Doel van de controle 5.21
Controle 5.21 regelt hoe organisaties informatiebeveiliging beheren risico's in hun hele ICT-toeleveringsketen, door robuuste processen en procedures te implementeren voorafgaand aan de levering van producten of diensten.
5.21 een preventieve controle uit die houdt het risico in stand door het tot stand brengen van een “overeengekomen beveiligingsniveau” tussen beide partijen in de gehele ICT toeleveringsketen.
Attributen Controletabel 5.21
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem |
| #Integriteit | #Bescherming | |||
| #Beschikbaarheid |
Eigendom van zeggenschap 5.21
Controle 5.21 is expliciet gericht op het leveren van ICT-diensten, via een leverancier of groep van leveranciers.
Het eigendom zou dan ook moeten liggen bij degene die verantwoordelijk is voor de aanschaf, het beheer en de vernieuwing van ICT relaties met leveranciers voor alle bedrijfsfuncties, zoals a Chief Technical Officer or Hoofd IT.
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Algemene richtlijnen voor controle 5.21
ISO bepaalt 13 ICT-gerelateerde richtlijnen waarmee rekening moet worden gehouden naast alle andere controles die de relatie van een organisatie met haar leverancier(s) bepalen.
Gezien de uitbreiding van platformonafhankelijke on-premise- en clouddiensten in de afgelopen tien jaar, houdt Control 5.21 zich bezig met het aanbod van zowel hardware en software-gerelateerde componenten en diensten (zowel on-premise als cloudgebaseerd), en maakt zelden een onderscheid tussen beide.
Naast de relatie tussen de leverancier en de organisatie hebben verschillende controles ook betrekking op de verplichtingen van een leverancier bij het uitbesteden van onderdelen van de toeleveringsketen aan externe organisaties.
- Organisaties moeten een duidelijke set van richtlijnen opstellen informatiebeveiliging normen die van toepassing zijn op hun individuele behoeften, om duidelijke verwachtingen te scheppen over hoe leveranciers zich moeten gedragen bij het leveren van ICT-producten en -diensten.
- Als de ICT-leverancier enig onderdeel van de toeleveringsketen uitbesteedt, moet de leverancier maatregelen nemen om ervoor te zorgen dat aannemers en hun personeel volledig op de hoogte zijn van de unieke informatiebeveiligingsnormen van de organisatie.
- Als de noodzaak zich voordoet om componenten (fysiek of virtueel) aan te schaffen die zijn gekocht bij een derde partij, moet de leverancier de beveiligingsvereisten van de organisatie verspreiden onder alle verkopers of leveranciers die hij zelf gebruikt.
- Leveranciers moeten worden gevraagd om informatie te verstrekken over de aard en functie van de softwarecomponenten die zij gebruiken om een dienst aan de organisatie te leveren.
- Organisaties moeten de onderliggende beveiligingsfuncties van elk geleverd product of dienst identificeren, en hoe het product of de dienst op een dergelijke manier kan worden beheerd doet geen concessies op het gebied van informatiebeveiliging.
- Organisaties moeten risiconiveaus niet als vanzelfsprekend beschouwen en procedures opstellen die ervoor zorgen dat alle producten of diensten die een leverancier levert, veilig zijn en voldoen aan geaccepteerde industriestandaarden. Methoden kunnen bestaan uit certificeringscontroles, interne tests en ondersteunende nalevingsdocumentatie.
- Bij ontvangst van een product of dienst moeten organisaties zich houden aan een proces waarbij eerst alle elementen worden geïdentificeerd en vervolgens vastgelegd die essentieel worden geacht voor het behoud van de kernfunctionaliteit – vooral als deze componenten afkomstig zijn van een onderaannemer/uitbestede overeenkomst.
- Leveranciers moeten concrete garanties kunnen bieden dat “kritieke componenten” baat hebben bij een gedegen onderzoek audit log dat hun beweging door de hele ICT-toeleveringsketen volgt, van creatie tot levering.
- Wanneer ICT-producten en -diensten worden geleverd, moeten organisaties de categorische zekerheid zoeken dat genoemde producten en diensten niet alleen binnen de reikwijdte opereren, maar ook geen extra kenmerken bevatten die een onderpand kunnen vormen. veiligheidsrisico.
- Componentspecificaties zijn essentieel om ervoor te zorgen dat een organisatie de hardware- en softwarecomponenten begrijpt die zij in haar netwerk introduceert. Leveranciers moeten antimanipulatiemaatregelen overwegen gedurende de hele ontwikkelingscyclus, en organisaties moeten bepalingen eisen die bepalen of componenten bij levering legitiem zijn.
- Er moet worden gezocht naar garanties om te bevestigen dat ICT-producten in overeenstemming zijn met de industriestandaard en/of sectorspecifiek beveiligingsvereisten, voor zover relevant voor elk product. Gebruikelijke methoden om dit te bereiken zijn onder meer het bereiken van een minimumniveau van formele veiligheidscertificering, of het naleven van een reeks internationaal erkende informatiestandaarden (zoals de Common Criteria Recognition Arrangement) per product.
- Organisaties moeten stappen ondernemen om dat te garanderen leveranciers zijn op de hoogte van hun verplichtingen bij het delen van informatie en/of gegevens over de onderlinge werking van de toeleveringsketen, inclusief het onderkennen van eventuele conflicten of problemen die zich tussen beide partijen kunnen voordoen, en hoe hiermee bij de bron moet worden omgegaan.
- Organisaties moeten procedures opstellen die de risico's beheersen wanneer ze werken met niet-beschikbare, niet-ondersteunde of verouderde componenten, waar deze zich ook bevinden. Wanneer componenten in een van deze categorieën vallen, moeten organisaties zich dienovereenkomstig kunnen aanpassen en alternatieven kunnen identificeren.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Aanvullende begeleiding
Het is belangrijk op te merken dat het bestuur van de ICT-toeleveringsketen niet op zichzelf mag worden genomen, in overeenstemming met deze controle. Control 5.21 is ontworpen als aanvulling op bestaande supply chain management-procedures en biedt context voor ICT-specifieke producten en diensten.
ISO erkent dat, vooral als het om softwarecomponenten gaat, de kwaliteitscontrole op het gebied van ICT-producten en -diensten zich niet uitstrekt tot gedetailleerde inspectie van de eigen compliance-procedures van de leverancier.
Als zodanig worden organisaties aangemoedigd om leveranciersspecifieke controles te identificeren die de leverancier als een “gerenommeerde bron” verifiëren en overeenkomsten op te stellen waarin de informatiebeveiligingsverplichtingen van de leverancier categorisch worden vastgelegd bij het uitvoeren van een contract, bestelling of het verlenen van een dienst.
Controle 5.21 Wijzigingen ten opzichte van ISO 27002:2013
ISO 27002 :2022-5.21 vervangt ISO 27002:2013-15.1.3 (toeleveringsketen voor informatie- en communicatietechnologie).
ISO 27002:2022-5.21 houdt zich aan dezelfde reeks algemene richtlijnen als ISO 27002:2013-15.1.3, maar legt een veel grotere nadruk op de verplichting van een leverancier om componentgerelateerde informatie te verstrekken en te verifiëren op het leveringspunt, waaronder:
- ICT-leveranciers die componentinformatie verstrekken.
- ICT-leveranciers schetsen de beveiligingsfuncties van een product en hoe dit vanuit beveiligingsperspectief het beste kan worden bediend.
- Zekerheden met betrekking tot vereiste beveiligingsniveaus.
ISO 27002:2022-5.21 vraagt de organisatie ook om aanvullende componentspecifieke informatie te creëren om het algemene niveau van informatiebeveiliging te verhogen bij de introductie van producten en diensten, waaronder:
- Het identificeren en documenteren van componenten die cruciaal zijn voor de kernfunctionaliteit van het product of de dienst.
- Ervoor zorgen dat de componenten origineel en ongewijzigd zijn.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
At ISMS.onlinehebben we een uitgebreid en eenvoudig te gebruiken systeem gebouwd dat u kan helpen bij het implementeren van ISO 27002-controles en het beheren van uw gehele ISMS.
Ons cloudgebaseerde platform biedt:
- Een eenvoudig te gebruiken en aanpasbaar documentatiebeheersysteem.
- Toegang tot een bibliotheek met gepolijste, vooraf geschreven documentatiesjablonen.
- Een vereenvoudigd proces voor het uitvoeren van interne audits.
- Een efficiënte manier om te communiceren met management en stakeholders.
- Een workflowmodule om het implementatieproces te stroomlijnen.
ISMS.online heeft al deze functiesEn nog veel meer.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
