Beheer 5.21 – Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

modern, argitektuur, bank, finansieel, kantoor, toring, gebou

Doel van beheer 5.21

Beheer 5.21 beheer hoe organisasies inligtingsekuriteit te bestuur risiko's regdeur hul IKT-voorsieningsketting, deur robuuste prosesse en prosedures te implementeer voor die verskaffing van enige produkte of dienste.

5.21 is 'n voorkomende beheer Wat risiko handhaaf deur 'n "ooreengekome vlak van sekuriteit" tussen beide partye regdeur die IKT te vestig ketting.

Eienskappe Tabel van beheer 5.21

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid #Integriteit #Beskikbaarheid#Identifiseer#Verskaffersverhoudingsekuriteit#Beheer en ekosisteem #Beskerming

Eienaarskap van beheer 5.21

Beheer 5.21 is uitdruklik gefokus op die verskaffing van IKT-dienste, via 'n verskaffer of groep verskaffers.

As sodanig behoort eienaarskap by die persoon te berus wat verantwoordelik is vir die verkryging, bestuur en hernuwing van IKT verskaffer verhoudings oor alle besigheidsfunksies, soos a Hoof Tegniese Beampte or Hoof van IT.

Spring na Onderwerp
Met ISMS.online is uitdagings rondom weergawebeheer, beleidsgoedkeuring en beleiddeel iets van die verlede.
Dean Fields
IT Direkteur NHS Professionals
100% van ons gebruikers slaag die eerste keer sertifisering
Bespreek jou demo

Algemene riglyne oor beheer 5.21

ISO stipuleer 13 IKT-verwante riglyne wat oorweeg moet word saam enige ander beheermaatreëls wat 'n organisasie se verhouding met sy verskaffer(s) dikteer.

Gegewe die uitbreiding van kruisplatform-op-perseel- en wolkdienste oor die afgelope dekade, handel Control 5.21 oor die verskaffing van beide hardeware en sagteware-verwante komponente en dienste (beide op die perseel en wolk-gebaseerde), en tref selde 'n onderskeid tussen die twee.

Sowel as die verhouding tussen die verskaffer en die organisasie, handel verskeie kontroles ook oor 'n verskaffer se verpligtinge wanneer elemente van die voorsieningsketting aan derdeparty-organisasies subkontrakteer word.

  1. Organisasies moet 'n duidelike stel van inligting-sekuriteit standaarde wat op hul individuele behoeftes van toepassing is, om duidelike verwagtinge te stel oor hoe verskaffers hulself moet optree wanneer hulle IKT-produkte en -dienste lewer.
  2. Indien die IKT-verskaffer enige element van die voorsieningsketting subkontrakteer, moet die verskaffer maatreëls tref om te verseker dat kontrakteurs en hul personeel ten volle vertroud is met die organisasie se unieke inligtingsekuriteitstandaarde.
  3. Indien die behoefte ontstaan ​​om komponente (fisies of virtueel) wat van 'n derde party gekoop is te bekom, moet die verskaffer die organisasie se sekuriteitsvereistes aan enige verskaffers of verskaffers wat hulle self gebruik, versprei.
  4. Verskaffers moet gevra word om inligting te verskaf oor die aard en funksie van die sagtewarekomponente wat hulle gebruik om 'n diens aan die organisasie te lewer.
  5. Organisasies moet die onderliggende sekuriteitsfunksies van enige produk of diens wat gelewer word identifiseer, en hoe om die produk of diens te bedryf op 'n manier wat kompromitteer nie inligtingsekuriteit nie.
  6. Organisasies moet nie risikovlakke as vanselfsprekend aanvaar nie, en konsepprosedures wat verseker dat enige produkte of dienste wat 'n verskaffer lewer van 'n veilige aard is en aan aanvaarde industriestandaarde voldoen. Metodes kan sertifiseringskontroles, interne toetsing en ondersteunende voldoeningsdokumentasie insluit.
  7. Wanneer organisasies 'n produk of diens ontvang, moet organisasies voldoen aan 'n proses om eers enige elemente te identifiseer wat geag word noodsaaklik te wees vir die handhawing van kernfunksionaliteit - veral as daardie komponente van 'n subkontrakteur/uitgekontrakteerde ooreenkoms ontstaan ​​het.
  8. Verskaffers moet in staat wees om konkrete versekering te gee dat "kritieke komponente" voordeel trek uit 'n deeglike ouditlogboek wat hul beweging dwarsdeur die IKT-voorsieningsketting naspeur, van skepping tot aflewering.
  9. Aangesien IKT-produkte en -dienste gelewer word, moet organisasies kategoriese versekering soek dat genoemde produkte en dienste nie net binne omvang funksioneer nie, maar geen bykomende kenmerke bevat wat 'n kollateraal kan bied nie. veiligheidsrisiko.
  10. Komponentspesifikasies is die sleutel om te verseker dat 'n organisasie die hardeware- en sagtewarekomponente verstaan ​​wat hy op sy netwerk bekendstel. Verskaffers moet teen-peutermaatreëls regdeur die ontwikkelingslewensiklus oorweeg, en organisasies moet bepalings vereis wat komponente as wettig by aflewering verifieer.
  11. Versekering moet gesoek word om te bevestig dat IKT-produkte in lyn is met industriestandaard en/of sektorspesifiek sekuriteitsvereistes, soos relevant vir elke produk. Algemene metodes om dit te bereik, sluit in die bereiking van 'n minimum vlak van formele sekuriteitsertifisering, of die nakoming van 'n stel internasionaal erkende inligtingstandaarde (soos die Common Criteria Recognition Arrangement) per produk.
  12. Organisasies moet stappe doen om dit te verseker verskaffers bewus is van hul verpligtinge wanneer inligting en/of data met betrekking tot die wedersydse voorsieningskettingwerking gedeel word, insluitend die erkenning van enige potensiële konflikte of probleme wat tussen beide partye mag ontstaan, en hoe om dit by die bron te hanteer.
  13. Organisasies moet prosedures opstel wat risiko bestuur wanneer hulle met onbeskikbare, onondersteunde of verouderde komponente werk, waar hulle ook al woon. Waar komponente in een van hierdie kategorieë geval het, behoort organisasies dienooreenkomstig aan te pas en alternatiewe te identifiseer.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding

Dit is belangrik om daarop te let dat IKT-voorsieningskettingbestuur nie in isolasie geneem moet word in ooreenstemming met hierdie beheer nie. Beheer 5.21 is ontwerp om bestaande voorsieningskettingbestuursprosedures aan te vul en konteks te bied vir IKT-spesifieke produkte en dienste.

ISO erken dat, veral wanneer dit by sagtewarekomponente kom, gehaltebeheer binne die sfeer van IKT-produkte en -dienste nie strek tot fyn inspeksie van die verskaffer se eie stel voldoeningsprosedures nie.

As sodanig word organisasies aangemoedig om verskaffer-spesifieke tjeks te identifiseer wat die verskaffer as 'n "betroubare bron" verifieer en konsepooreenkomste wat die verskaffer se inligtingsekuriteitsverpligtinge kategories vermeld, wanneer 'n kontrak, bestelling of diens verskaf word.

Beheer 5.21 Veranderinge vanaf ISO 27002:2013

ISO 27002:2022-5.21 vervang ISO 27002:2013-15.1.3 (Inligting- en kommunikasietegnologie-verskaffingsketting).

ISO 27002:2022-5.21 voldoen aan dieselfde stel algemene riglyne as ISO 27002:2013-15.1.3, maar plaas 'n veel groter klem op 'n verskaffer se verpligting om komponentverwante inligting by die verskaffingspunt te verskaf en te verifieer, insluitend:

  • IKT-verskaffers wat komponentinligting verskaf.
  • IKT-verskaffers wat die sekuriteitsfunksies van 'n produk uiteensit en hoe om dit die beste vanuit 'n sekuriteitsperspektief te bedryf.
  • Versekering rakende vereiste sekuriteitsvlakke.

ISO 27002:2022-5.21 vra ook die organisasie om bykomende komponent-spesifieke inligting te skep om algemene vlakke van inligtingsekuriteit te verhoog wanneer produkte en dienste bekendgestel word, insluitend:

  • Identifisering en dokumentasie van komponente wat deurslaggewend is vir die kernfunksionaliteit van die produk of diens.
  • Verseker dat komponente eg en onveranderd is.

Hoe ISMS.online help

At ISMS.aanlyn, het ons 'n omvattende en maklik om te gebruik stelsel gebou wat jou kan help om ISO 27002-kontroles te implementeer en jou hele ISMS te bestuur.

Ons wolk-gebaseerde platform bied:

  • 'n Maklik om te gebruik en aanpas dokumentasiebestuurstelsel.
  • Toegang tot 'n biblioteek van gepoleerde, voorafgeskrewe dokumentasiesjablone.
  • 'n Vereenvoudigde proses vir die uitvoer van interne oudits.
  • 'n Doeltreffende metode om met bestuur en belanghebbendes te kommunikeer.
  • 'n Werkvloeimodule om die implementeringsproses te stroomlyn.

ISMS.online het al hierdie kenmerke, En meer.

Kontak vandag nog om bespreek 'n demo.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind