מהי המטרה של ISO 27001:2022 נספח A 5.21?
בנספח A בקרה 5.21, ארגונים חייבים ליישם תהליכים ונהלים חזקים לפני אספקת מוצרים או שירותים כלשהם ל לנהל סיכוני אבטחת מידע.
בקרה 5.21 בנספח א' היא בקרה מונעת השומרת על הסיכון בתוך שרשרת אספקת ה-ICT על ידי קביעת "רמת אבטחה מוסכמת" בין הצדדים.
נספח A 5.21 ל-ISO 27001 מכוון לספקי ICT שעשויים להזדקק למשהו נוסף או במקום הגישה הסטנדרטית. למרות ש-ISO 27001 ממליץ על תחומים רבים ליישום, נדרשת גם פרגמטיות. בהתחשב בגודל הארגון בהשוואה לכמה מהחברות הגדולות מאוד איתן הוא יעבוד מדי פעם (למשל מרכזי נתונים, שירותי אירוח, בנקים וכו'), ייתכן שיהיה עליו יכולת להשפיע על שיטות עבודה בהמשך שרשרת האספקה.
בהתאם לשירותי טכנולוגיית המידע והתקשורת הניתנים, על הארגון להעריך היטב את הסיכונים שעלולים להיווצר. במקרה של ספק שירות קריטי לתשתית, למשל, חשוב להבטיח הגנה גדולה יותר מאשר אם לספק יש גישה רק למידע זמין לציבור (למשל קוד מקור עבור שירות תוכנת הדגל) אם הספק מספק שירותים קריטיים לתשתית.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' בקרה 5.21
בנספח א' בקרה 5.21, ההתמקדות היא במתן שירותי טכנולוגיית מידע ותקשורת על ידי ספק או קבוצת ספקים.
לכן, האדם האחראי על רכישה, ניהול וחידוש קשרי ספקי ICT בכל הפונקציות העסקיות, כגון קצין טכני ראשי או ראש תחום טכנולוגיות מידע, צריכה להיות בעלות על תהליך זה.
ISO 27001:2022 נספח A 5.21 – הנחיות כלליות
השמיים תקן ISO 27001 מפרט 13 נקודות הנחיה הקשורות ל-ICT שיש לקחת בחשבון לצד כל בקרות אחרות של נספח A השולטות ביחסי ארגון עם הספקים שלו.
במהלך העשור האחרון, שירותי on-premise ושירותי ענן חוצי פלטפורמות הפכו פופולריים יותר ויותר. ISO 27001:2022 נספח א Control 5.21 עוסק באספקת רכיבים ושירותים הקשורים לחומרה ותוכנה (הן מקומיים והן מבוססי ענן) אך רק לעתים רחוקות מבדיל בין השניים.
מספר בקרות נספח א' מתייחסות ליחסים בין הספק לארגון ולהתחייבויות הספק בעת קבלנות משנה של חלקים משרשרת האספקה לצדדים שלישיים.
- ארגונים צריכים לנסח סט מקיף של אבטחת מידע סטנדרטים המותאמים לצרכיהם הספציפיים כדי להגדיר ציפיות ברורות לגבי אופן ההתנהלות של ספקים באספקת מוצרים ושירותי ICT.
- ספקי תקשוב אחראים לוודא שהקבלנים ואנשי הצוות שלהם מכירים היטב את תקני אבטחת המידע הייחודיים של הארגון. זה נכון אם הם נותנים קבלנות משנה לחלק כלשהו בשרשרת האספקה.
- הספק חייב לתקשר את דרישות האבטחה של הארגון לכל ספק או ספק שהם משתמשים בהם כאשר מתעורר צורך לרכוש רכיבים (פיזיים או וירטואליים) מצדדים שלישיים.
- ארגון צריך לבקש מידע מספקים בנוגע לאופי ותפקודם של רכיבי התוכנה.
- על הארגון לזהות ולהפעיל כל מוצר או שירות הניתנים באופן שאינו פוגע באבטחת המידע.
- אין לקחת את רמות הסיכון כמובן מאליו על ידי ארגונים. במקום זאת, ארגונים צריכים לנסח נהלים המבטיחים שכל מוצר או שירות המסופקים על ידי ספקים מאובטחים ועומדים בתקנים בתעשייה. ניתן להשתמש במספר שיטות כדי להבטיח תאימות, כולל בדיקות הסמכה, בדיקות פנימיות ותיעוד תומך.
- כחלק מקבלת מוצר או שירות, ארגונים צריכים לזהות ולתעד את כל המרכיבים הנחשבים חיוניים לשמירה על פונקציונליות הליבה - במיוחד אם רכיבים אלו נגזרו מקבלני משנה או הסכמים במיקור חוץ.
- לספקים צריכים להיות הבטחות קונקרטיות ש"מרכיבים קריטיים" נמצאים במעקב לאורך שרשרת אספקת ה-ICT משלב היצירה ועד המסירה. חלק מיומן ביקורת.
- ארגונים צריכים לחפש ביטחון קטגורי לפני אספקת מוצרים ושירותי ICT. זאת על מנת להבטיח שהם פועלים במסגרת הטווח ואינם מכילים תכונות נוספות שעלולות להוות סיכון אבטחה נלווה.
- מפרטי הרכיבים חיוניים כדי להבטיח שארגון מבין את רכיבי החומרה והתוכנה שהוא מציג לרשת שלו. ארגונים צריכים לדרוש תנאים המאשרים שרכיבים הם לגיטימיים בעת המסירה, וספקים צריכים לשקול אמצעים נגד חבלה לאורך מחזור חיי הפיתוח.
- זה קריטי להשיג הבטחות לגבי התאימות של מוצרי ICT לדרישות אבטחה סטנדרטיות בתעשייה וספציפיות למגזר בהתאם לדרישות המוצר הספציפיות. מקובל שחברות משיגות זאת על ידי השגת רמה מינימלית של הסמכת אבטחה פורמלית או עמידה בסט תקני מידע מוכרים בינלאומיים (לדוגמה, הסדר ההכרה בקריטריונים משותפים).
- שיתוף מידע ונתונים בנוגע לפעולות הדדיות של שרשרת האספקה מחייב ארגונים להבטיח שהספקים יודעים את חובותיהם. בהקשר זה, ארגונים צריכים להכיר בקונפליקטים או בבעיות פוטנציאליות בין הצדדים. הם צריכים גם לדעת איך לפתור אותם בתחילת התהליך. גיל התהליך.
- על הארגון לפתח נהלים כדי לנהל סיכון כאשר פועלים עם רכיבים לא נתמכים, לא נתמכים או מדור קודם, בכל מקום שבו הם נמצאים. במצבים אלו, הארגון אמור להיות מסוגל להתאים ולזהות חלופות בהתאם.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
נספח א' 5.21 הנחיות משלימות
לפי נספח A בקרה 5.21, יש לשקול ממשל שרשרת אספקת ICT בשיתוף פעולה. הוא נועד להשלים את הקיים ניהול שרשרת הספקה נהלים ולספק הקשר למוצרים ושירותים ספציפיים ל-ICT.
תקן ISO 27001:2022 מכיר בכך שבקרת איכות במגזר ה-ICT אינה כוללת בדיקה מפורטת של נהלי התאימות של הספק, במיוחד לגבי רכיבי תוכנה.
לכן מומלץ לארגונים לזהות בדיקות ספציפיות לספק המשמשות לאימות שהספק הוא "מקור בעל מוניטין" ולנסח הסכמים המציינים בפירוט את אחריות הספק לאבטחת מידע בעת מילוי חוזה, הזמנה או מתן שירות. .
מהם השינויים מ-ISO 27001:2013?
ISO 27001:2022 נספח A Control 5.21 מחליף את ISO 27001:2013 נספח A Control 15.1.3 (שרשרת אספקה לטכנולוגיית מידע ותקשורת).
בנוסף להקפדה על אותם כללי הנחיות כלליים כמו ISO 27001:2013 נספח A 15.1.3, ISO 27001:2022 נספח A 5.21 שם דגש רב על חובת הספק לספק ולאמת מידע הקשור לרכיבים בנקודה של אספקה, כולל:
- ספקי רכיבי טכנולוגיית מידע.
- ספק סקירה כללית של תכונות האבטחה של מוצר וכיצד להשתמש בו מנקודת מבט של אבטחה.
- הבטחות לגבי רמת האבטחה הנדרשת.
על פי ISO 27001:2022 נספח A 5.21, הארגון נדרש גם ליצור מידע ספציפי לרכיבים נוספים בעת הצגת מוצרים ושירותים, כגון:
- זיהוי ותיעוד מרכיבים מרכזיים של מוצר או שירות התורמים לפונקציונליות הליבה שלו.
- הבטחת האותנטיות והשלמות של הרכיבים.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןמה היתרון של ISMS.online בכל הנוגע ליחסי ספקים?
מטרת בקרה זו של נספח A נעשתה קלה מאוד על ידי ISMS.online. הסיבה לכך היא ש-ISMS.online מספק ראיות לכך שמערכות היחסים שלך נבחרות בקפידה, מנוהלות היטב, ומפוקחות ונבדקות.
זה נעשה באזור קשרי החשבונות הקלים לשימוש שלנו (למשל ספקים). פרויקטים של שיתופי פעולה חללי עבודה מאפשרים למבקר לצפות בקלות בספק מפתח במטוס, יוזמות משותפות, יציאה למטוס וכו'.
בנוסף, ISMS.online הקל על הארגון שלך להשיג יעד בקרה זה בנספח A בכך שהוא מאפשר לך לספק הוכחות לכך שהספק התחייב רשמית לעמוד בדרישות והבין את האחריות של הספק לגבי אבטחת מידע עם ערכות המדיניות שלנו.
בנוסף להסכמים הרחבים יותר בין לקוח לספק, חבילות מדיניות הם אידיאליים עבור ארגונים עם מדיניות ספציפית ובקרות נספח A שהם מעוניינים שצוות הספקים יקפיד עליהם, תוך הבטחה שהם קראו את המדיניות שלהם והתחייבו לפעול בהתאם.
הפלטפורמה מבוססת הענן שאנו מציעים מספקת בנוסף את התכונות הבאות
- מערכת ניהול מסמכים נוחה לשימוש וניתנת להתאמה אישית.
- תהיה לך גישה לספרייה של תבניות תיעוד מלוטשות וכתובות מראש.
- תהליך ביצוע הביקורות הפנימיות פושט.
- שיטת תקשורת עם ההנהלה ובעלי העניין יעילה.
- מודול זרימת עבודה מסופק כדי להקל על תהליך היישום.
כדי לתזמן הדגמה, אל תהססו צרו איתנו קשר היום.
קפוץ לנושא
