ISO 27001:2022 liite A 5.21 – Tietoturvan hallinta ICT:n toimitusketjussa

Mikä on ISO 27001:2022 liitteen A 5.21 tarkoitus?

Liitteen A Valvonta 5.21:ssä organisaatioiden on otettava käyttöön vankat prosessit ja menettelyt ennen tuotteiden tai palvelujen toimittamista hallita tietoturvariskejä.

Liitteen A valvonta 5.21 on ennaltaehkäisevä valvonta, joka ylläpitää riskiä tieto- ja viestintätekniikan toimitusketjussa luomalla "sovitun turvallisuustason" osapuolten välille.

ISO 5.21:n liite A 27001 on suunnattu ICT-toimittajille, jotka saattavat tarvita jotain standardilähestymistavan lisäksi tai sen sijaan. Vaikka ISO 27001 suosittelee lukuisia toteutusalueita, tarvitaan myös pragmaattisuutta. Kun otetaan huomioon organisaation koko verrattuna joihinkin erittäin suuriin yrityksiin, joiden kanssa se ajoittain työskentelee (esim. datakeskukset, isännöintipalvelut, pankit jne.), sillä saattaa olla kykyä vaikuttaa toimitusketjun alempana oleviin käytäntöihin.

Riippuen tarjottavista tieto- ja viestintätekniikan palveluista, organisaation tulee arvioida huolellisesti mahdollisia riskejä. Esimerkiksi infrastruktuurikriittisen palveluntarjoajan tapauksessa on tärkeää varmistaa parempi suoja kuin jos palveluntarjoajalla on pääsy vain julkisesti saatavilla oleviin tietoihin (esim. lähdekoodi lippulaivaohjelmistopalvelulle), jos toimittaja tarjoaa infrastruktuurikriittisiä palveluita.

Liitteen A määräysvallan omistus 5.21

Liitteen A Valvonta 5.21 painopiste on toimittajan tai toimittajaryhmän tarjoamissa tieto- ja viestintäteknologiapalveluissa.

Siksi henkilö, joka on vastuussa ICT-toimittajasuhteiden hankinnasta, hallinnasta ja uusimisesta kaikissa liiketoimintatoiminnoissa, kuten Tekninen johtaja tai tietotekniikan johtaja, pitäisi omistaa tämä prosessi.

ISO 27001:2022 Liite A 5.21 – Yleiset ohjeet

- ISO 27001 -standardi Siinä määritellään 13 tieto- ja viestintätekniikkaan liittyvää ohjeistusta, jotka tulee ottaa huomioon muiden liitteen A valvontatoimien ohella, jotka ohjaavat organisaation suhdetta tavarantoimittajiinsa.

Viimeisen vuosikymmenen aikana monialustaisista paikallisista ja pilvipalveluista on tullut yhä suositumpia. ISO 27001:2022 Liite A Ohjaus 5.21 käsittelee laitteistoon ja ohjelmistoon liittyvien komponenttien ja palvelujen (sekä paikan päällä että pilvipohjaisten) tarjontaa, mutta harvoin erottaa nämä kaksi toisistaan.

Useat liitteen A valvontatoimenpiteet koskevat toimittajan ja organisaation välistä suhdetta ja toimittajan velvoitteita alihankintana toimitusketjun osia kolmansille osapuolille.

1. Organisaatioiden tulee laatia kattava kokonaisuus tietoturva standardit, jotka on räätälöity heidän erityistarpeisiinsa, jotta voidaan asettaa selkeät odotukset siitä, kuinka toimittajien tulee toimia ICT-tuotteita ja -palveluja tarjoaessaan.
2. ICT-toimittajat ovat vastuussa siitä, että urakoitsijat ja heidän henkilöstönsä tuntevat täysin organisaation ainutlaatuiset tietoturvastandardit. Tämä pätee, jos he tekevät alihankintana jonkin toimitusketjun osan.
3. Toimittajan on ilmoitettava organisaation turvallisuusvaatimukset käyttämilleen myyjille tai toimittajille, kun ilmenee tarve hankkia komponentteja (fyysisiä tai virtuaalisia) kolmansilta osapuolilta.
4. Organisaation tulee pyytää toimittajilta tietoja ohjelmistokomponenttien luonteesta ja toiminnasta.
5. Organisaation tulee tunnistaa ja käyttää mikä tahansa tarjottu tuote tai palvelu tavalla, joka ei vaaranna tietoturvaa.
6. Organisaatiot eivät saa pitää riskitasoja itsestäänselvyytenä. Sen sijaan organisaatioiden tulee laatia menettelyt, joilla varmistetaan, että tavarantoimittajien toimittamat tuotteet tai palvelut ovat turvallisia ja alan standardien mukaisia. Vaatimustenmukaisuuden varmistamiseksi voidaan käyttää useita menetelmiä, mukaan lukien sertifiointitarkastukset, sisäinen testaus ja tukiasiakirjat.
7. Osana tuotteen tai palvelun vastaanottamista organisaatioiden tulee tunnistaa ja tallentaa kaikki ydintoimintojen ylläpitämisen kannalta välttämättömiksi katsotut elementit – varsinkin jos komponentit ovat peräisin alihankkijoilta tai ulkoistetuista sopimuksista.
8. Toimittajilla tulee olla konkreettiset takeet siitä, että "kriittisiä komponentteja" seurataan koko ICT-toimitusketjussa luomisesta toimitukseen. osa tarkastuslokia.
9. Organisaatioiden tulee hankkia kategorinen varmuus ennen ICT-tuotteiden ja -palvelujen toimittamista. Tällä varmistetaan, että ne toimivat soveltamisalan puitteissa eivätkä sisällä lisäominaisuuksia, jotka voivat aiheuttaa vakuusturvariskin.
10. Komponenttien tekniset tiedot ovat ratkaisevan tärkeitä sen varmistamiseksi, että organisaatio ymmärtää laitteisto- ja ohjelmistokomponentit, joita se tuo verkkoonsa. Organisaatioiden tulee vaatia ehtoja, jotka vahvistavat, että komponentit ovat laillisia toimituksen yhteydessä, ja toimittajien tulisi harkita väärentämisen estäviä toimenpiteitä koko kehityksen elinkaaren ajan.
11. Tärkeää on saada takeet ICT-tuotteiden vaatimustenmukaisuudesta toimialastandardien ja toimialakohtaisten turvallisuusvaatimusten kanssa tuotekohtaisten vaatimusten mukaisesti. On tavallista, että yritykset saavuttavat tämän hankkimalla muodollisen turvallisuussertifikaatin tai noudattamalla kansainvälisesti tunnustettuja tietostandardeja (esimerkiksi Common Criteria Recognition Arrangement).
12. Toimitusketjun keskinäistä toimintaa koskevien tietojen jakaminen edellyttää organisaatioilta, että toimittajat tietävät velvollisuutensa. Tässä suhteessa organisaatioiden tulee tiedostaa mahdolliset konfliktit tai ongelmat osapuolten välillä. Heidän tulee myös tietää, miten ne ratkaistaan ​​prosessin alussa. Prosessin ikä.
13. Organisaation tulee kehittää menettelytapoja hallita riskiä käytettäessä tukemattomia, tuemattomia tai vanhoja komponentteja, riippumatta siitä, missä ne sijaitsevat. Näissä tilanteissa organisaation tulee kyetä sopeutumaan ja tunnistamaan vaihtoehtoja vastaavasti.

Liite A 5.21 Täydentävät ohjeet

Liitteen A Valvonta 5.21 mukaan tieto- ja viestintätekniikan toimitusketjun hallintaa tulisi harkita yhteistyössä. Sen on tarkoitus täydentää olemassa olevia toimitusketjun hallinta menettelyt ja tarjota konteksti ICT-spesifisille tuotteille ja palveluille.

ISO 27001:2022 -standardi tunnustaa, että ICT-sektorin laadunvalvonta ei sisällä toimittajan vaatimustenmukaisuuden tarkastuksia, erityisesti ohjelmistokomponenttien osalta.

Siksi on suositeltavaa, että organisaatiot tunnistavat toimittajakohtaiset tarkistukset, joilla varmistetaan, että toimittaja on "hyvämaineinen lähde", ja että ne laativat sopimuksia, joissa kerrotaan yksityiskohtaisesti toimittajan vastuut tietoturvasta sopimusta, tilausta tai palvelua tarjottaessa. .

Mitkä ovat muutokset ISO 27001:2013:sta?

ISO 27001:2022 Liite A Control 5.21 korvaa ISO 27001:2013 Liitteen A Control 15.1.3 (Tieto- ja viestintätekniikan toimitusketju).

Sen lisäksi, että noudatetaan samoja yleisiä ohjeita kuin standardin ISO 27001:2013 liite A 15.1.3, ISO 27001:2022 liitteessä A 5.21 painotetaan suuresti toimittajan velvollisuutta toimittaa ja tarkistaa komponentteihin liittyvät tiedot toimitushetkellä. tarjonta, mukaan lukien:

• Tietotekniikan komponenttien toimittajat.
• Anna yleiskatsaus tuotteen suojausominaisuuksista ja sen käytöstä tietoturvanäkökulmasta.
• Vakuutukset vaaditusta turvallisuustasosta.

ISO 27001:2022 liitteen A 5.21 mukaan organisaation on myös luotava komponenttikohtaisia ​​lisätietoa esitellessään tuotteita ja palveluita, kuten:

• Tuotteen tai palvelun avainkomponenttien tunnistaminen ja dokumentointi, jotka edistävät sen ydintoimintoja.
• Komponenttien aitouden ja eheyden varmistaminen.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

Mitä hyötyä ISMS.onlinesta on toimittajasuhteissa?

ISMS.online on tehnyt tämän liitteen A ohjaustavoitteen erittäin helpoksi. Tämä johtuu siitä, että ISMS.online tarjoaa todisteita siitä, että suhteesi on valittu huolellisesti, hyvin hoidettu ja valvottu ja tarkistettu.

Tämä tehdään helppokäyttöisellä Accounts-suhteemme (esim. toimittaja) alueella. Yhteistyöprojektien työtilojen avulla tarkastaja näkee helposti avaintoimittajan koneeseen nousemisesta, yhteisistä aloitteista, offboardista jne.

Lisäksi ISMS.online on helpottanut organisaatiosi tämän liitteen A valvontatavoitteen saavuttamista antamalla sinulle todisteita siitä, että toimittaja on virallisesti sitoutunut noudattamaan vaatimuksia ja ymmärtänyt toimittajan vastuut tietoturvan suhteen käytäntöpakettiemme kanssa.

Asiakkaan ja toimittajan välisten laajempien sopimusten lisäksi Käytäntöpaketit ovat ihanteellisia organisaatioille, joilla on erityisiä käytäntöjä ja liitteen A valvontatoimia, joita he haluavat toimittajien henkilöstön noudattavan ja varmistavat, että he ovat lukeneet käytäntönsä ja sitoutuneet noudattamaan niitä.

Tarjoamamme pilvipohjainen alusta tarjoaa lisäksi seuraavat ominaisuudet

• Helppokäyttöinen ja mukautettavissa oleva dokumentinhallintajärjestelmä.
• Saat käyttöösi kirjaston hiottuja, valmiiksi kirjoitettuja dokumentaatiomalleja.
• Sisäisten tarkastusten suorittamisprosessia on yksinkertaistettu.
• Menetelmä kommunikoida johdon ja sidosryhmien kanssa, joka on tehokas.
• Käyttöönottoprosessin helpottamiseksi tarjotaan työnkulkumoduuli.

Älä epäröi varata esittelyn ota meihin yhteyttä tänään.