Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

ISO 27002:2022 – Controle 5.21 – Beheer van informatiebeveiliging in de ICT-toeleveringsketen

ISO 27002:2022 Control 5.21 richt zich op het beheren van informatiebeveiligingsrisico's in de ICT-toeleveringsketen door ervoor te zorgen dat leveranciers zich houden aan overeengekomen beveiligingsnormen, die zowel hardware- als softwarecomponenten omvatten, inclusief cloudgebaseerde oplossingen. Het benadrukt duidelijke verwachtingen, leveranciersverantwoordelijkheid en risicobeheer in de gehele toeleveringsketen.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Doel van de controle 5.21

Controle 5.21 regelt hoe organisaties informatiebeveiliging beheren risico's in hun hele ICT-toeleveringsketen, door robuuste processen en procedures te implementeren voorafgaand aan de levering van producten of diensten.

5.21 een preventieve controle uit die houdt het risico in stand door het tot stand brengen van een “overeengekomen beveiligingsniveau” tussen beide partijen in de gehele ICT toeleveringsketen.

Attributen Controletabel 5.21

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Identificeren #Beveiliging van leveranciersrelaties #Governance en ecosysteem
#Integriteit #Bescherming
#Beschikbaarheid

Eigendom van zeggenschap 5.21

Controle 5.21 is expliciet gericht op het leveren van ICT-diensten, via een leverancier of groep van leveranciers.

Het eigendom zou dan ook moeten liggen bij degene die verantwoordelijk is voor de aanschaf, het beheer en de vernieuwing van ICT relaties met leveranciers voor alle bedrijfsfuncties, zoals a Chief Technical Officer or Hoofd IT.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Algemene richtlijnen voor controle 5.21

ISO bepaalt 13 ICT-gerelateerde richtlijnen waarmee rekening moet worden gehouden naast alle andere controles die de relatie van een organisatie met haar leverancier(s) bepalen.

Gezien de uitbreiding van platformonafhankelijke on-premise- en clouddiensten in de afgelopen tien jaar, houdt Control 5.21 zich bezig met het aanbod van zowel hardware en software-gerelateerde componenten en diensten (zowel on-premise als cloudgebaseerd), en maakt zelden een onderscheid tussen beide.

Naast de relatie tussen de leverancier en de organisatie hebben verschillende controles ook betrekking op de verplichtingen van een leverancier bij het uitbesteden van onderdelen van de toeleveringsketen aan externe organisaties.

  1. Organisaties moeten een duidelijke set van richtlijnen opstellen informatiebeveiliging normen die van toepassing zijn op hun individuele behoeften, om duidelijke verwachtingen te scheppen over hoe leveranciers zich moeten gedragen bij het leveren van ICT-producten en -diensten.
  2. Als de ICT-leverancier enig onderdeel van de toeleveringsketen uitbesteedt, moet de leverancier maatregelen nemen om ervoor te zorgen dat aannemers en hun personeel volledig op de hoogte zijn van de unieke informatiebeveiligingsnormen van de organisatie.
  3. Als de noodzaak zich voordoet om componenten (fysiek of virtueel) aan te schaffen die zijn gekocht bij een derde partij, moet de leverancier de beveiligingsvereisten van de organisatie verspreiden onder alle verkopers of leveranciers die hij zelf gebruikt.
  4. Leveranciers moeten worden gevraagd om informatie te verstrekken over de aard en functie van de softwarecomponenten die zij gebruiken om een ​​dienst aan de organisatie te leveren.
  5. Organisaties moeten de onderliggende beveiligingsfuncties van elk geleverd product of dienst identificeren, en hoe het product of de dienst op een dergelijke manier kan worden beheerd doet geen concessies op het gebied van informatiebeveiliging.
  6. Organisaties moeten risiconiveaus niet als vanzelfsprekend beschouwen en procedures opstellen die ervoor zorgen dat alle producten of diensten die een leverancier levert, veilig zijn en voldoen aan geaccepteerde industriestandaarden. Methoden kunnen bestaan ​​uit certificeringscontroles, interne tests en ondersteunende nalevingsdocumentatie.
  7. Bij ontvangst van een product of dienst moeten organisaties zich houden aan een proces waarbij eerst alle elementen worden geïdentificeerd en vervolgens vastgelegd die essentieel worden geacht voor het behoud van de kernfunctionaliteit – vooral als deze componenten afkomstig zijn van een onderaannemer/uitbestede overeenkomst.
  8. Leveranciers moeten concrete garanties kunnen bieden dat “kritieke componenten” baat hebben bij een gedegen onderzoek audit log dat hun beweging door de hele ICT-toeleveringsketen volgt, van creatie tot levering.
  9. Wanneer ICT-producten en -diensten worden geleverd, moeten organisaties de categorische zekerheid zoeken dat genoemde producten en diensten niet alleen binnen de reikwijdte opereren, maar ook geen extra kenmerken bevatten die een onderpand kunnen vormen. veiligheidsrisico.
  10. Componentspecificaties zijn essentieel om ervoor te zorgen dat een organisatie de hardware- en softwarecomponenten begrijpt die zij in haar netwerk introduceert. Leveranciers moeten antimanipulatiemaatregelen overwegen gedurende de hele ontwikkelingscyclus, en organisaties moeten bepalingen eisen die bepalen of componenten bij levering legitiem zijn.
  11. Er moet worden gezocht naar garanties om te bevestigen dat ICT-producten in overeenstemming zijn met de industriestandaard en/of sectorspecifiek beveiligingsvereisten, voor zover relevant voor elk product. Gebruikelijke methoden om dit te bereiken zijn onder meer het bereiken van een minimumniveau van formele veiligheidscertificering, of het naleven van een reeks internationaal erkende informatiestandaarden (zoals de Common Criteria Recognition Arrangement) per product.
  12. Organisaties moeten stappen ondernemen om dat te garanderen leveranciers zijn op de hoogte van hun verplichtingen bij het delen van informatie en/of gegevens over de onderlinge werking van de toeleveringsketen, inclusief het onderkennen van eventuele conflicten of problemen die zich tussen beide partijen kunnen voordoen, en hoe hiermee bij de bron moet worden omgegaan.
  13. Organisaties moeten procedures opstellen die de risico's beheersen wanneer ze werken met niet-beschikbare, niet-ondersteunde of verouderde componenten, waar deze zich ook bevinden. Wanneer componenten in een van deze categorieën vallen, moeten organisaties zich dienovereenkomstig kunnen aanpassen en alternatieven kunnen identificeren.


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Aanvullende begeleiding

Het is belangrijk op te merken dat het bestuur van de ICT-toeleveringsketen niet op zichzelf mag worden genomen, in overeenstemming met deze controle. Control 5.21 is ontworpen als aanvulling op bestaande supply chain management-procedures en biedt context voor ICT-specifieke producten en diensten.

ISO erkent dat, vooral als het om softwarecomponenten gaat, de kwaliteitscontrole op het gebied van ICT-producten en -diensten zich niet uitstrekt tot gedetailleerde inspectie van de eigen compliance-procedures van de leverancier.

Als zodanig worden organisaties aangemoedigd om leveranciersspecifieke controles te identificeren die de leverancier als een “gerenommeerde bron” verifiëren en overeenkomsten op te stellen waarin de informatiebeveiligingsverplichtingen van de leverancier categorisch worden vastgelegd bij het uitvoeren van een contract, bestelling of het verlenen van een dienst.

Controle 5.21 Wijzigingen ten opzichte van ISO 27002:2013

ISO 27002 :2022-5.21 vervangt ISO 27002:2013-15.1.3 (toeleveringsketen voor informatie- en communicatietechnologie).

ISO 27002:2022-5.21 houdt zich aan dezelfde reeks algemene richtlijnen als ISO 27002:2013-15.1.3, maar legt een veel grotere nadruk op de verplichting van een leverancier om componentgerelateerde informatie te verstrekken en te verifiëren op het leveringspunt, waaronder:

  • ICT-leveranciers die componentinformatie verstrekken.
  • ICT-leveranciers schetsen de beveiligingsfuncties van een product en hoe dit vanuit beveiligingsperspectief het beste kan worden bediend.
  • Zekerheden met betrekking tot vereiste beveiligingsniveaus.

ISO 27002:2022-5.21 vraagt ​​de organisatie ook om aanvullende componentspecifieke informatie te creëren om het algemene niveau van informatiebeveiliging te verhogen bij de introductie van producten en diensten, waaronder:

  • Het identificeren en documenteren van componenten die cruciaal zijn voor de kernfunctionaliteit van het product of de dienst.
  • Ervoor zorgen dat de componenten origineel en ongewijzigd zijn.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

At ISMS.onlinehebben we een uitgebreid en eenvoudig te gebruiken systeem gebouwd dat u kan helpen bij het implementeren van ISO 27002-controles en het beheren van uw gehele ISMS.

Ons cloudgebaseerde platform biedt:

  • Een eenvoudig te gebruiken en aanpasbaar documentatiebeheersysteem.
  • Toegang tot een bibliotheek met gepolijste, vooraf geschreven documentatiesjablonen.
  • Een vereenvoudigd proces voor het uitvoeren van interne audits.
  • Een efficiënte manier om te communiceren met management en stakeholders.
  • Een workflowmodule om het implementatieproces te stroomlijnen.

ISMS.online heeft al deze functies En nog veel meer.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.