ISO 27001:2022 Anexo A Control 5.21

ISO 27001:2022 Anexo A 5.21 – Directrices generales

El norma ISO 27001 especifica 13 puntos de orientación relacionados con las TIC que deben considerarse junto con cualquier otro control del Anexo A que gobierne la relación de una organización con sus proveedores.

Durante la última década, los servicios multiplataforma locales y en la nube se han vuelto cada vez más populares. ISO 27001:2022 anexo A Control 5.21 se ocupa del suministro de componentes y servicios relacionados con hardware y software (tanto locales como basados ​​en la nube), pero rara vez diferencia entre los dos.

Varios controles del Anexo A abordan la relación entre el proveedor y la organización y las obligaciones del proveedor al subcontratar partes de la cadena de suministro a terceros.

1. Las organizaciones deben redactar un conjunto completo de seguridad de la información estándares adaptados a sus necesidades específicas para establecer expectativas claras sobre cómo deben comportarse los proveedores al proporcionar productos y servicios de TIC.
2. Los proveedores de TIC son responsables de garantizar que los contratistas y su personal estén plenamente familiarizados con los estándares de seguridad de la información exclusivos de la organización. Esto es cierto si subcontratan cualquier elemento de la cadena de suministro.
3. El proveedor deberá comunicar los requisitos de seguridad de la organización a los vendedores o proveedores que utilice cuando surja la necesidad de adquirir componentes (físicos o virtuales) de terceros.
4. Una organización debe solicitar información a los proveedores sobre la naturaleza y función de los componentes de software.
5. La organización debe identificar y operar cualquier producto o servicio proporcionado de manera que no comprometa la seguridad de la información.
6. Las organizaciones no deben dar por sentado los niveles de riesgo. En cambio, las organizaciones deberían redactar procedimientos que garanticen que cualquier producto o servicio entregado por los proveedores sea seguro y cumpla con los estándares de la industria. Se pueden emplear varios métodos para garantizar el cumplimiento, incluidos controles de certificación, pruebas internas y documentación de respaldo.
7. Como parte de la recepción de un producto o servicio, las organizaciones deben identificar y registrar cualquier elemento que se considere esencial para mantener la funcionalidad principal, especialmente si esos componentes se derivaron de subcontratistas o acuerdos subcontratados.
8. Los proveedores deben tener garantías concretas de que se realiza un seguimiento de los “componentes críticos” a lo largo de toda la cadena de suministro de TIC, desde la creación hasta la entrega, según corresponda. parte de un registro de auditoría.
9. Las organizaciones deben buscar garantías categóricas antes de ofrecer productos y servicios de TIC. Esto es para garantizar que operen dentro del alcance y no contengan características adicionales que puedan representar un riesgo de seguridad colateral.
10. Las especificaciones de los componentes son cruciales para garantizar que una organización comprenda los componentes de hardware y software que está introduciendo en su red. Las organizaciones deben exigir estipulaciones que confirmen que los componentes son legítimos en el momento de la entrega, y los proveedores deben considerar medidas contra la manipulación durante todo el ciclo de vida del desarrollo.
11. Es fundamental obtener garantías sobre el cumplimiento de los productos TIC con los requisitos de seguridad estándar de la industria y específicos del sector de acuerdo con los requisitos específicos del producto. Es común que las empresas lo logren obteniendo un nivel mínimo de certificación de seguridad formal o adhiriéndose a un conjunto de estándares de información reconocidos internacionalmente (por ejemplo, el Acuerdo de Reconocimiento de Criterios Comunes).
12. Compartir información y datos sobre las operaciones mutuas de la cadena de suministro requiere que las organizaciones se aseguren de que los proveedores conozcan sus obligaciones. En este sentido, las organizaciones deben reconocer los posibles conflictos o problemas entre las partes. También deben saber cómo resolverlos al inicio del proceso. Edad del proceso.
13. La organización debe desarrollar procedimientos para manejar el riesgo cuando se opera con componentes no compatibles, no compatibles o heredados, dondequiera que estén ubicados. En estas situaciones, la organización debería poder adaptarse e identificar alternativas en consecuencia.

Anexo A 5.21 Orientación complementaria

Según el Control 5.21 del Anexo A, la gobernanza de la cadena de suministro de TIC debe considerarse en colaboración. Su objetivo es complementar el existente gestión de la cadena de suministro procedimientos y proporcionar contexto para productos y servicios específicos de TIC.

La norma ISO 27001:2022 reconoce que el control de calidad dentro del sector de las TIC no incluye una inspección granular de los procedimientos de cumplimiento de un proveedor, particularmente en lo que respecta a los componentes de software.

Por lo tanto, se recomienda que las organizaciones identifiquen controles específicos del proveedor que se utilizan para verificar que el proveedor es una "fuente confiable" y que redacten acuerdos que establezcan en detalle las responsabilidades del proveedor en materia de seguridad de la información al cumplir un contrato, pedido o proporcionar un servicio. .

¿Cuáles son los cambios con respecto a ISO 27001:2013?

ISO 27001:2022 Anexo A Control 5.21 reemplaza ISO 27001:2013 Anexo A Control 15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).

Además de adherirse a las mismas reglas de orientación generales que ISO 27001:2013 Anexo A 15.1.3, ISO 27001:2022 Anexo A 5.21 pone mucho énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, incluyendo:

• Proveedores de componentes de tecnología de la información.
• Proporcione una descripción general de las funciones de seguridad de un producto y cómo utilizarlas desde una perspectiva de seguridad.
• Garantías sobre el nivel de seguridad requerido.

Según ISO 27001:2022 Anexo A 5.21, la organización también debe crear información adicional específica de los componentes al introducir productos y servicios, tales como:

• Identificar y documentar los componentes clave de un producto o servicio que contribuyen a su funcionalidad principal.
• Asegurar la autenticidad e integridad de los componentes.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

¿Cuál es el beneficio de ISMS.online cuando se trata de relaciones con proveedores?

ISMS.online ha simplificado mucho este objetivo de control del Anexo A. Esto se debe a que ISMS.online proporciona evidencia de que sus relaciones son cuidadosamente seleccionadas, bien administradas, monitoreadas y revisadas.

Esto se hace en nuestra área de Relaciones de cuentas (por ejemplo, proveedores) fácil de usar. Los espacios de trabajo de proyectos de colaboración permiten al auditor ver fácilmente la incorporación de proveedores clave, iniciativas conjuntas, bajas, etc.

Además, ISMS.online ha facilitado que su organización logre este objetivo de control del Anexo A al permitirle proporcionar evidencia de que el proveedor se ha comprometido formalmente a cumplir con los requisitos y ha entendido las responsabilidades del proveedor con respecto a la seguridad de la información con nuestros Paquetes de Políticas.

Además de los acuerdos más amplios entre un cliente y un proveedor, Paquetes de pólizas son ideales para organizaciones con políticas específicas y controles del Anexo A que desean que el personal de los proveedores cumpla, asegurando que hayan leído sus políticas y se hayan comprometido a seguirlas.

La plataforma basada en la nube que ofrecemos proporciona además las siguientes características

• Un sistema de gestión documental fácil de utilizar y personalizable.
• Tendrá acceso a una biblioteca de plantillas de documentación pulidas y preescritas.
• Se ha simplificado el proceso para realizar auditorías internas.
• Un método de comunicación con la dirección y las partes interesadas que sea eficiente.
• Se proporciona un módulo de flujo de trabajo para facilitar el proceso de implementación.

Para programar una demostración, no dude en ponte en contacto con nosotros hoy.