Kontroll 5.21 styrer hvordan organisasjoner administrere informasjonssikkerhet risiko gjennom hele deres IKT-forsyningskjede, ved å implementere robuste prosesser og prosedyrer før levering av produkter eller tjenester.
5.21 er en forebyggende kontroll Det opprettholder risiko ved å etablere et «avtalt sikkerhetsnivå» mellom begge parter gjennom hele IKT forsyningskjeden.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Sikkerhet for leverandørforhold | #Governance and Ecosystem #Beskyttelse |
Kontroll 5.21 er eksplisitt fokusert på levering av IKT-tjenester, via en leverandør eller gruppe av leverandører.
Som sådan bør eierskapet ligge hos den som er ansvarlig for å anskaffe, forvalte og fornye IKT leverandørforhold på tvers av alle forretningsfunksjoner, for eksempel en Chief Technical Officer or Leder for IT.
Med ISMS.online er utfordringer rundt versjonskontroll, policygodkjenning og policydeling en saga blott.
ISO fastsetter 13 IKT-relaterte veiledningspunkter som bør vurderes sammen alle andre kontroller som dikterer en organisasjons forhold til leverandøren(e).
Gitt utvidelsen av on-premise- og skytjenester på tvers av plattformer det siste tiåret, tar Control 5.21 for seg forsyningen av både maskinvare og programvare-relaterte komponenter og tjenester (både lokalt og skybasert), og skiller sjelden mellom de to.
I tillegg til forholdet mellom leverandøren og organisasjonen, omhandler flere kontroller også en leverandørs forpliktelser ved underleverandør av deler av forsyningskjeden til tredjepartsorganisasjoner.
Det er viktig å merke seg at styring av IKT-forsyningskjeden ikke bør tas isolert, i samsvar med denne kontrollen. Kontroll 5.21 er utformet for å utfylle eksisterende prosedyrer for forsyningskjedestyring, og tilby kontekst for IKT-spesifikke produkter og tjenester.
ISO erkjenner at, spesielt når det gjelder programvarekomponenter, omfatter ikke kvalitetskontroll innenfor sfæren av IKT-produkter og -tjenester til granulær inspeksjon av leverandørens eget sett med samsvarsprosedyrer.
Som sådan oppfordres organisasjoner til å identifisere leverandørspesifikke kontroller som verifiserer leverandøren som en «reputable source» og utkast til avtaler som kategorisk angir leverandørens informasjonssikkerhetsforpliktelser, ved oppfyllelse av en kontrakt, bestilling eller levering av en tjeneste.
ISO 27002:2022-5.21 erstatter ISO 27002:2013-15.1.3 (forsyningskjeden for informasjons- og kommunikasjonsteknologi).
ISO 27002:2022-5.21 følger det samme settet med generelle veiledningsregler som ISO 27002:2013-15.1.3, men legger langt større vekt på en leverandørs forpliktelse til å gi og verifisere komponentrelatert informasjon på leveringsstedet, inkludert:
ISO 27002:2022-5.21 ber også organisasjonen om å lage ytterligere komponentspesifikk informasjon for å øke generelle nivåer av informasjonssikkerhet ved introduksjon av produkter og tjenester, inkludert:
At ISMS.online, har vi bygget et omfattende og brukervennlig system som kan hjelpe deg med å implementere ISO 27002-kontroller og administrere hele ISMS.
Vår skybaserte plattform tilbyr:
ISMS.online har alle disse funksjonene, Og mer.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |