Kontrolle 5.21 – Management der Informationssicherheit in der IKT-Lieferkette

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

modern,architektur,bank,finanzen,büro,turm,gebäude

Zweck der Kontrolle 5.21

Control 5.21 regelt, wie Organisationen Informationssicherheit verwalten Risiken in der gesamten IKT-Lieferkette durch die Implementierung robuster Prozesse und Verfahren vor der Lieferung von Produkten oder Dienstleistungen.

5.21 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung eines „vereinbarten Sicherheitsniveaus“ zwischen beiden Parteien im gesamten IKT-Bereich Supply Chain.

Attributtabelle der Steuerung 5.21

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit #Integrität #Verfügbarkeit#Identifizieren#Sicherheit von Lieferantenbeziehungen#Governance und Ökosystem #Schutz

Eigentum an der Kontrolle 5.21

Kontrolle 5.21 konzentriert sich ausdrücklich auf die Bereitstellung von IKT-Diensten über einen Lieferanten oder eine Gruppe von Lieferanten.

Daher sollte die Verantwortung bei der Person liegen, die für den Erwerb, die Verwaltung und die Erneuerung der IKT verantwortlich ist Lieferantenbeziehungen über alle Geschäftsfunktionen hinweg, wie z Chief Technical Officer or Head of IT.

Zum Thema springen
Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Dean Fields
IT Director NHS-Profis
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Allgemeine Leitlinien zur Kontrolle 5.21

Die ISO legt 13 IKT-bezogene Leitpunkte fest, die berücksichtigt werden sollten neben alle anderen Kontrollen, die die Beziehung einer Organisation zu ihren Lieferanten bestimmen.

Angesichts der Ausweitung plattformübergreifender On-Premise- und Cloud-Dienste im letzten Jahrzehnt befasst sich Control 5.21 mit der Bereitstellung beider Dienste Hardware und Software.-bezogene Komponenten und Dienste (sowohl vor Ort als auch cloudbasiert) und unterscheidet selten zwischen beiden.

Neben der Beziehung zwischen dem Lieferanten und der Organisation befassen sich mehrere Kontrollen auch mit den Pflichten eines Lieferanten bei der Untervergabe von Elementen der Lieferkette an Drittorganisationen.

  1. Organisationen sollten einen klaren Satz von erstellen Informationssicherheit Standards, die auf ihre individuellen Bedürfnisse zutreffen, um klare Erwartungen darüber festzulegen, wie sich Lieferanten bei der Bereitstellung von IKT-Produkten und -Dienstleistungen verhalten sollen.
  2. Wenn der IKT-Anbieter ein Element der Lieferkette an Subunternehmer vergibt, sollte der Lieferant Maßnahmen ergreifen, um sicherzustellen, dass die Auftragnehmer und ihr Personal mit den einzigartigen Informationssicherheitsstandards der Organisation vollständig vertraut sind.
  3. Wenn die Notwendigkeit besteht, von einem Dritten erworbene Komponenten (physisch oder virtuell) zu erwerben, sollte der Lieferant die Sicherheitsanforderungen der Organisation an alle Anbieter oder Zulieferer weitergeben, die er selbst nutzt.
  4. Lieferanten sollten gebeten werden, Informationen über die Art und Funktion der Softwarekomponenten bereitzustellen, die sie zur Erbringung einer Dienstleistung für die Organisation verwenden.
  5. Organisationen sollten die zugrunde liegenden Sicherheitsfunktionen jedes bereitgestellten Produkts oder Dienstes identifizieren und wissen, wie das Produkt oder der Dienst so betrieben werden kann, dass dies gewährleistet ist geht bei der Informationssicherheit keine Kompromisse ein.
  6. Unternehmen sollten Risikoniveaus nicht als selbstverständlich betrachten und Verfahren entwerfen, die sicherstellen, dass alle von einem Lieferanten gelieferten Produkte oder Dienstleistungen sicher sind und anerkannten Industriestandards entsprechen. Zu den Methoden können Zertifizierungsprüfungen, interne Tests und unterstützende Compliance-Dokumentation gehören.
  7. Beim Erhalt eines Produkts oder einer Dienstleistung sollten Unternehmen einen Prozess einhalten, bei dem zunächst alle Elemente identifiziert und dann aufgezeichnet werden, die für die Aufrechterhaltung der Kernfunktionalität als wesentlich erachtet werden – insbesondere, wenn diese Komponenten von einem Unterauftragnehmer/ausgelagerten Vertrag stammen.
  8. Lieferanten sollten konkrete Zusicherungen geben können, dass „kritische Komponenten“ von einer gründlichen Überprüfung profitieren Audit-Log das ihre Bewegung entlang der gesamten IKT-Lieferkette verfolgt, von der Erstellung bis zur Lieferung.
  9. Bei der Bereitstellung von IKT-Produkten und -Diensten sollten Organisationen kategorisch sicherstellen, dass diese Produkte und Dienste nicht nur innerhalb des Leistungsumfangs funktionieren, sondern auch keine zusätzlichen Funktionen enthalten, die eine Sicherheit darstellen könnten Sicherheitsrisiko.
  10. Komponentenspezifikationen sind der Schlüssel, um sicherzustellen, dass ein Unternehmen die Hardware- und Softwarekomponenten versteht, die es in sein Netzwerk einführt. Lieferanten sollten während des gesamten Entwicklungslebenszyklus Maßnahmen zur Manipulationssicherheit in Betracht ziehen, und Organisationen sollten Bestimmungen fordern, die Komponenten bei der Lieferung als legitim verifizieren.
  11. Es sollten Zusicherungen eingeholt werden, um zu bestätigen, dass IKT-Produkte mit Industriestandards und/oder branchenspezifischen Standards übereinstimmen Sicherheitsanforderungen, je nach Produkt. Zu den gängigen Methoden, um dies zu erreichen, gehören das Erreichen eines Mindestniveaus an formaler Sicherheitszertifizierung oder die Einhaltung einer Reihe international anerkannter Informationsstandards (z. B. der Common Criteria Recognition Arrangement) für jedes Produkt.
  12. Organisationen sollten Maßnahmen ergreifen, um dies sicherzustellen Lieferanten sind sich dessen bewusst über ihre Pflichten beim Austausch von Informationen und/oder Daten im Zusammenhang mit der gegenseitigen Lieferkette, einschließlich der Anerkennung etwaiger potenzieller Konflikte oder Probleme, die zwischen beiden Parteien entstehen können, und der Art und Weise, wie mit ihnen an der Quelle umzugehen ist.
  13. Unternehmen müssen Verfahren entwerfen, die das Risiko managen, wenn sie mit nicht verfügbaren, nicht unterstützten oder veralteten Komponenten arbeiten, unabhängig davon, wo diese sich befinden. Wenn Komponenten in eine dieser Kategorien fallen, sollten Organisationen in der Lage sein, sich entsprechend anzupassen und Alternativen zu identifizieren.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Ergänzende Anleitung

Es ist wichtig zu beachten, dass die Governance der IKT-Lieferkette im Einklang mit dieser Kontrolle nicht isoliert betrachtet werden sollte. Control 5.21 soll bestehende Supply-Chain-Management-Verfahren ergänzen und Kontext für IKT-spezifische Produkte und Dienstleistungen bieten.

Die ISO erkennt an, dass sich die Qualitätskontrolle im Bereich von IKT-Produkten und -Dienstleistungen insbesondere bei Softwarekomponenten nicht auf eine detaillierte Überprüfung der eigenen Compliance-Verfahren des Lieferanten erstreckt.

Daher werden Organisationen dazu ermutigt, lieferantenspezifische Kontrollen zu identifizieren, die den Lieferanten als „seriöse Quelle“ verifizieren, und Vereinbarungen zu entwerfen, in denen die Informationssicherheitsverpflichtungen des Lieferanten bei der Erfüllung eines Vertrags, einer Bestellung oder der Erbringung einer Dienstleistung kategorisch festgelegt sind.

Kontrolle 5.21 Änderungen gegenüber ISO 27002:2013

ISO 27002 :2022-5.21 ersetzt ISO 27002:2013-15.1.3 (Lieferkette für Informations- und Kommunikationstechnologie).

ISO 27002:2022-5.21 hält sich an die gleichen allgemeinen Leitlinien wie ISO 27002:2013-15.1.3, legt jedoch einen weitaus größeren Schwerpunkt auf die Verpflichtung eines Lieferanten, komponentenbezogene Informationen am Lieferort bereitzustellen und zu überprüfen, einschließlich:

  • IKT-Anbieter, die Komponenteninformationen bereitstellen.
  • IKT-Anbieter erläutern die Sicherheitsfunktionen eines Produkts und wie es unter Sicherheitsaspekten am besten betrieben werden kann.
  • Zusicherungen hinsichtlich erforderlicher Sicherheitsstufen.

ISO 27002:2022-5.21 fordert die Organisation außerdem auf, zusätzliche komponentenspezifische Informationen zu erstellen, um das allgemeine Maß an Informationssicherheit bei der Einführung von Produkten und Dienstleistungen zu erhöhen, einschließlich:

  • Identifizieren und Dokumentieren von Komponenten, die für die Kernfunktionalität des Produkts oder der Dienstleistung entscheidend sind.
  • Sicherstellen, dass die Komponenten echt und unverändert sind.

Wie ISMS.online hilft

At ISMS.onlineWir haben ein umfassendes und benutzerfreundliches System aufgebaut, das Sie bei der Implementierung von ISO 27002-Kontrollen und der Verwaltung Ihres gesamten ISMS unterstützen kann.

Unsere cloudbasierte Plattform bietet:

  • Ein benutzerfreundliches und anpassbares Dokumentationsverwaltungssystem.
  • Zugriff auf eine Bibliothek ausgefeilter, vorgefertigter Dokumentationsvorlagen.
  • Ein vereinfachter Prozess zur Durchführung interner Audits.
  • Eine effiziente Methode zur Kommunikation mit Management und Stakeholdern.
  • Ein Workflow-Modul zur Optimierung des Implementierungsprozesses.

ISMS.online verfügt über all diese FunktionenUnd vieles mehr.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren