Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.21 – Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting

ISO 27002:2022 Beheer 5.21 fokus op die bestuur van inligtingsekuriteitsrisiko's in die IKT-voorsieningsketting deur te verseker dat verskaffers voldoen aan ooreengekome sekuriteitstandaarde, wat beide hardeware en sagtewarekomponente dek, insluitend wolkgebaseerde oplossings. Dit beklemtoon duidelike verwagtinge, verskaffer-aanspreeklikheid en risikobestuur regdeur die voorsieningsketting.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Doel van beheer 5.21

Beheer 5.21 beheer hoe organisasies inligtingsekuriteit te bestuur risiko's regdeur hul IKT-voorsieningsketting, deur robuuste prosesse en prosedures te implementeer voor die verskaffing van enige produkte of dienste.

5.21 is 'n voorkomende beheer Wat risiko handhaaf deur 'n "ooreengekome vlak van sekuriteit" tussen beide partye regdeur die IKT te vestig ketting.

Eienskappe Tabel van beheer 5.21

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Identifiseer #Verskaffersverhoudingsekuriteit #Beheer en ekosisteem
#Integriteit #Beskerming
#Beskikbaarheid

Eienaarskap van beheer 5.21

Beheer 5.21 is uitdruklik gefokus op die verskaffing van IKT-dienste, via 'n verskaffer of groep verskaffers.

As sodanig behoort eienaarskap by die persoon te berus wat verantwoordelik is vir die verkryging, bestuur en hernuwing van IKT verskaffer verhoudings oor alle besigheidsfunksies, soos a Hoof Tegniese Beampte or Hoof van IT.



ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Algemene riglyne oor beheer 5.21

ISO stipuleer 13 IKT-verwante riglyne wat oorweeg moet word saam enige ander beheermaatreëls wat 'n organisasie se verhouding met sy verskaffer(s) dikteer.

Gegewe die uitbreiding van kruisplatform-op-perseel- en wolkdienste oor die afgelope dekade, handel Control 5.21 oor die verskaffing van beide hardeware en sagteware-verwante komponente en dienste (beide op die perseel en wolk-gebaseerde), en tref selde 'n onderskeid tussen die twee.

Sowel as die verhouding tussen die verskaffer en die organisasie, handel verskeie kontroles ook oor 'n verskaffer se verpligtinge wanneer elemente van die voorsieningsketting aan derdeparty-organisasies subkontrakteer word.

  1. Organisasies moet 'n duidelike stel van inligting-sekuriteit standaarde wat op hul individuele behoeftes van toepassing is, om duidelike verwagtinge te stel oor hoe verskaffers hulself moet optree wanneer hulle IKT-produkte en -dienste lewer.
  2. Indien die IKT-verskaffer enige element van die voorsieningsketting subkontrakteer, moet die verskaffer maatreëls tref om te verseker dat kontrakteurs en hul personeel ten volle vertroud is met die organisasie se unieke inligtingsekuriteitstandaarde.
  3. Indien die behoefte ontstaan ​​om komponente (fisies of virtueel) wat van 'n derde party gekoop is te bekom, moet die verskaffer die organisasie se sekuriteitsvereistes aan enige verskaffers of verskaffers wat hulle self gebruik, versprei.
  4. Verskaffers moet gevra word om inligting te verskaf oor die aard en funksie van die sagtewarekomponente wat hulle gebruik om 'n diens aan die organisasie te lewer.
  5. Organisasies moet die onderliggende sekuriteitsfunksies van enige produk of diens wat gelewer word identifiseer, en hoe om die produk of diens te bedryf op 'n manier wat kompromitteer nie inligtingsekuriteit nie.
  6. Organisasies moet nie risikovlakke as vanselfsprekend aanvaar nie, en konsepprosedures wat verseker dat enige produkte of dienste wat 'n verskaffer lewer van 'n veilige aard is en aan aanvaarde industriestandaarde voldoen. Metodes kan sertifiseringskontroles, interne toetsing en ondersteunende voldoeningsdokumentasie insluit.
  7. Wanneer organisasies 'n produk of diens ontvang, moet organisasies voldoen aan 'n proses om eers enige elemente te identifiseer wat geag word noodsaaklik te wees vir die handhawing van kernfunksionaliteit - veral as daardie komponente van 'n subkontrakteur/uitgekontrakteerde ooreenkoms ontstaan ​​het.
  8. Verskaffers moet in staat wees om konkrete versekering te gee dat "kritieke komponente" voordeel trek uit 'n deeglike ouditlogboek wat hul beweging dwarsdeur die IKT-voorsieningsketting naspeur, van skepping tot aflewering.
  9. Aangesien IKT-produkte en -dienste gelewer word, moet organisasies kategoriese versekering soek dat genoemde produkte en dienste nie net binne omvang funksioneer nie, maar geen bykomende kenmerke bevat wat 'n kollateraal kan bied nie. veiligheidsrisiko.
  10. Komponentspesifikasies is die sleutel om te verseker dat 'n organisasie die hardeware- en sagtewarekomponente verstaan ​​wat hy op sy netwerk bekendstel. Verskaffers moet teen-peutermaatreëls regdeur die ontwikkelingslewensiklus oorweeg, en organisasies moet bepalings vereis wat komponente as wettig by aflewering verifieer.
  11. Versekering moet gesoek word om te bevestig dat IKT-produkte in lyn is met industriestandaard en/of sektorspesifiek sekuriteitsvereistes, soos relevant vir elke produk. Algemene metodes om dit te bereik, sluit in die bereiking van 'n minimum vlak van formele sekuriteitsertifisering, of die nakoming van 'n stel internasionaal erkende inligtingstandaarde (soos die Common Criteria Recognition Arrangement) per produk.
  12. Organisasies moet stappe doen om dit te verseker verskaffers bewus is van hul verpligtinge wanneer inligting en/of data met betrekking tot die wedersydse voorsieningskettingwerking gedeel word, insluitend die erkenning van enige potensiële konflikte of probleme wat tussen beide partye mag ontstaan, en hoe om dit by die bron te hanteer.
  13. Organisasies moet prosedures opstel wat risiko bestuur wanneer hulle met onbeskikbare, onondersteunde of verouderde komponente werk, waar hulle ook al woon. Waar komponente in een van hierdie kategorieë geval het, behoort organisasies dienooreenkomstig aan te pas en alternatiewe te identifiseer.


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Aanvullende leiding

Dit is belangrik om daarop te let dat IKT-voorsieningskettingbestuur nie in isolasie geneem moet word in ooreenstemming met hierdie beheer nie. Beheer 5.21 is ontwerp om bestaande voorsieningskettingbestuursprosedures aan te vul en konteks te bied vir IKT-spesifieke produkte en dienste.

ISO erken dat, veral wanneer dit by sagtewarekomponente kom, gehaltebeheer binne die sfeer van IKT-produkte en -dienste nie strek tot fyn inspeksie van die verskaffer se eie stel voldoeningsprosedures nie.

As sodanig word organisasies aangemoedig om verskaffer-spesifieke tjeks te identifiseer wat die verskaffer as 'n "betroubare bron" verifieer en konsepooreenkomste wat die verskaffer se inligtingsekuriteitsverpligtinge kategories vermeld, wanneer 'n kontrak, bestelling of diens verskaf word.

Beheer 5.21 Veranderinge vanaf ISO 27002:2013

ISO 27002:2022-5.21 vervang ISO 27002:2013-15.1.3 (Inligting- en kommunikasietegnologie-verskaffingsketting).

ISO 27002:2022-5.21 voldoen aan dieselfde stel algemene riglyne as ISO 27002:2013-15.1.3, maar plaas 'n veel groter klem op 'n verskaffer se verpligting om komponentverwante inligting by die verskaffingspunt te verskaf en te verifieer, insluitend:

  • IKT-verskaffers wat komponentinligting verskaf.
  • IKT-verskaffers wat die sekuriteitsfunksies van 'n produk uiteensit en hoe om dit die beste vanuit 'n sekuriteitsperspektief te bedryf.
  • Versekering rakende vereiste sekuriteitsvlakke.

ISO 27002:2022-5.21 vra ook die organisasie om bykomende komponent-spesifieke inligting te skep om algemene vlakke van inligtingsekuriteit te verhoog wanneer produkte en dienste bekendgestel word, insluitend:

  • Identifisering en dokumentasie van komponente wat deurslaggewend is vir die kernfunksionaliteit van die produk of diens.
  • Verseker dat komponente eg en onveranderd is.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

At ISMS.aanlyn, het ons 'n omvattende en maklik om te gebruik stelsel gebou wat jou kan help om ISO 27002-kontroles te implementeer en jou hele ISMS te bestuur.

Ons wolk-gebaseerde platform bied:

  • 'n Maklik om te gebruik en aanpas dokumentasiebestuurstelsel.
  • Toegang tot 'n biblioteek van gepoleerde, voorafgeskrewe dokumentasiesjablone.
  • 'n Vereenvoudigde proses vir die uitvoer van interne oudits.
  • 'n Doeltreffende metode om met bestuur en belanghebbendes te kommunikeer.
  • 'n Werkvloeimodule om die implementeringsproses te stroomlyn.

ISMS.online het al hierdie kenmerke, En meer.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Winter 2026
Streekleier - Winter 2026 VK
Streeksleier - Winter 2026 EU
Streekleier - Winter 2026 Middelmark EU
Streekleier - Winter 2026 EMEA
Streekleier - Winter 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.