ISO 27001:2022 Bijlage A 5.21 – Beheer van informatiebeveiliging in de ICT-toeleveringsketen

Wat is het doel van ISO 27001:2022 bijlage A 5.21?

In bijlage A Controle 5.21 moeten organisaties robuuste processen en procedures implementeren voordat zij producten of diensten leveren het beheersen van informatiebeveiligingsrisico's.

Beheersing 5.21 in bijlage A is een preventieve controle die het risico binnen de ICT-toeleveringsketen in stand houdt door het tot stand brengen van een “overeengekomen beveiligingsniveau” tussen de partijen.

Bijlage A 5.21 van ISO 27001 is gericht op ICT-leveranciers die mogelijk iets nodig hebben als aanvulling op of in plaats van de standaardaanpak. Hoewel ISO 27001 talrijke gebieden voor implementatie aanbeveelt, is ook pragmatisme vereist. Gezien de omvang van de organisatie in vergelijking met enkele van de zeer grote bedrijven waarmee zij af en toe zal samenwerken (bijvoorbeeld datacentra, hostingdiensten, banken, enz.), moet zij mogelijk de mogelijkheid hebben om praktijken verderop in de toeleveringsketen te beïnvloeden.

Afhankelijk van de informatie- en communicatietechnologiediensten die worden geleverd, moet de organisatie de risico's die zich kunnen voordoen zorgvuldig beoordelen. In het geval van bijvoorbeeld een infrastructuurkritische dienstverlener is het van belang om een ​​grotere bescherming te garanderen dan wanneer de leverancier alleen toegang heeft tot publiekelijk beschikbare informatie (bijv. broncode voor de vlaggenschipsoftwaredienst) als de leverancier infrastructuurkritische diensten levert.

Eigendom van bijlage A Controle 5.21

In bijlage A Controle 5.21 ligt de nadruk op het leveren van informatie- en communicatietechnologiediensten door een leverancier of een groep leveranciers.

Daarom is de persoon die verantwoordelijk is voor het verwerven, beheren en vernieuwen van relaties met ICT-leveranciers in alle bedrijfsfuncties, zoals de Chief Technical Officer of hoofd Informatietechnologie, zou eigenaar moeten zijn van dit proces.

ISO 27001:2022 Bijlage A 5.21 – Algemene richtlijnen

De ISO 27001-norm specificeert 13 ICT-gerelateerde richtlijnen die in overweging moeten worden genomen naast alle andere controles uit bijlage A die de relatie van een organisatie met haar leveranciers regelen.

De afgelopen tien jaar zijn platformonafhankelijke on-premise- en clouddiensten steeds populairder geworden. ISO27001:2022 bijlage A Controle 5.21 gaat over de levering van hardware- en softwaregerelateerde componenten en diensten (zowel op locatie als in de cloud), maar maakt zelden onderscheid tussen deze twee.

Verschillende controles uit bijlage A hebben betrekking op de relatie tussen de leverancier en de organisatie en op de verplichtingen van de leverancier bij het uitbesteden van delen van de toeleveringsketen aan derden.

1. Organisaties moeten een alomvattende set van richtlijnen opstellen informatiebeveiliging standaarden die zijn afgestemd op hun specifieke behoeften en die duidelijke verwachtingen scheppen over hoe leveranciers zich moeten gedragen bij het leveren van ICT-producten en -diensten.
2. ICT-leveranciers zijn er verantwoordelijk voor dat opdrachtnemers en hun personeel volledig op de hoogte zijn van de unieke informatiebeveiligingsnormen van de organisatie. Dit is het geval als ze een onderdeel van de toeleveringsketen uitbesteden.
3. De leverancier moet de beveiligingsvereisten van de organisatie communiceren aan alle verkopers of leveranciers waarvan zij gebruik maken wanneer de noodzaak zich voordoet om componenten (fysiek of virtueel) van derden te verwerven.
4. Een organisatie dient bij leveranciers informatie op te vragen over de aard en functie van de softwarecomponenten.
5. De organisatie moet elk geleverd product of elke dienst identificeren en exploiteren op een manier die de informatiebeveiliging niet in gevaar brengt.
6. Risiconiveaus mogen door organisaties niet als vanzelfsprekend worden beschouwd. In plaats daarvan moeten organisaties procedures opstellen die ervoor zorgen dat alle producten of diensten die door leveranciers worden geleverd, veilig zijn en voldoen aan de industrienormen. Er kunnen verschillende methoden worden gebruikt om naleving te garanderen, waaronder certificeringscontroles, interne tests en ondersteunende documentatie.
7. Als onderdeel van het ontvangen van een product of dienst moeten organisaties alle elementen identificeren en vastleggen die essentieel worden geacht voor het behoud van de kernfunctionaliteit – vooral als deze componenten zijn afgeleid van onderaannemers of uitbestede overeenkomsten.
8. Leveranciers moeten concrete garanties krijgen dat “kritieke componenten” worden gevolgd in de hele ICT-toeleveringsketen, van creatie tot levering onderdeel van een auditlogboek.
9. Organisaties moeten categorische zekerheid zoeken voordat ze ICT-producten en -diensten leveren. Dit is om ervoor te zorgen dat ze binnen het toepassingsgebied opereren en geen extra kenmerken bevatten die een onderpandveiligheidsrisico kunnen vormen.
10. Componentspecificaties zijn van cruciaal belang om ervoor te zorgen dat een organisatie de hardware- en softwarecomponenten begrijpt die zij in haar netwerk introduceert. Organisaties moeten bepalingen eisen die bevestigen dat componenten bij levering legitiem zijn, en leveranciers moeten anti-manipulatiemaatregelen overwegen gedurende de gehele ontwikkelingslevenscyclus.
11. Het is van cruciaal belang om zekerheid te verkrijgen over de conformiteit van ICT-producten met industriestandaarden en sectorspecifieke beveiligingsvereisten volgens de specifieke productvereisten. Het is gebruikelijk dat bedrijven dit bereiken door een minimumniveau van formele veiligheidscertificering te behalen of zich te houden aan een reeks internationaal erkende informatiestandaarden (bijvoorbeeld de Common Criteria Recognition Arrangement).
12. Het delen van informatie en gegevens over onderlinge supply chain-operaties vereist dat organisaties ervoor zorgen dat leveranciers hun verplichtingen kennen. In dit opzicht moeten organisaties potentiële conflicten of problemen tussen de partijen onderkennen. Ze moeten ook weten hoe ze deze aan het begin van het proces kunnen oplossen. Leeftijd van het proces.
13. De organisatie moet procedures ontwikkelen om dit te bewerkstelligen risico's beheren bij het werken met niet-ondersteunde, niet-ondersteunde of verouderde componenten, waar deze zich ook bevinden. In deze situaties moet de organisatie zich dienovereenkomstig kunnen aanpassen en alternatieven kunnen identificeren.

Bijlage A 5.21 ​​Aanvullende richtlijnen

Volgens bijlage A Controle 5.21 moet het bestuur van de ICT-toeleveringsketen in samenhang worden overwogen. Het is bedoeld als aanvulling op het bestaande voorraadketenbeheer procedures en het bieden van context voor ICT-specifieke producten en diensten.

De ISO 27001:2022-norm erkent dat kwaliteitscontrole binnen de ICT-sector geen gedetailleerde inspectie van de nalevingsprocedures van een leverancier omvat, met name met betrekking tot softwarecomponenten.

Het wordt daarom aanbevolen dat organisaties leveranciersspecifieke controles identificeren die worden gebruikt om te verifiëren dat de leverancier een “gerenommeerde bron” is en dat zij overeenkomsten opstellen waarin in detail de verantwoordelijkheden van de leverancier op het gebied van informatiebeveiliging worden vastgelegd bij het uitvoeren van een contract, bestelling of het verlenen van een dienst. .

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

ISO 27001:2022 Bijlage A Controle 5.21 vervangt ISO 27001:2013 Bijlage A Controle 15.1.3 (Toeleveringsketen voor informatie- en communicatietechnologie).

Naast het naleven van dezelfde algemene richtlijnen als ISO 27001:2013 bijlage A 15.1.3, legt ISO 27001:2022 bijlage A 5.21 veel nadruk op de verplichting van de leverancier om componentgerelateerde informatie te verstrekken en te verifiëren op het moment van levering. levering, waaronder:

• Leveranciers van informatietechnologiecomponenten.
• Geef een overzicht van de beveiligingsfuncties van een product en hoe u dit vanuit beveiligingsperspectief kunt gebruiken.
• Zekerheden met betrekking tot het vereiste beveiligingsniveau.

Volgens ISO 27001:2022 bijlage A 5.21 is de organisatie ook verplicht om aanvullende componentspecifieke informatie te creëren bij de introductie van producten en diensten, zoals:

• Het identificeren en documenteren van de belangrijkste componenten van een product of dienst die bijdragen aan de kernfunctionaliteit ervan.
• Waarborgen van de authenticiteit en integriteit van componenten.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Wat is het voordeel van ISMS.online als het gaat om leveranciersrelaties?

Deze Annex A controledoelstelling is door ISMS.online zeer eenvoudig gemaakt. Dit komt omdat ISMS.online het bewijs levert dat uw relaties zorgvuldig zijn geselecteerd, goed worden beheerd en gecontroleerd en beoordeeld.

Dit doet u in ons gebruiksvriendelijke gedeelte Accountrelaties (bijvoorbeeld leverancier). Werkruimtes voor samenwerkingsprojecten stellen de auditor in staat om eenvoudig de belangrijkste on-boarding, gezamenlijke initiatieven, off-boarding van leveranciers, enz. te bekijken.

Bovendien heeft ISMS.online het voor uw organisatie gemakkelijker gemaakt om deze Annex A-controledoelstelling te bereiken door u in staat te stellen bewijs te leveren dat de leverancier zich formeel heeft gecommitteerd aan het naleven van de vereisten en de verantwoordelijkheden van de leverancier met betrekking tot informatiebeveiliging met onze Policy Packs heeft begrepen.

Naast de bredere afspraken tussen klant en leverancier, Beleidspakketten zijn ideaal voor organisaties met een specifiek beleid en bijlage A-controles waarvan zij willen dat het personeel van leveranciers zich eraan houdt, zodat zij ervoor zorgen dat zij hun beleid hebben gelezen en zich ertoe verbinden dit te volgen.

Het cloudgebaseerde platform dat wij aanbieden, biedt bovendien de volgende functies

• Een documentbeheersysteem dat eenvoudig te gebruiken en op maat te maken is.
• U krijgt toegang tot een bibliotheek met gepolijste, vooraf geschreven documentatiesjablonen.
• Het proces voor het uitvoeren van interne audits is vereenvoudigd.
• Een manier van communiceren met management en stakeholders die efficiënt is.
• Er wordt een workflowmodule meegeleverd om het implementatieproces te vergemakkelijken.

Aarzel niet om een ​​demo in te plannen neem vandaag nog contact met ons op.