ניהול אבטחת מידע בשרשרת אספקת ה-ICT

ISO 27002:2022 – בקרה 5.21 – ניהול אבטחת מידע בשרשרת אספקת ה-ICT

ISO 27002:2022 בקרה 5.21 מתמקד בניהול סיכוני אבטחת מידע בשרשרת אספקת ה-ICT על ידי הבטחת הספקים לעמוד בתקני אבטחה מוסכמים, המכסים הן רכיבי חומרה ותוכנה, כולל פתרונות מבוססי ענן. הוא מדגיש ציפיות ברורות, אחריות ספקים וניהול סיכונים לאורך שרשרת האספקה.

מטרת הבקרה 5.21

בקרה 5.21 קובעת כיצד ארגונים לנהל אבטחת מידע סיכונים לאורך שרשרת אספקת ה-ICT שלהם, על ידי יישום תהליכים ונהלים חזקים לפני אספקת המוצרים או השירותים.

5.21 הוא בקרה מונעת זֶה שומר על סיכון על ידי הקמת "רמת אבטחה מוסכמת" בין שני הצדדים לאורך כל ה-ICT שרשרת אספקה.

טבלת בקרה של תכונות 5.21

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לזהות	#אבטחת קשרי ספקים	#ממשל ומערכת אקולוגית
	#יושרה			#הֲגָנָה
	#זמינות

בעלות על שליטה 5.21

בקרה 5.21 מתמקדת במפורש במתן שירותי ICT, באמצעות ספק או קבוצת ספקים.

ככזה, הבעלות צריכה להיות בידי האדם האחראי לרכישה, ניהול וחידוש ה-ICT קשרי ספקים בכל הפונקציות העסקיות, כגון א מנהל טכני ראשי or מנהל מערכות מידע.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

הנחיות כלליות בנושא בקרה 5.21

ISO קובע 13 נקודות הדרכה הקשורות לתקשוב שיש לקחת בחשבון בַּצַד כל בקרות אחרות המכתיבות את מערכת היחסים של ארגון עם הספקים שלו.

בהתחשב בהתרחבות של שירותי On-Premise ושירותי ענן חוצי פלטפורמות בעשור האחרון, Control 5.21 עוסק באספקת שניהם חומרה ו תוֹכנָה-רכיבים ושירותים הקשורים (הן מקומיים והן מבוססי ענן), ולעתים רחוקות יוצר הבחנה בין השניים.

בנוסף ליחסים בין הספק לארגון, מספר בקרות עוסקות גם בהתחייבויות של ספק בעת קבלנות משנה של רכיבים בשרשרת האספקה לארגוני צד שלישי.

ארגונים צריכים לנסח סט ברור של אבטחת מידע סטנדרטים החלים על הצרכים האישיים שלהם, כדי להגדיר ציפיות ברורות לגבי אופן ההתנהלות של ספקים בעת אספקת מוצרים ושירותי ICT.
אם ספק ה-ICT מבצע קבלן משנה כלשהו בשרשרת האספקה, על הספק לנקוט באמצעים כדי להבטיח שהקבלנים ואנשיהם בקיאים במלואם בתקני אבטחת המידע הייחודיים של הארגון.
אם מתעורר צורך לרכוש רכיבים (פיזיים או וירטואליים) שנרכשו מצד שלישי, על הספק להפיץ את דרישות האבטחה של הארגון לכל ספק או ספק שהם עצמם משתמשים בהם.
יש לבקש מהספקים לספק מידע על האופי והתפקוד של רכיבי התוכנה שבהם הם משתמשים כדי לספק שירות לארגון.
ארגונים צריכים לזהות את פונקציות האבטחה הבסיסיות של כל מוצר או שירות שסופק, וכיצד לתפעל את המוצר או השירות האמורים באופן לא מתפשר על אבטחת מידע.
ארגונים לא צריכים לקחת את רמות הסיכון כמובנות מאליהן, וטיוטת נהלים המבטיחים שכל המוצרים או השירותים שספק מספק הם בעלי אופי מאובטח ועומדים בתקנים המקובלים בתעשייה. השיטות עשויות לכלול בדיקות הסמכה, בדיקות פנימיות ותיעוד תאימות תומך.
בעת קבלת מוצר או שירות, ארגונים צריכים לדבוק בתהליך של זיהוי תחילה ולאחר מכן רישום של רכיבים הנחשבים כחיוניים לשמירה על פונקציונליות הליבה - במיוחד אם רכיבים אלה מקורם בהסכם של קבלן משנה/מיקור חוץ.
ספקים צריכים להיות מסוגלים לספק הבטחות קונקרטיות לכך ש"רכיבים קריטיים" נהנים מטיפול יסודי יומן ביקורת העוקב אחר תנועתם לאורך שרשרת אספקת ה-ICT, מהיצירה ועד למסירה.
כאשר מוצרי ושירותי ICT מסופקים, ארגונים צריכים לבקש ביטחון קטגורי שהמוצרים והשירותים האמורים אינם פועלים רק בהיקף, אלא אינם מכילים תכונות נוספות שעשויות להוות בטחונות. סיכון ביטחוני.
מפרטי הרכיבים הם המפתח להבטיח שארגון מבין את רכיבי החומרה והתוכנה שהוא מכניס לרשת שלו. על הספקים לשקול אמצעים למניעת שיבוש לאורך כל מחזור חיי הפיתוח, וארגונים צריכים לדרוש תנאים המאמתים רכיבים כלגיטימיים עם המסירה.
יש לחפש הבטחות כדי לאשר שמוצרי ICT מתאימים לסטנדרטים בתעשייה ו/או למגזר ספציפי דרישות אבטחה, לפי רלוונטי לכל מוצר. שיטות נפוצות להשגת זאת כוללות השגת רמה מינימלית של הסמכת אבטחה פורמלית, או עמידה בסט של תקני מידע מוכרים בינלאומיים (כגון הסדר לזיהוי קריטריונים) לכל מוצר.
ארגונים צריכים לנקוט בצעדים כדי להבטיח זאת הספקים מודעים לכך של מחויבויותיהם בעת שיתוף מידע ו/או נתונים הנוגעים לפעולת שרשרת האספקה ההדדית, לרבות הכרה בכל קונפליקטים או בעיות פוטנציאליים שעלולים להתעורר בין שני הצדדים, וכיצד לטפל בהם במקור.
ארגונים צריכים לנסח נהלים המנהלים סיכונים כאשר הם פועלים עם רכיבים לא זמינים, לא נתמכים או מדור קודם, בכל מקום שבו הם נמצאים. כאשר רכיבים נפלו לאחת מהקטגוריות הללו, ארגונים צריכים להיות מסוגלים להסתגל בהתאם ולזהות חלופות.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

הדרכה משלימה

חשוב לציין שאין לקחת את ממשל שרשרת אספקת ה-ICT במנותק, בהתאם לבקרה זו. Control 5.21 נועד להשלים את נהלי ניהול שרשרת האספקה הקיימים, ולהציע הקשר למוצרים ושירותים ספציפיים ל-ICT.

ISO מכירה בכך שבמיוחד בכל הנוגע לרכיבי תוכנה, בקרת האיכות בתחום מוצרי ושירותי ה-ICT אינה משתרעת על בדיקה פרטנית של מערך נהלי הציות של הספק עצמו.

ככזה, ארגונים מעודדים לזהות בדיקות ספציפיות לספק המאמתות את הספק כ"מקור מכובד" ולנסח הסכמים המציינים באופן קטגורי את חובות אבטחת המידע של הספק, בעת מילוי חוזה, הזמנה או מתן שירות.

בקרה 5.21 שינויים מ-ISO 27002:2013

ISO 27002:2022-5.21 מחליף את ISO 27002:2013-15.1.3 (שרשרת אספקת טכנולוגיות מידע ותקשורת).

ISO 27002:2022-5.21 מציית לאותה קבוצה של כללי הנחיות כלליים כמו ISO 27002:2013-15.1.3, אך שם דגש גדול בהרבה על חובתו של ספק לספק ולאמת מידע הקשור לרכיבים בנקודת האספקה, כולל:

ספקי ICT המספקים מידע על רכיבים.
ספקי ICT המתארים את פונקציות האבטחה של מוצר וכיצד להפעילו בצורה הטובה ביותר מנקודת מבט אבטחה.
הבטחות לגבי רמות האבטחה הנדרשות.

ISO 27002:2022-5.21 גם מבקש מהארגון ליצור מידע נוסף ספציפי לרכיבים כדי להגביר את הרמות הכלליות של אבטחת מידע בעת הצגת מוצרים ושירותים, כולל:

זיהוי ותיעוד רכיבים חיוניים לפונקציונליות הליבה של המוצר או השירות.
להבטיח שהרכיבים הם מקוריים וללא שינוי.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

At ISMS.online, בנינו מערכת מקיפה וקלה לשימוש שיכולה לעזור לך ליישם בקרות ISO 27002 ולנהל את כל ה-ISMS שלך.

הפלטפורמה מבוססת הענן שלנו מציעה:

מערכת ניהול תיעוד קלה לשימוש והתאמה אישית.
גישה לספרייה של תבניות תיעוד מלוטשות וכתובות מראש.
תהליך פשוט לביצוע ביקורות פנימיות.
שיטה יעילה לתקשורת עם ההנהלה ובעלי העניין.
מודול זרימת עבודה לייעול תהליך ההטמעה.

ל-ISMS.online יש את כל התכונות הללו, ועוד.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו