Hyppää sisältöön
Työskentele fiksummin uuden parannetun navigointimme avulla!
Katso, miten IO helpottaa vaatimustenmukaisuutta. Lue blogi
ISMS.online

ISO 27002:2022 – Valvonta 5.21 – Tietoturvan hallinta ICT:n toimitusketjussa

ISO 27002:2022 Control 5.21 keskittyy tietoturvariskien hallintaan ICT-toimitusketjussa varmistamalla, että toimittajat noudattavat sovittuja turvallisuusstandardeja, jotka kattavat sekä laitteisto- että ohjelmistokomponentit, mukaan lukien pilvipohjaiset ratkaisut. Se korostaa selkeitä odotuksia, toimittajavastuuta ja riskienhallintaa koko toimitusketjussa.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

Valvonnan tarkoitus 5.21

Valvonta 5.21 ohjaa organisaatioiden toimintaa hallita tietoturvaa riskit koko tieto- ja viestintätekniikan toimitusketjussaan ottamalla käyttöön vankat prosessit ja menettelyt ennen tuotteiden tai palvelujen toimittamista.

5.21 on ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla ”sovitun turvallisuustason” molempien osapuolten välille koko ICT:n alueella toimitusketju.

Attribuuttien ohjaustaulukko 5.21

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Tunnistaa #Toimittajasuhteiden turvallisuus #Hallinto ja ekosysteemi
#Integrity #Suojaus
#Saatavuus

Määräysvallan omistus 5.21

Valvonta 5.21 keskittyy nimenomaan ICT-palvelujen tarjoamiseen toimittajan tai toimittajaryhmän kautta.

Sellaisenaan omistuksen tulisi olla henkilöllä, joka on vastuussa ICT:n hankinnasta, hallinnasta ja uusimisesta toimittajasuhteet kaikissa liiketoimintatoiminnoissa, kuten a tekninen johtaja or IT-johtaja.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Yleiset valvontaohjeet 5.21

ISO määrittelee 13 tieto- ja viestintätekniikkaan liittyvää ohjeistusta, jotka tulee ottaa huomioon rinnalla kaikki muut kontrollit, jotka määräävät organisaation suhteen sen tavarantoimittajiin.

Ottaen huomioon useiden alustojen välisten paikallisten ja pilvipalvelujen laajentumisen viimeisen vuosikymmenen aikana, Control 5.21 käsittelee molempien tarjonnan. laitteisto ja ohjelmistoliittyvät komponentit ja palvelut (sekä paikan päällä että pilvipohjaiset), ja harvoin tekee eron näiden kahden välillä.

Toimittajan ja organisaation välisen suhteen lisäksi useat kontrollit koskevat myös toimittajan velvollisuuksia alihankintana toimitusketjun osia ulkopuolisille organisaatioille.

  1. Organisaatioiden tulee laatia selkeä joukko tietoturva standardeja, jotka koskevat heidän yksilöllisiä tarpeitaan, asettaakseen selkeät odotukset siitä, kuinka toimittajien tulee käyttäytyä toimittaessaan ICT-tuotteita ja -palveluita.
  2. Jos ICT-toimittaja tekee alihankintana jonkin toimitusketjun osan, toimittajan tulee ryhtyä toimenpiteisiin varmistaakseen, että urakoitsijat ja heidän henkilöstönsä tuntevat täysin organisaation ainutlaatuiset tietoturvastandardit.
  3. Jos ilmenee tarve hankkia kolmannelta osapuolelta ostettuja komponentteja (fyysisiä tai virtuaalisia), toimittajan tulee levittää organisaation turvallisuusvaatimukset kaikille käyttämilleen myyjille tai toimittajille.
  4. Toimittajia tulee pyytää antamaan tietoja niiden ohjelmistokomponenttien luonteesta ja toiminnasta, joita he käyttävät palvelun toimittamiseen organisaatiolle.
  5. Organisaatioiden tulee tunnistaa minkä tahansa toimitetun tuotteen tai palvelun taustalla olevat tietoturvatoiminnot ja kuinka kyseistä tuotetta tai palvelua käytetään siten, että ei vaaranna tietoturvaa.
  6. Organisaatioiden ei tule pitää riskitasoja itsestäänselvyytenä ja laatia menettelyjä, joilla varmistetaan, että toimittajan tarjoamat tuotteet tai palvelut ovat luonteeltaan turvallisia ja hyväksyttyjen alan standardien mukaisia. Menetelmät voivat sisältää sertifiointitarkastuksia, sisäistä testausta ja vaatimustenmukaisuutta tukevaa dokumentaatiota.
  7. Tuotteen tai palvelun vastaanottamisen yhteydessä organisaatioiden tulee noudattaa prosessia, jossa ensin tunnistetaan ja kirjataan kaikki elementit, joiden katsotaan olevan olennaisia ​​ydintoimintojen ylläpitämisen kannalta – varsinkin jos komponentit ovat peräisin alihankkija-/ulkoistetusta sopimuksesta.
  8. Toimittajien tulisi pystyä antamaan konkreettisia takeita siitä, että "kriittiset osat" hyötyvät perusteellisesta tarkastuksesta tarkastusloki joka jäljittää niiden liikkumista koko ICT-toimitusketjussa luomisesta toimitukseen.
  9. Kun ICT-tuotteita ja -palveluita toimitetaan, organisaatioiden tulee saada kategorinen varmuus siitä, että mainitut tuotteet ja palvelut eivät vain toimi laajuudeltaan, eivätkä ne sisällä lisäominaisuuksia, jotka voisivat olla vakuudeksi. turvallisuusriski.
  10. Komponenttien määritykset ovat avainasemassa sen varmistamiseksi, että organisaatio ymmärtää verkkoonsa tuomat laitteisto- ja ohjelmistokomponentit. Toimittajien tulee harkita väärentämisen estäviä toimenpiteitä koko kehitystyön elinkaaren ajan, ja organisaatioiden tulee vaatia ehtoja, jotka varmistavat komponenttien olevan laillisia toimituksen yhteydessä.
  11. On pyrittävä varmistamaan, että ICT-tuotteet ovat alan standardien ja/tai alakohtaisten vaatimusten mukaisia. turvallisuusvaatimukset, kunkin tuotteen osalta. Yleisiä menetelmiä tämän saavuttamiseksi ovat muodollisen turvallisuussertifikaatin vähimmäistason saavuttaminen tai kansainvälisesti tunnustettujen tietostandardien (kuten Common Criteria Recognition Arrangement) noudattaminen tuotekohtaisesti.
  12. Organisaatioiden tulee ryhtyä toimiin sen varmistamiseksi toimittajat ovat tietoisia velvollisuuksistaan ​​jakaessaan tietoja ja/tai tietoja, jotka koskevat keskinäistä toimitusketjun toimintaa, mukaan lukien mahdollisten ristiriitojen tai ongelmien tunnustaminen, joita voi syntyä molempien osapuolten välillä, ja miten niitä käsitellään niiden lähteellä.
  13. Organisaatioiden on laadittava menettelyt, jotka hallitsevat riskejä käytettäessä käytettävissä olevia, tuemattomia tai vanhoja komponentteja riippumatta siitä, missä ne sijaitsevat. Jos komponentit ovat kuuluneet johonkin näistä luokista, organisaatioiden pitäisi pystyä mukautumaan vastaavasti ja tunnistamaan vaihtoehtoja.


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Täydentävä opas

On tärkeää huomata, että ICT-toimitusketjun hallintaa ei tule tarkastella erillään tämän valvonnan mukaisesti. Control 5.21 on suunniteltu täydentämään olemassa olevia toimitusketjun hallintamenetelmiä ja tarjoamaan kontekstia ICT-spesifisille tuotteille ja palveluille.

ISO myöntää, että varsinkin ohjelmistokomponenttien osalta ICT-tuotteiden ja -palveluiden laadunvalvonta ei ulotu toimittajan omien vaatimustenmukaisuusmenettelyjen tarkkuuteen.

Sellaisenaan organisaatioita kannustetaan tunnistamaan toimittajakohtaisia ​​tarkastuksia, joilla varmistetaan toimittajan ”hyvämaineinen lähde” sekä sopimusluonnokset, joissa toimittajan tietoturvavelvoitteet todetaan kategorisesti sopimusta, tilausta tai palvelua suoritettaessa.

Ohjaus 5.21 Muutoksia standardista ISO 27002:2013

ISO 27002:2022-5.21 korvaa standardin ISO 27002:2013-15.1.3 (Tieto- ja viestintätekniikan toimitusketju).

ISO 27002:2022-5.21 noudattaa samoja yleisiä ohjesääntöjä kuin ISO 27002:2013-15.1.3, mutta se korostaa paljon enemmän toimittajan velvollisuutta toimittaa ja tarkistaa komponentteihin liittyvät tiedot toimituspaikassa, mukaan lukien:

  • ICT-toimittajat, jotka tarjoavat komponenttitietoja.
  • ICT-toimittajat hahmottelevat tuotteen turvallisuustoiminnot ja kuinka sitä parhaiten käytetään turvallisuusnäkökulmasta.
  • Takuut vaadituista turvatasoista.

ISO 27002:2022-5.21 pyytää organisaatiota myös luomaan komponenttikohtaisia ​​lisätietoja yleisen tietoturvatason nostamiseksi, kun tuotteita ja palveluita esitellään, mukaan lukien:

  • Tunnistaa ja dokumentoida komponentit, jotka ovat ratkaisevan tärkeitä tuotteen tai palvelun ydintoiminnalle.
  • Varmista, että komponentit ovat aitoja ja muuttumattomia.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

At ISMS.online, olemme rakentaneet kattavan ja helppokäyttöisen järjestelmän, jonka avulla voit ottaa käyttöön ISO 27002 -säätimiä ja hallita koko ISMS-järjestelmääsi.

Pilvipohjainen alustamme tarjoaa:

  • Helppokäyttöinen ja mukautettava dokumentaationhallintajärjestelmä.
  • Pääsy kiillotettujen, valmiiksi kirjoitettujen dokumentaatiomallien kirjastoon.
  • Yksinkertaistettu prosessi sisäisten tarkastusten suorittamiseen.
  • Tehokas tapa kommunikoida johdon ja sidosryhmien kanssa.
  • Työnkulkumoduuli, joka virtaviivaistaa toteutusprosessia.

ISMS.online sisältää kaikki nämä ominaisuudet, Ja enemmän.

Ota yhteyttä jo tänään varaa esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.