¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:5.21?
En el Anexo A Control 5.21, las organizaciones deben implementar procesos y procedimientos sólidos antes de suministrar cualquier producto o servicio a gestionar los riesgos de seguridad de la información.
El control 5.21 del Anexo A es un control preventivo que mantiene el riesgo dentro de la cadena de suministro de TIC mediante el establecimiento de un “nivel de seguridad acordado” entre las partes.
El Anexo A 5.21 de ISO 27001 está dirigido a proveedores de TIC que puedan necesitar algo además o en lugar del enfoque estándar. Aunque ISO 27001 recomienda numerosas áreas de implementación, también se requiere pragmatismo. Teniendo en cuenta el tamaño de la organización en comparación con algunas de las empresas muy grandes con las que ocasionalmente trabajará (por ejemplo, centros de datos, servicios de alojamiento, bancos, etc.), es posible que necesite tener la capacidad de influir en las prácticas que se encuentran más abajo en la cadena de suministro.
Dependiendo de los servicios de tecnología de la información y las comunicaciones que se proporcionen, la organización debe evaluar cuidadosamente los riesgos que puedan surgir. En el caso de un proveedor de servicios de infraestructura crítica, por ejemplo, es importante garantizar una mayor protección que si el proveedor sólo tuviera acceso a información disponible públicamente (por ejemplo, código fuente para el servicio de software insignia) si el proveedor proporciona servicios de infraestructura crítica.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del control del Anexo A 5.21
En el Anexo A Control 5.21, la atención se centra en la prestación de servicios de tecnología de la información y las comunicaciones por parte de un proveedor o grupo de proveedores.
Por lo tanto, la persona responsable de adquirir, gestionar y renovar las relaciones con los proveedores de TIC en todas las funciones comerciales, como la Director Técnico o Responsable de Tecnologías de la Información, debería tener la propiedad de este proceso.
ISO 27001:2022 Anexo A 5.21 – Directrices generales
El elemento norma ISO 27001 especifica 13 puntos de orientación relacionados con las TIC que deben considerarse junto con cualquier otro control del Anexo A que gobierne la relación de una organización con sus proveedores.
Durante la última década, los servicios multiplataforma locales y en la nube se han vuelto cada vez más populares. ISO 27001:2022 anexo A Control 5.21 se ocupa del suministro de componentes y servicios relacionados con hardware y software (tanto locales como basados en la nube), pero rara vez diferencia entre los dos.
Varios controles del Anexo A abordan la relación entre el proveedor y la organización y las obligaciones del proveedor al subcontratar partes de la cadena de suministro a terceros.
- Las organizaciones deben redactar un conjunto completo de seguridad de la información estándares adaptados a sus necesidades específicas para establecer expectativas claras sobre cómo deben comportarse los proveedores al proporcionar productos y servicios de TIC.
- Los proveedores de TIC son responsables de garantizar que los contratistas y su personal estén plenamente familiarizados con los estándares de seguridad de la información exclusivos de la organización. Esto es cierto si subcontratan cualquier elemento de la cadena de suministro.
- El proveedor deberá comunicar los requisitos de seguridad de la organización a los vendedores o proveedores que utilice cuando surja la necesidad de adquirir componentes (físicos o virtuales) de terceros.
- Una organización debe solicitar información a los proveedores sobre la naturaleza y función de los componentes de software.
- La organización debe identificar y operar cualquier producto o servicio proporcionado de manera que no comprometa la seguridad de la información.
- Las organizaciones no deben dar por sentado los niveles de riesgo. En cambio, las organizaciones deberían redactar procedimientos que garanticen que cualquier producto o servicio entregado por los proveedores sea seguro y cumpla con los estándares de la industria. Se pueden emplear varios métodos para garantizar el cumplimiento, incluidos controles de certificación, pruebas internas y documentación de respaldo.
- Como parte de la recepción de un producto o servicio, las organizaciones deben identificar y registrar cualquier elemento que se considere esencial para mantener la funcionalidad principal, especialmente si esos componentes se derivaron de subcontratistas o acuerdos subcontratados.
- Los proveedores deben tener garantías concretas de que se realiza un seguimiento de los “componentes críticos” a lo largo de toda la cadena de suministro de TIC, desde la creación hasta la entrega, según corresponda. parte de un registro de auditoría.
- Las organizaciones deben buscar garantías categóricas antes de ofrecer productos y servicios de TIC. Esto es para garantizar que operen dentro del alcance y no contengan características adicionales que puedan representar un riesgo de seguridad colateral.
- Las especificaciones de los componentes son cruciales para garantizar que una organización comprenda los componentes de hardware y software que está introduciendo en su red. Las organizaciones deben exigir estipulaciones que confirmen que los componentes son legítimos en el momento de la entrega, y los proveedores deben considerar medidas contra la manipulación durante todo el ciclo de vida del desarrollo.
- Es fundamental obtener garantías sobre el cumplimiento de los productos TIC con los requisitos de seguridad estándar de la industria y específicos del sector de acuerdo con los requisitos específicos del producto. Es común que las empresas lo logren obteniendo un nivel mínimo de certificación de seguridad formal o adhiriéndose a un conjunto de estándares de información reconocidos internacionalmente (por ejemplo, el Acuerdo de Reconocimiento de Criterios Comunes).
- Compartir información y datos sobre las operaciones mutuas de la cadena de suministro requiere que las organizaciones se aseguren de que los proveedores conozcan sus obligaciones. En este sentido, las organizaciones deben reconocer los posibles conflictos o problemas entre las partes. También deben saber cómo resolverlos al inicio del proceso. Edad del proceso.
- La organización debe desarrollar procedimientos para manejar el riesgo cuando se opera con componentes no compatibles, no compatibles o heredados, dondequiera que estén ubicados. En estas situaciones, la organización debería poder adaptarse e identificar alternativas en consecuencia.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Anexo A 5.21 Orientación complementaria
Según el Control 5.21 del Anexo A, la gobernanza de la cadena de suministro de TIC debe considerarse en colaboración. Su objetivo es complementar el existente gestión de la cadena de suministro procedimientos y proporcionar contexto para productos y servicios específicos de TIC.
La norma ISO 27001:2022 reconoce que el control de calidad dentro del sector de las TIC no incluye una inspección granular de los procedimientos de cumplimiento de un proveedor, particularmente en lo que respecta a los componentes de software.
Por lo tanto, se recomienda que las organizaciones identifiquen controles específicos del proveedor que se utilizan para verificar que el proveedor es una "fuente confiable" y que redacten acuerdos que establezcan en detalle las responsabilidades del proveedor en materia de seguridad de la información al cumplir un contrato, pedido o proporcionar un servicio. .
¿Cuáles son los cambios con respecto a ISO 27001:2013?
ISO 27001:2022 Anexo A Control 5.21 reemplaza ISO 27001:2013 Anexo A Control 15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).
Además de adherirse a las mismas reglas de orientación generales que ISO 27001:2013 Anexo A 15.1.3, ISO 27001:2022 Anexo A 5.21 pone mucho énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, incluyendo:
- Proveedores de componentes de tecnología de la información.
- Proporcione una descripción general de las funciones de seguridad de un producto y cómo utilizarlas desde una perspectiva de seguridad.
- Garantías sobre el nivel de seguridad requerido.
Según ISO 27001:2022 Anexo A 5.21, la organización también debe crear información adicional específica de los componentes al introducir productos y servicios, tales como:
- Identificar y documentar los componentes clave de un producto o servicio que contribuyen a su funcionalidad principal.
- Asegurar la autenticidad e integridad de los componentes.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Cuál es el beneficio de ISMS.online cuando se trata de relaciones con proveedores?
ISMS.online ha simplificado mucho este objetivo de control del Anexo A. Esto se debe a que ISMS.online proporciona evidencia de que sus relaciones son cuidadosamente seleccionadas, bien administradas, monitoreadas y revisadas.
Esto se hace en nuestra área de Relaciones de cuentas (por ejemplo, proveedores) fácil de usar. Los espacios de trabajo de proyectos de colaboración permiten al auditor ver fácilmente la incorporación de proveedores clave, iniciativas conjuntas, bajas, etc.
Además, ISMS.online ha facilitado que su organización logre este objetivo de control del Anexo A al permitirle proporcionar evidencia de que el proveedor se ha comprometido formalmente a cumplir con los requisitos y ha entendido las responsabilidades del proveedor con respecto a la seguridad de la información con nuestros Paquetes de Políticas.
Además de los acuerdos más amplios entre un cliente y un proveedor, Paquetes de pólizas son ideales para organizaciones con políticas específicas y controles del Anexo A que desean que el personal de los proveedores cumpla, asegurando que hayan leído sus políticas y se hayan comprometido a seguirlas.
La plataforma basada en la nube que ofrecemos proporciona además las siguientes características
- Un sistema de gestión documental fácil de utilizar y personalizable.
- Tendrá acceso a una biblioteca de plantillas de documentación pulidas y preescritas.
- Se ha simplificado el proceso para realizar auditorías internas.
- Un método de comunicación con la dirección y las partes interesadas que sea eficiente.
- Se proporciona un módulo de flujo de trabajo para facilitar el proceso de implementación.
Para programar una demostración, no dude en ponte en contacto con nosotros hoy.
