. De bør også vite hvordan de skal løse dem i begynnelsen av prosessen. Alder på prosessen.
13. Organisasjonen må utvikle prosedyrer for å administrere risiko når de opererer med komponenter som ikke støttes, ikke støttes eller eldre komponenter, uansett hvor de befinner seg. I disse situasjonene bør organisasjonen være i stand til å tilpasse og identifisere alternativer deretter.

Vedlegg A 5.21 Supplerende veiledning

I henhold til vedlegg A Kontroll 5.21 bør styring av IKT-forsyningskjede vurderes i samarbeid. Den er ment å utfylle eksisterende leverandørkrav prosedyrer og for å gi kontekst for IKT-spesifikke produkter og tjenester.

ISO 27001:2022-standarden erkjenner at kvalitetskontroll innen IKT-sektoren ikke inkluderer granulær inspeksjon av en leverandørs samsvarsprosedyrer, spesielt når det gjelder programvarekomponenter.

Det anbefales derfor at organisasjoner identifiserer leverandørspesifikke kontroller som brukes for å verifisere at leverandøren er en «reputable source» og at de utarbeider avtaler som i detalj angir leverandørens ansvar for informasjonssikkerhet ved oppfyllelse av en kontrakt, bestilling eller levering av en tjeneste. .

Hva er endringene fra ISO 27001:2013?

ISO 27001:2022 Annex A Control 5.21 erstatter ISO 27001:2013 Annex A Control 15.1.3 (Supply chain for information and communication technology).

I tillegg til å følge de samme generelle retningslinjene som ISO 27001:2013 vedlegg A 15.1.3, legger ISO 27001:2022 vedlegg A 5.21 stor vekt på leverandørens forpliktelse til å gi og verifisere komponentrelatert informasjon på tidspunktet for forsyning, inkludert:

• Leverandører av informasjonsteknologikomponenter.
• Gi en oversikt over et produkts sikkerhetsfunksjoner og hvordan du bruker det fra et sikkerhetsperspektiv.
• Forsikringer om hvilket sikkerhetsnivå som kreves.

I henhold til ISO 27001:2022 vedlegg A 5.21, er organisasjonen også pålagt å opprette ytterligere komponentspesifikk informasjon når de introduserer produkter og tjenester, for eksempel:

• Identifisere og dokumentere nøkkelkomponenter i et produkt eller en tjeneste som bidrar til kjernefunksjonaliteten.
• Sikre ektheten og integriteten til komponentene.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

Hva er fordelen med ISMS.online når det gjelder leverandørforhold?

Dette vedlegg A-kontrollmålet er gjort veldig enkelt av ISMS.online. Dette er fordi ISMS.online gir bevis på at relasjonene dine er nøye utvalgt, godt administrert og overvåket og gjennomgått.

Dette gjøres i vårt brukervennlige kontoforhold (f.eks. leverandør) område. Arbeidsrom for samarbeidsprosjekter lar revisor enkelt se nøkkelleverandører på boarding, felles initiativ, off boarding, etc.

I tillegg har ISMS.online gjort det enklere for din organisasjon å oppnå dette vedlegg A-kontrollmålet ved å la deg fremlegge bevis på at leverandøren formelt har forpliktet seg til å overholde kravene og har forstått leverandørens ansvar angående informasjonssikkerhet med våre policypakker.

I tillegg til de bredere avtalene mellom en kunde og leverandør, Politikkpakker er ideelle for organisasjoner med spesifikke retningslinjer og vedlegg A-kontroller de ønsker at leverandørpersonalet skal følge, og sikrer at de har lest deres retningslinjer og forpliktet seg til å følge dem.

Den skybaserte plattformen vi tilbyr gir i tillegg følgende funksjoner

• Et dokumenthåndteringssystem som er enkelt å bruke og kan tilpasses.
• Du vil ha tilgang til et bibliotek med polerte, forhåndsskrevne dokumentasjonsmaler.
• Prosessen for å gjennomføre internrevisjoner er forenklet.
• En metode for å kommunisere med ledelse og interessenter som er effektiv.
• En arbeidsflytmodul er gitt for å lette implementeringsprosessen.

For å planlegge en demo, ikke nøl med ta kontakt med oss ​​i dag.