Control 5.21 regelt, wie Organisationen Informationssicherheit verwalten Risiken in der gesamten IKT-Lieferkette durch die Implementierung robuster Prozesse und Verfahren vor der Lieferung von Produkten oder Dienstleistungen.
5.21 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung eines „vereinbarten Sicherheitsniveaus“ zwischen beiden Parteien im gesamten IKT-Bereich Supply Chain.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Sicherheit von Lieferantenbeziehungen | #Governance und Ökosystem #Schutz |
Kontrolle 5.21 konzentriert sich ausdrücklich auf die Bereitstellung von IKT-Diensten über einen Lieferanten oder eine Gruppe von Lieferanten.
Daher sollte die Verantwortung bei der Person liegen, die für den Erwerb, die Verwaltung und die Erneuerung der IKT verantwortlich ist Lieferantenbeziehungen über alle Geschäftsfunktionen hinweg, wie z Chief Technical Officer or Head of IT.
Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Die ISO legt 13 IKT-bezogene Leitpunkte fest, die berücksichtigt werden sollten neben alle anderen Kontrollen, die die Beziehung einer Organisation zu ihren Lieferanten bestimmen.
Angesichts der Ausweitung plattformübergreifender On-Premise- und Cloud-Dienste im letzten Jahrzehnt befasst sich Control 5.21 mit der Bereitstellung beider Dienste Hardware und Software.-bezogene Komponenten und Dienste (sowohl vor Ort als auch cloudbasiert) und unterscheidet selten zwischen beiden.
Neben der Beziehung zwischen dem Lieferanten und der Organisation befassen sich mehrere Kontrollen auch mit den Pflichten eines Lieferanten bei der Untervergabe von Elementen der Lieferkette an Drittorganisationen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Es ist wichtig zu beachten, dass die Governance der IKT-Lieferkette im Einklang mit dieser Kontrolle nicht isoliert betrachtet werden sollte. Control 5.21 soll bestehende Supply-Chain-Management-Verfahren ergänzen und Kontext für IKT-spezifische Produkte und Dienstleistungen bieten.
Die ISO erkennt an, dass sich die Qualitätskontrolle im Bereich von IKT-Produkten und -Dienstleistungen insbesondere bei Softwarekomponenten nicht auf eine detaillierte Überprüfung der eigenen Compliance-Verfahren des Lieferanten erstreckt.
Daher werden Organisationen dazu ermutigt, lieferantenspezifische Kontrollen zu identifizieren, die den Lieferanten als „seriöse Quelle“ verifizieren, und Vereinbarungen zu entwerfen, in denen die Informationssicherheitsverpflichtungen des Lieferanten bei der Erfüllung eines Vertrags, einer Bestellung oder der Erbringung einer Dienstleistung kategorisch festgelegt sind.
ISO 27002 :2022-5.21 ersetzt ISO 27002:2013-15.1.3 (Lieferkette für Informations- und Kommunikationstechnologie).
ISO 27002:2022-5.21 hält sich an die gleichen allgemeinen Leitlinien wie ISO 27002:2013-15.1.3, legt jedoch einen weitaus größeren Schwerpunkt auf die Verpflichtung eines Lieferanten, komponentenbezogene Informationen am Lieferort bereitzustellen und zu überprüfen, einschließlich:
ISO 27002:2022-5.21 fordert die Organisation außerdem auf, zusätzliche komponentenspezifische Informationen zu erstellen, um das allgemeine Maß an Informationssicherheit bei der Einführung von Produkten und Dienstleistungen zu erhöhen, einschließlich:
At ISMS.onlineWir haben ein umfassendes und benutzerfreundliches System aufgebaut, das Sie bei der Implementierung von ISO 27002-Kontrollen und der Verwaltung Ihres gesamten ISMS unterstützen kann.
Unsere cloudbasierte Plattform bietet:
ISMS.online verfügt über all diese FunktionenUnd vieles mehr.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wir sind kostengünstig und schnell