ISO 27001:2022 Anhang A 5.21 – Management der Informationssicherheit in der IKT-Lieferkette

Was ist der Zweck von ISO 27001:2022 Anhang A 5.21?

In Annex A Control 5.21 müssen Organisationen robuste Prozesse und Verfahren implementieren, bevor sie Produkte oder Dienstleistungen bereitstellen Management von Informationssicherheitsrisiken.

Kontrolle 5.21 in Anhang A ist eine präventive Kontrolle, die das Risiko innerhalb der IKT-Lieferkette aufrechterhält, indem sie ein „vereinbartes Sicherheitsniveau“ zwischen den Parteien herstellt.

Anhang A 5.21 der ISO 27001 richtet sich an IKT-Anbieter, die möglicherweise etwas zusätzlich zum oder anstelle des Standardansatzes benötigen. Obwohl die ISO 27001 zahlreiche Bereiche zur Umsetzung empfiehlt, ist auch Pragmatismus gefragt. Angesichts der Größe der Organisation im Vergleich zu einigen der sehr großen Unternehmen, mit denen sie gelegentlich zusammenarbeitet (z. B. Rechenzentren, Hosting-Dienste, Banken usw.), muss sie möglicherweise in der Lage sein, die Praktiken weiter unten in der Lieferkette zu beeinflussen.

Abhängig von den bereitgestellten Informations- und Kommunikationstechnologiediensten sollte die Organisation die möglicherweise auftretenden Risiken sorgfältig abschätzen. Bei einem infrastrukturkritischen Dienstleister ist es beispielsweise wichtig, einen höheren Schutz zu gewährleisten, als wenn der Anbieter nur Zugriff auf öffentlich zugängliche Informationen (z. B Quellcode für den Flaggschiff-Softwaredienst), wenn der Anbieter infrastrukturkritische Dienste bereitstellt.

Eigentum an Anhang A Kontrolle 5.21

In Annex A Control 5.21 liegt der Schwerpunkt auf der Bereitstellung von Informations- und Kommunikationstechnologiediensten durch einen Anbieter oder eine Gruppe von Anbietern.

Daher ist die Person, die für den Erwerb, die Verwaltung und die Erneuerung von IKT-Lieferantenbeziehungen in allen Geschäftsfunktionen verantwortlich ist, wie z Chief Technical Officer oder Leiter Informationstechnologie, sollte Eigentümer dieses Prozesses sein.

ISO 27001:2022 Anhang A 5.21 – Allgemeine Richtlinien

Das ISO 27001 Standard legt 13 IKT-bezogene Leitlinien fest, die zusammen mit allen anderen Kontrollen in Anhang A berücksichtigt werden sollten, die die Beziehung einer Organisation zu ihren Lieferanten regeln.

Im letzten Jahrzehnt sind plattformübergreifende On-Premise- und Cloud-Dienste immer beliebter geworden. ISO 27001:2022 Anhang A Control 5.21 befasst sich mit der Bereitstellung von hardware- und softwarebezogenen Komponenten und Diensten (sowohl vor Ort als auch in der Cloud), unterscheidet jedoch selten zwischen beiden.

Mehrere Kontrollen in Anhang A befassen sich mit der Beziehung zwischen dem Lieferanten und der Organisation sowie den Pflichten des Lieferanten bei der Untervergabe von Teilen der Lieferkette an Dritte.

1. Organisationen sollten einen umfassenden Satz von erstellen Informationssicherheit Standards, die auf ihre spezifischen Bedürfnisse zugeschnitten sind, um klare Erwartungen darüber festzulegen, wie sich Lieferanten bei der Bereitstellung von IKT-Produkten und -Dienstleistungen verhalten sollten.
2. IKT-Lieferanten sind dafür verantwortlich, sicherzustellen, dass Auftragnehmer und ihr Personal mit den einzigartigen Informationssicherheitsstandards der Organisation vollständig vertraut sind. Dies gilt, wenn sie irgendein Element der Lieferkette an Subunternehmer vergeben.
3. Der Lieferant muss die Sicherheitsanforderungen der Organisation allen Anbietern oder Zulieferern mitteilen, die er nutzt, wenn die Notwendigkeit besteht, Komponenten (physisch oder virtuell) von Dritten zu erwerben.
4. Eine Organisation sollte von Lieferanten Informationen über die Art und Funktion der Softwarekomponenten einholen.
5. Die Organisation sollte alle bereitgestellten Produkte oder Dienstleistungen so identifizieren und betreiben, dass die Informationssicherheit nicht gefährdet wird.
6. Risikoniveaus sollten von Organisationen nicht als selbstverständlich angesehen werden. Stattdessen sollten Organisationen Verfahren entwerfen, die sicherstellen, dass alle von Lieferanten gelieferten Produkte oder Dienstleistungen sicher sind und den Industriestandards entsprechen. Zur Sicherstellung der Konformität können verschiedene Methoden eingesetzt werden, darunter Zertifizierungsprüfungen, interne Tests und unterstützende Dokumentation.
7. Im Rahmen des Erhalts eines Produkts oder einer Dienstleistung sollten Unternehmen alle Elemente identifizieren und aufzeichnen, die für die Aufrechterhaltung der Kernfunktionalität als wesentlich erachtet werden – insbesondere, wenn diese Komponenten von Subunternehmern oder ausgelagerten Vereinbarungen stammen.
8. Lieferanten sollten konkrete Zusicherungen haben, dass „kritische Komponenten“ in der gesamten IKT-Lieferkette von der Erstellung bis zur Lieferung nachverfolgt werden Teil eines Audit-Protokolls.
9. Organisationen sollten vor der Bereitstellung von IKT-Produkten und -Dienstleistungen eine kategorische Prüfung einholen. Damit soll sichergestellt werden, dass sie innerhalb des Anwendungsbereichs funktionieren und keine zusätzlichen Funktionen enthalten, die ein zusätzliches Sicherheitsrisiko darstellen könnten.
10. Komponentenspezifikationen sind von entscheidender Bedeutung, um sicherzustellen, dass ein Unternehmen die Hardware- und Softwarekomponenten versteht, die es in sein Netzwerk einführt. Organisationen sollten Bestimmungen fordern, die bestätigen, dass Komponenten bei der Lieferung legitim sind, und Lieferanten sollten während des gesamten Entwicklungslebenszyklus Maßnahmen zur Manipulationssicherheit in Betracht ziehen.
11. Es ist von entscheidender Bedeutung, Zusicherungen hinsichtlich der Konformität von IKT-Produkten mit branchenüblichen und branchenspezifischen Sicherheitsanforderungen gemäß den spezifischen Produktanforderungen zu erhalten. Dies erreichen Unternehmen häufig, indem sie ein Mindestmaß an formeller Sicherheitszertifizierung erlangen oder sich an eine Reihe international anerkannter Informationsstandards halten (z. B. die Common Criteria Recognition Arrangement).
12. Der Austausch von Informationen und Daten über gemeinsame Lieferkettenabläufe erfordert von Organisationen, dass sie sicherstellen, dass Lieferanten ihre Verpflichtungen kennen. In diesem Zusammenhang sollten Organisationen potenzielle Konflikte oder Probleme zwischen den Parteien anerkennen. Sie sollten auch zu Beginn des Prozesses wissen, wie sie diese lösen können. Alter des Prozesses.
13. Die Organisation muss Verfahren dafür entwickeln manage das Risiko beim Betrieb mit nicht unterstützten, nicht unterstützten oder älteren Komponenten, unabhängig davon, wo diese sich befinden. In solchen Situationen sollte die Organisation in der Lage sein, sich entsprechend anzupassen und Alternativen zu identifizieren.

Anhang A 5.21 Ergänzende Leitlinien

Gemäß Annex A Control 5.21 sollte die Steuerung der IKT-Lieferkette in Zusammenarbeit berücksichtigt werden. Es soll bestehende ergänzen Leitung der Lieferkette Verfahren und um Kontext für IKT-spezifische Produkte und Dienstleistungen bereitzustellen.

Die Norm ISO 27001:2022 erkennt an, dass die Qualitätskontrolle im IKT-Sektor keine detaillierte Prüfung der Compliance-Verfahren eines Lieferanten, insbesondere in Bezug auf Softwarekomponenten, umfasst.

Daher wird empfohlen, dass Organisationen lieferantenspezifische Prüfungen festlegen, mit denen überprüft wird, ob es sich bei dem Lieferanten um eine „seriöse Quelle“ handelt, und dass sie Vereinbarungen entwerfen, in denen die Verantwortlichkeiten des Lieferanten für die Informationssicherheit bei der Erfüllung eines Vertrags, einer Bestellung oder der Erbringung einer Dienstleistung detailliert festgelegt sind .

Was sind die Änderungen gegenüber ISO 27001:2013?

ISO 27001:2022 Annex A Control 5.21 ersetzt ISO 27001:2013 Annex A Control 15.1.3 (Lieferkette für Informations- und Kommunikationstechnologie).

Neben der Einhaltung der gleichen allgemeinen Leitlinien wie ISO 27001:2013 Anhang A 15.1.3 legt ISO 27001:2022 Anhang A 5.21 großen Wert auf die Verpflichtung des Lieferanten, komponentenbezogene Informationen zum Zeitpunkt der Lieferung bereitzustellen und zu überprüfen Lieferung, einschließlich:

• Anbieter von Komponenten der Informationstechnologie.
• Geben Sie einen Überblick über die Sicherheitsfunktionen eines Produkts und wie Sie es aus sicherheitstechnischer Sicht nutzen können.
• Zusicherungen hinsichtlich des erforderlichen Sicherheitsniveaus.

Gemäß ISO 27001:2022 Anhang A 5.21 ist die Organisation außerdem verpflichtet, bei der Einführung von Produkten und Dienstleistungen zusätzliche komponentenspezifische Informationen zu erstellen, wie zum Beispiel:

• Identifizieren und Dokumentieren von Schlüsselkomponenten eines Produkts oder einer Dienstleistung, die zu dessen Kernfunktionalität beitragen.
• Sicherstellung der Authentizität und Integrität von Komponenten.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Welchen Nutzen bringt ISMS.online in Bezug auf Lieferantenbeziehungen?

Dieses Annex-A-Kontrollziel wurde durch ISMS.online sehr einfach gemacht. Denn ISMS.online liefert den Nachweis, dass Ihre Beziehungen sorgfältig ausgewählt, gut verwaltet sowie überwacht und überprüft werden.

Dies geschieht in unserem benutzerfreundlichen Bereich „Kontenbeziehungen“ (z. B. Lieferanten). Arbeitsbereiche für Kooperationsprojekte ermöglichen es dem Prüfer, wichtige Lieferanten beim Boarding, bei gemeinsamen Initiativen, beim Offboarding usw. einfach zu sehen.

Darüber hinaus erleichtert ISMS.online Ihrer Organisation das Erreichen dieses Kontrollziels in Anhang A, indem es Ihnen ermöglicht, den Nachweis zu erbringen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet hat und die Verantwortlichkeiten des Lieferanten in Bezug auf die Informationssicherheit mit unseren Richtlinienpaketen verstanden hat.

Zusätzlich zu den umfassenderen Vereinbarungen zwischen einem Kunden und einem Lieferanten, Richtlinienpakete sind ideal für Organisationen mit spezifischen Richtlinien und Anhang-A-Kontrollen, die die Mitarbeiter ihrer Zulieferer einhalten sollen, um sicherzustellen, dass sie ihre Richtlinien gelesen und sich zu deren Einhaltung verpflichtet haben.

Die von uns angebotene cloudbasierte Plattform bietet zusätzlich die folgenden Funktionen

• Ein Dokumentenmanagementsystem, das einfach zu bedienen und anpassbar ist.
• Sie haben Zugriff auf eine Bibliothek mit ausgefeilten, vorgefertigten Dokumentationsvorlagen.
• Der Prozess zur Durchführung interner Audits wurde vereinfacht.
• Eine effiziente Methode zur Kommunikation mit Management und Stakeholdern.
• Um den Implementierungsprozess zu erleichtern, steht ein Workflow-Modul zur Verfügung.

Zögern Sie nicht, eine Demo zu vereinbaren Nehmen Sie noch heute Kontakt mit uns auf.