בקרה 5.21 קובעת כיצד ארגונים לנהל אבטחת מידע סיכונים לאורך שרשרת אספקת ה-ICT שלהם, על ידי יישום תהליכים ונהלים חזקים לפני אספקת המוצרים או השירותים.
5.21 הוא בקרה מונעת זֶה שומר על סיכון על ידי הקמת "רמת אבטחה מוסכמת" בין שני הצדדים לאורך כל ה-ICT שרשרת אספקה.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות | #אבטחת קשרי ספקים | #ממשל ומערכת אקולוגית #הגנה |
בקרה 5.21 מתמקדת במפורש במתן שירותי ICT, באמצעות ספק או קבוצת ספקים.
ככזה, הבעלות צריכה להיות בידי האדם האחראי לרכישה, ניהול וחידוש ה-ICT קשרי ספקים בכל הפונקציות העסקיות, כגון א מנהל טכני ראשי or מנהל מערכות מידע.
עם ISMS.online, אתגרים סביב בקרת גרסאות, אישור מדיניות ושיתוף מדיניות הם נחלת העבר.
ISO קובע 13 נקודות הדרכה הקשורות לתקשוב שיש לקחת בחשבון בַּצַד כל בקרות אחרות המכתיבות את מערכת היחסים של ארגון עם הספקים שלו.
בהתחשב בהתרחבות של שירותי On-Premise ושירותי ענן חוצי פלטפורמות בעשור האחרון, Control 5.21 עוסק באספקת שניהם חומרה ו תוֹכנָה-רכיבים ושירותים הקשורים (הן מקומיים והן מבוססי ענן), ולעתים רחוקות יוצר הבחנה בין השניים.
בנוסף ליחסים בין הספק לארגון, מספר בקרות עוסקות גם בהתחייבויות של ספק בעת קבלנות משנה של רכיבים בשרשרת האספקה לארגוני צד שלישי.
חשוב לציין שאין לקחת את ממשל שרשרת אספקת ה-ICT במנותק, בהתאם לבקרה זו. Control 5.21 נועד להשלים את נהלי ניהול שרשרת האספקה הקיימים, ולהציע הקשר למוצרים ושירותים ספציפיים ל-ICT.
ISO מכירה בכך שבמיוחד בכל הנוגע לרכיבי תוכנה, בקרת האיכות בתחום מוצרי ושירותי ה-ICT אינה משתרעת על בדיקה פרטנית של מערך נהלי הציות של הספק עצמו.
ככזה, ארגונים מעודדים לזהות בדיקות ספציפיות לספק המאמתות את הספק כ"מקור מכובד" ולנסח הסכמים המציינים באופן קטגורי את חובות אבטחת המידע של הספק, בעת מילוי חוזה, הזמנה או מתן שירות.
ISO 27002:2022-5.21 מחליף את ISO 27002:2013-15.1.3 (שרשרת אספקת טכנולוגיות מידע ותקשורת).
ISO 27002:2022-5.21 מציית לאותה קבוצה של כללי הנחיות כלליים כמו ISO 27002:2013-15.1.3, אך שם דגש גדול בהרבה על חובתו של ספק לספק ולאמת מידע הקשור לרכיבים בנקודת האספקה, כולל:
ISO 27002:2022-5.21 גם מבקש מהארגון ליצור מידע נוסף ספציפי לרכיבים כדי להגביר את הרמות הכלליות של אבטחת מידע בעת הצגת מוצרים ושירותים, כולל:
At ISMS.online, בנינו מערכת מקיפה וקלה לשימוש שיכולה לעזור לך ליישם בקרות ISO 27002 ולנהל את כל ה-ISMS שלך.
הפלטפורמה מבוססת הענן שלנו מציעה:
ל-ISMS.online יש את כל התכונות הללו, ועוד.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |