Ohjaus 5.21 – Tietoturvan hallinta ICT:n toimitusketjussa

ISO 27002:2022 tarkistettu valvonta

Varaa demo

moderni,arkkitehtuuri,pankki,rahoitus,toimisto,torni,rakennus

Valvonnan tarkoitus 5.21

Valvonta 5.21 ohjaa organisaatioiden toimintaa hallita tietoturvaa riskit koko tieto- ja viestintätekniikan toimitusketjussaan ottamalla käyttöön vankat prosessit ja menettelyt ennen tuotteiden tai palvelujen toimittamista.

5.21 on ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla ”sovitun turvallisuustason” molempien osapuolten välille koko ICT:n alueella toimitusketju.

Attribuuttien ohjaustaulukko 5.21

OhjausTietoturvaominaisuudetKyberturvallisuuden käsitteetToiminnalliset valmiudetTurvallisuus Domains
#Ennaltaehkäisevä#Luottamuksellisuus #Rehellisyys #Saatavuus#Tunnistaa#Toimittajasuhteiden turvallisuus#Hallinto ja ekosysteemi #suojelu

Määräysvallan omistus 5.21

Valvonta 5.21 keskittyy nimenomaan ICT-palvelujen tarjoamiseen toimittajan tai toimittajaryhmän kautta.

Sellaisenaan omistuksen tulisi olla henkilöllä, joka on vastuussa ICT:n hankinnasta, hallinnasta ja uusimisesta toimittajasuhteet kaikissa liiketoimintatoiminnoissa, kuten a tekninen johtaja or IT-johtaja.

Siirry aiheeseen
ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Dean Fields
IT-johtaja NHS:n ammattilaiset
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

Yleiset valvontaohjeet 5.21

ISO määrittelee 13 tieto- ja viestintätekniikkaan liittyvää ohjeistusta, jotka tulee ottaa huomioon rinnalla kaikki muut kontrollit, jotka määräävät organisaation suhteen sen tavarantoimittajiin.

Ottaen huomioon useiden alustojen välisten paikallisten ja pilvipalvelujen laajentumisen viimeisen vuosikymmenen aikana, Control 5.21 käsittelee molempien tarjonnan. laitteisto ja ohjelmistoliittyvät komponentit ja palvelut (sekä paikan päällä että pilvipohjaiset), ja harvoin tekee eron näiden kahden välillä.

Toimittajan ja organisaation välisen suhteen lisäksi useat kontrollit koskevat myös toimittajan velvollisuuksia alihankintana toimitusketjun osia ulkopuolisille organisaatioille.

  1. Organisaatioiden tulee laatia selkeä joukko tietoturva standardeja, jotka koskevat heidän yksilöllisiä tarpeitaan, asettaakseen selkeät odotukset siitä, kuinka toimittajien tulee käyttäytyä toimittaessaan ICT-tuotteita ja -palveluita.
  2. Jos ICT-toimittaja tekee alihankintana jonkin toimitusketjun osan, toimittajan tulee ryhtyä toimenpiteisiin varmistaakseen, että urakoitsijat ja heidän henkilöstönsä tuntevat täysin organisaation ainutlaatuiset tietoturvastandardit.
  3. Jos ilmenee tarve hankkia kolmannelta osapuolelta ostettuja komponentteja (fyysisiä tai virtuaalisia), toimittajan tulee levittää organisaation turvallisuusvaatimukset kaikille käyttämilleen myyjille tai toimittajille.
  4. Toimittajia tulee pyytää antamaan tietoja niiden ohjelmistokomponenttien luonteesta ja toiminnasta, joita he käyttävät palvelun toimittamiseen organisaatiolle.
  5. Organisaatioiden tulee tunnistaa minkä tahansa toimitetun tuotteen tai palvelun taustalla olevat tietoturvatoiminnot ja kuinka kyseistä tuotetta tai palvelua käytetään siten, että ei vaaranna tietoturvaa.
  6. Organisaatioiden ei tule pitää riskitasoja itsestäänselvyytenä ja laatia menettelyjä, joilla varmistetaan, että toimittajan tarjoamat tuotteet tai palvelut ovat luonteeltaan turvallisia ja hyväksyttyjen alan standardien mukaisia. Menetelmät voivat sisältää sertifiointitarkastuksia, sisäistä testausta ja vaatimustenmukaisuutta tukevaa dokumentaatiota.
  7. Tuotteen tai palvelun vastaanottamisen yhteydessä organisaatioiden tulee noudattaa prosessia, jossa ensin tunnistetaan ja kirjataan kaikki elementit, joiden katsotaan olevan olennaisia ​​ydintoimintojen ylläpitämisen kannalta – varsinkin jos komponentit ovat peräisin alihankkija-/ulkoistetusta sopimuksesta.
  8. Toimittajien tulisi pystyä antamaan konkreettisia takeita siitä, että "kriittiset osat" hyötyvät perusteellisesta tarkastuksesta tarkastusloki joka jäljittää niiden liikkumista koko ICT-toimitusketjussa luomisesta toimitukseen.
  9. Kun ICT-tuotteita ja -palveluita toimitetaan, organisaatioiden tulee saada kategorinen varmuus siitä, että mainitut tuotteet ja palvelut eivät vain toimi laajuudeltaan, eivätkä ne sisällä lisäominaisuuksia, jotka voisivat olla vakuudeksi. turvallisuusriski.
  10. Komponenttien määritykset ovat avainasemassa sen varmistamiseksi, että organisaatio ymmärtää verkkoonsa tuomat laitteisto- ja ohjelmistokomponentit. Toimittajien tulee harkita väärentämisen estäviä toimenpiteitä koko kehitystyön elinkaaren ajan, ja organisaatioiden tulee vaatia ehtoja, jotka varmistavat komponenttien olevan laillisia toimituksen yhteydessä.
  11. On pyrittävä varmistamaan, että ICT-tuotteet ovat alan standardien ja/tai alakohtaisten vaatimusten mukaisia. turvallisuusvaatimukset, kunkin tuotteen osalta. Yleisiä menetelmiä tämän saavuttamiseksi ovat muodollisen turvallisuussertifikaatin vähimmäistason saavuttaminen tai kansainvälisesti tunnustettujen tietostandardien (kuten Common Criteria Recognition Arrangement) noudattaminen tuotekohtaisesti.
  12. Organisaatioiden tulee ryhtyä toimiin sen varmistamiseksi toimittajat ovat tietoisia velvollisuuksistaan ​​jakaessaan tietoja ja/tai tietoja, jotka koskevat keskinäistä toimitusketjun toimintaa, mukaan lukien mahdollisten ristiriitojen tai ongelmien tunnustaminen, joita voi syntyä molempien osapuolten välillä, ja miten niitä käsitellään niiden lähteellä.
  13. Organisaatioiden on laadittava menettelyt, jotka hallitsevat riskejä käytettäessä käytettävissä olevia, tuemattomia tai vanhoja komponentteja riippumatta siitä, missä ne sijaitsevat. Jos komponentit ovat kuuluneet johonkin näistä luokista, organisaatioiden pitäisi pystyä mukautumaan vastaavasti ja tunnistamaan vaihtoehtoja.

Hanki Headstart
ISO 27002:lla

Ainoa noudattaminen
tarvitsemasi ratkaisu
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

Täydentävä opas

On tärkeää huomata, että ICT-toimitusketjun hallintaa ei tule tarkastella erillään tämän valvonnan mukaisesti. Control 5.21 on suunniteltu täydentämään olemassa olevia toimitusketjun hallintamenetelmiä ja tarjoamaan kontekstia ICT-spesifisille tuotteille ja palveluille.

ISO myöntää, että varsinkin ohjelmistokomponenttien osalta ICT-tuotteiden ja -palveluiden laadunvalvonta ei ulotu toimittajan omien vaatimustenmukaisuusmenettelyjen tarkkuuteen.

Sellaisenaan organisaatioita kannustetaan tunnistamaan toimittajakohtaisia ​​tarkastuksia, joilla varmistetaan toimittajan ”hyvämaineinen lähde” sekä sopimusluonnokset, joissa toimittajan tietoturvavelvoitteet todetaan kategorisesti sopimusta, tilausta tai palvelua suoritettaessa.

Ohjaus 5.21 Muutoksia standardista ISO 27002:2013

ISO 27002:2022-5.21 korvaa standardin ISO 27002:2013-15.1.3 (Tieto- ja viestintätekniikan toimitusketju).

ISO 27002:2022-5.21 noudattaa samoja yleisiä ohjesääntöjä kuin ISO 27002:2013-15.1.3, mutta se korostaa paljon enemmän toimittajan velvollisuutta toimittaa ja tarkistaa komponentteihin liittyvät tiedot toimituspaikassa, mukaan lukien:

  • ICT-toimittajat, jotka tarjoavat komponenttitietoja.
  • ICT-toimittajat hahmottelevat tuotteen turvallisuustoiminnot ja kuinka sitä parhaiten käytetään turvallisuusnäkökulmasta.
  • Takuut vaadituista turvatasoista.

ISO 27002:2022-5.21 pyytää organisaatiota myös luomaan komponenttikohtaisia ​​lisätietoja yleisen tietoturvatason nostamiseksi, kun tuotteita ja palveluita esitellään, mukaan lukien:

  • Tunnistaa ja dokumentoida komponentit, jotka ovat ratkaisevan tärkeitä tuotteen tai palvelun ydintoiminnalle.
  • Varmista, että komponentit ovat aitoja ja muuttumattomia.

Miten ISMS.online auttaa

At ISMS.online, olemme rakentaneet kattavan ja helppokäyttöisen järjestelmän, jonka avulla voit ottaa käyttöön ISO 27002 -säätimiä ja hallita koko ISMS-järjestelmääsi.

Pilvipohjainen alustamme tarjoaa:

  • Helppokäyttöinen ja mukautettava dokumentaationhallintajärjestelmä.
  • Pääsy kiillotettujen, valmiiksi kirjoitettujen dokumentaatiomallien kirjastoon.
  • Yksinkertaistettu prosessi sisäisten tarkastusten suorittamiseen.
  • Tehokas tapa kommunikoida johdon ja sidosryhmien kanssa.
  • Työnkulkumoduuli, joka virtaviivaistaa toteutusprosessia.

ISMS.online sisältää kaikki nämä ominaisuudet, Ja enemmän.

Ota yhteyttä jo tänään varaa esittely.

Oletko valmis
uusi ISO 27002

Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.7UusiUhan älykkyys
5.23UusiTietoturva pilvipalvelujen käyttöön
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
7.4UusiFyysisen turvallisuuden valvonta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.16UusiToimien seuranta
8.23UusiWeb-suodatus
8.28UusiTurvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.105.1.1, 05.1.2Tietoturvakäytännöt
5.206.1.1Tietoturvaroolit ja -vastuut
5.306.1.2Tehtävien eriyttäminen
5.407.2.1Johdon vastuut
5.506.1.3Yhteys viranomaisiin
5.606.1.4Ota yhteyttä erityisiin eturyhmiin
5.7UusiUhan älykkyys
5.806.1.5, 14.1.1Tietoturva projektinhallinnassa
5.908.1.1, 08.1.2Tietojen ja muiden niihin liittyvien varojen luettelo
5.1008.1.3, 08.2.3Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.1108.1.4Omaisuuden palautus
5.12 08.2.1Tietojen luokitus
5.1308.2.2Tietojen merkitseminen
5.1413.2.1, 13.2.2, 13.2.3Tietojen siirto
5.1509.1.1, 09.1.2Kulunvalvonta
5.1609.2.1Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3Todennustiedot
5.1809.2.2, 09.2.5, 09.2.6Käyttöoikeudet
5.1915.1.1Tietoturva toimittajasuhteissa
5.2015.1.2Tietoturvan huomioiminen toimittajasopimuksissa
5.2115.1.3Tietoturvan hallinta ICT-toimitusketjussa
5.2215.2.1, 15.2.2Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23UusiTietoturva pilvipalvelujen käyttöön
5.2416.1.1Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.2516.1.4Tietoturvatapahtumien arviointi ja päätös
5.2616.1.5Tietoturvahäiriöihin reagointi
5.2716.1.6Tietoturvahäiriöistä oppiminen
5.2816.1.7Todisteiden kerääminen
5.2917.1.1, 17.1.2, 17.1.3Tietoturva häiriön aikana
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
5.3118.1.1, 18.1.5Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.3218.1.2Immateriaalioikeudet
5.3318.1.3Tietueiden suojaus
5.3418.1.4Yksityisyys ja henkilötietojen suoja
5.3518.2.1Riippumaton tietoturvatarkastus
5.3618.2.2, 18.2.3Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.3712.1.1Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
6.107.1.1Seulonta
6.207.1.2Työsuhteen ehdot
6.307.2.2Tietoturvatietoisuus, koulutus ja koulutus
6.407.2.3Kurinpitoprosessi
6.507.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.613.2.4Luottamuksellisuus- tai salassapitosopimukset
6.706.2.2Etätyö
6.816.1.2, 16.1.3Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
7.111.1.1Fyysisen turvallisuuden rajat
7.211.1.2, 11.1.6Fyysinen sisääntulo
7.311.1.3Toimistojen, huoneiden ja tilojen turvaaminen
7.4UusiFyysisen turvallisuuden valvonta
7.511.1.4Suojautuminen fyysisiltä ja ympäristöuhkilta
7.611.1.5Työskentely turvallisilla alueilla
7.711.2.9Selkeä pöytä ja selkeä näyttö
7.811.2.1Laitteiden sijoitus ja suojaus
7.911.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Tallennusvälineet
7.1111.2.2Apuohjelmia tukevat
7.1211.2.3Kaapeloinnin turvallisuus
7.1311.2.4Laitehuolto
7.1411.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
8.106.2.1, 11.2.8Käyttäjän päätelaitteet
8.209.2.3Etuoikeutetut käyttöoikeudet
8.309.4.1Tiedon pääsyn rajoitus
8.409.4.5Pääsy lähdekoodiin
8.509.4.2Turvallinen todennus
8.612.1.3Kapasiteetin hallinta
8.712.2.1Suojaus haittaohjelmia vastaan
8.812.6.1, 18.2.3Teknisten haavoittuvuuksien hallinta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.1312.3.1Tietojen varmuuskopiointi
8.1417.2.1Tietojenkäsittelylaitteiden redundanssi
8.1512.4.1, 12.4.2, 12.4.3Hakkuu
8.16UusiToimien seuranta
8.1712.4.4Kellon synkronointi
8.1809.4.4Etuoikeutettujen apuohjelmien käyttö
8.1912.5.1, 12.6.2Ohjelmistojen asennus käyttöjärjestelmiin
8.2013.1.1Verkkojen turvallisuus
8.2113.1.2Verkkopalvelujen turvallisuus
8.2213.1.3Verkkojen erottelu
8.23UusiWeb-suodatus
8.2410.1.1, 10.1.2Salaustekniikan käyttö
8.2514.2.1Turvallinen kehityksen elinkaari
8.2614.1.2, 14.1.3Sovelluksen suojausvaatimukset
8.2714.2.5Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28UusiTurvallinen koodaus
8.2914.2.8, 14.2.9Tietoturvatestausta kehitetään ja hyväksytään
8.3014.2.7Ulkoistettu kehitys
8.3112.1.4, 14.2.6Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Muutoksen hallinta
8.3314.3.1Testitiedot
8.3412.7.1Tietojärjestelmien suojaus auditointitestauksen aikana

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja