Controle 5.21 regelt hoe organisaties informatiebeveiliging beheren risico's in hun hele ICT-toeleveringsketen, door robuuste processen en procedures te implementeren voorafgaand aan de levering van producten of diensten.
5.21 een preventieve controle dat houdt het risico in stand door het tot stand brengen van een “overeengekomen beveiligingsniveau” tussen beide partijen in de gehele ICT toeleveringsketen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem #bescherming |
Controle 5.21 is expliciet gericht op het leveren van ICT-diensten, via een leverancier of groep van leveranciers.
Het eigendom zou dan ook moeten liggen bij degene die verantwoordelijk is voor de aanschaf, het beheer en de vernieuwing van ICT relaties met leveranciers voor alle bedrijfsfuncties, zoals a Chief Technical Officer or Hoofd IT.
Met ISMS.online behoren uitdagingen rondom versiebeheer, beleidsgoedkeuring en beleidsdeling tot het verleden.
ISO bepaalt 13 ICT-gerelateerde richtlijnen waarmee rekening moet worden gehouden naast alle andere controles die de relatie van een organisatie met haar leverancier(s) bepalen.
Gezien de uitbreiding van platformonafhankelijke on-premise- en clouddiensten in de afgelopen tien jaar, houdt Control 5.21 zich bezig met het aanbod van zowel hardware en software-gerelateerde componenten en diensten (zowel on-premise als cloudgebaseerd), en maakt zelden een onderscheid tussen beide.
Naast de relatie tussen de leverancier en de organisatie hebben verschillende controles ook betrekking op de verplichtingen van een leverancier bij het uitbesteden van onderdelen van de toeleveringsketen aan externe organisaties.
Het is belangrijk op te merken dat het bestuur van de ICT-toeleveringsketen niet op zichzelf mag worden genomen, in overeenstemming met deze controle. Control 5.21 is ontworpen als aanvulling op bestaande supply chain management-procedures en biedt context voor ICT-specifieke producten en diensten.
ISO erkent dat, vooral als het om softwarecomponenten gaat, de kwaliteitscontrole op het gebied van ICT-producten en -diensten zich niet uitstrekt tot gedetailleerde inspectie van de eigen compliance-procedures van de leverancier.
Als zodanig worden organisaties aangemoedigd om leveranciersspecifieke controles te identificeren die de leverancier als een “gerenommeerde bron” verifiëren en overeenkomsten op te stellen waarin de informatiebeveiligingsverplichtingen van de leverancier categorisch worden vastgelegd bij het uitvoeren van een contract, bestelling of het verlenen van een dienst.
ISO 27002 :2022-5.21 vervangt ISO 27002:2013-15.1.3 (toeleveringsketen voor informatie- en communicatietechnologie).
ISO 27002:2022-5.21 houdt zich aan dezelfde reeks algemene richtlijnen als ISO 27002:2013-15.1.3, maar legt een veel grotere nadruk op de verplichting van een leverancier om componentgerelateerde informatie te verstrekken en te verifiëren op het leveringspunt, waaronder:
ISO 27002:2022-5.21 vraagt de organisatie ook om aanvullende componentspecifieke informatie te creëren om het algemene niveau van informatiebeveiliging te verhogen bij de introductie van producten en diensten, waaronder:
At ISMS.onlinehebben we een uitgebreid en eenvoudig te gebruiken systeem gebouwd dat u kan helpen bij het implementeren van ISO 27002-controles en het beheren van uw gehele ISMS.
Ons cloudgebaseerde platform biedt:
ISMS.online heeft al deze functiesEn nog veel meer.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |