Ir al contenido
SGSI.online

ISO 27002:2022 – Control 5.21 – Gestión de la seguridad de la información en la cadena de suministro de TIC

El Control 27002 de la norma ISO 2022:5.21 se centra en la gestión de los riesgos de seguridad de la información en la cadena de suministro de las TIC, garantizando que los proveedores cumplan con los estándares de seguridad acordados, que abarcan tanto los componentes de hardware como de software, incluidas las soluciones basadas en la nube. Hace hincapié en las expectativas claras, la responsabilidad de los proveedores y la gestión de riesgos a lo largo de la cadena de suministro.

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

Propósito del Control 5.21

El Control 5.21 rige cómo las organizaciones gestionar la seguridad de la información riesgos a lo largo de su cadena de suministro de TIC, mediante la implementación de procesos y procedimientos sólidos antes del suministro de cualquier producto o servicio.

5.21 es una control preventivo que mantiene el riesgo estableciendo un “nivel de seguridad acordado” entre ambas partes en todo el sistema TIC cadena de suministro.

Tabla de Atributos de Control 5.21

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Identificar #Seguridad en las relaciones con proveedores #Gobernanza y Ecosistema
#Integridad #Proteccion
#Disponibilidad

Propiedad del Control 5.21

El Control 5.21 se centra explícitamente en la prestación de servicios TIC, a través de un proveedor o grupo de proveedores.

Como tal, la propiedad debe recaer en la persona responsable de adquirir, gestionar y renovar las TIC. relaciones con proveedores en todas las funciones empresariales, como por ejemplo Director Técnico or Jefe de informática.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Orientación general sobre control 5.21

ISO estipula 13 puntos de orientación relacionados con las TIC que deben considerarse junto al cualquier otro control que dicte la relación de una organización con su(s) proveedor(es).

Dada la expansión de los servicios multiplataforma locales y en la nube durante la última década, Control 5.21 se ocupa del suministro de ambos. hardware y software-componentes y servicios relacionados (tanto locales como basados ​​en la nube) y rara vez establece una distinción entre los dos.

Además de la relación entre el proveedor y la organización, varios controles también abordan las obligaciones del proveedor cuando subcontrata elementos de la cadena de suministro a organizaciones de terceros.

  1. Las organizaciones deben redactar un conjunto claro de seguridad de la información estándares que se aplican a sus necesidades individuales, para establecer expectativas claras sobre cómo deben comportarse los proveedores al entregar productos y servicios de TIC.
  2. Si el proveedor de TIC subcontrata cualquier elemento de la cadena de suministro, el proveedor debe tomar medidas para garantizar que los contratistas y su personal estén plenamente familiarizados con los estándares únicos de seguridad de la información de la organización.
  3. Si surge la necesidad de adquirir componentes (físicos o virtuales) comprados a un tercero, el proveedor debe difundir los requisitos de seguridad de la organización a cualquier vendedor o proveedor que él mismo utilice.
  4. Se debe pedir a los proveedores que proporcionen información sobre la naturaleza y función de los componentes de software que utilizan para prestar un servicio a la organización.
  5. Las organizaciones deben identificar las funciones de seguridad subyacentes de cualquier producto o servicio suministrado y cómo operar dicho producto o servicio de manera que no compromete la seguridad de la información.
  6. Las organizaciones no deben dar por sentado los niveles de riesgo y redactar procedimientos que garanticen que cualquier producto o servicio que entregue un proveedor sea de naturaleza segura y cumpla con los estándares aceptados de la industria. Los métodos pueden incluir controles de certificación, pruebas internas y documentación de cumplimiento de respaldo.
  7. Al recibir un producto o servicio, las organizaciones deben seguir un proceso que primero identifique y luego registre cualquier elemento que se considere esencial para mantener la funcionalidad principal, especialmente si esos componentes se originaron a partir de un acuerdo de subcontratación/subcontratación.
  8. Los proveedores deben poder ofrecer garantías concretas de que los “componentes críticos” se benefician de un análisis exhaustivo. registro de auditoría que rastrea su movimiento a lo largo de la cadena de suministro de TIC, desde la creación hasta la entrega.
  9. A medida que se entregan productos y servicios de TIC, las organizaciones deben buscar garantías categóricas de que dichos productos y servicios no solo operan dentro del alcance, sino que no contienen características adicionales que puedan presentar una garantía. riesgo de seguridad.
  10. Las especificaciones de los componentes son clave para garantizar que una organización comprenda los componentes de hardware y software que introduce en su red. Los proveedores deben considerar medidas contra la manipulación durante todo el ciclo de vida del desarrollo, y las organizaciones deben exigir estipulaciones que verifiquen que los componentes sean legítimos en el momento de la entrega.
  11. Se deben buscar garantías para confirmar que los productos TIC están alineados con los estándares industriales y/o específicos del sector. requerimientos de seguridad, según sea relevante para cada producto. Los métodos comunes para lograr esto incluyen lograr un nivel mínimo de certificación de seguridad formal o adherirse a un conjunto de estándares de información reconocidos internacionalmente (como el Acuerdo de Reconocimiento de Criterios Comunes) por producto.
  12. Las organizaciones deben tomar medidas para garantizar que los proveedores son conscientes de sus obligaciones al compartir información y/o datos relacionados con la operación mutua de la cadena de suministro, incluido el reconocimiento de cualquier conflicto o problema potencial que pueda surgir entre ambas partes, y cómo tratarlos en origen.
  13. Las organizaciones deben redactar procedimientos que gestionen el riesgo cuando operan con componentes no disponibles, sin soporte o heredados, dondequiera que residan. Cuando los componentes hayan caído en una de estas categorías, las organizaciones deberían poder adaptarse en consecuencia e identificar alternativas.


subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Orientación complementaria

Es importante señalar que la gobernanza de la cadena de suministro de TIC no debe tomarse de forma aislada, de acuerdo con este control. Control 5.21 está diseñado para complementar los procedimientos existentes de gestión de la cadena de suministro y ofrecer contexto para productos y servicios específicos de TIC.

ISO reconoce que, especialmente cuando se trata de componentes de software, el control de calidad dentro del ámbito de los productos y servicios de TIC no se extiende a la inspección granular del propio conjunto de procedimientos de cumplimiento del proveedor.

Como tal, se alienta a las organizaciones a identificar controles específicos del proveedor que verifiquen al proveedor como una “fuente confiable” y redactar acuerdos que establezcan categóricamente las obligaciones de seguridad de la información del proveedor, al cumplir un contrato, pedido o brindar un servicio.

Control 5.21 Cambios respecto a ISO 27002:2013

ISO 27002,:2022-5.21 reemplaza a ISO 27002:2013-15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).

ISO 27002:2022-5.21 se adhiere al mismo conjunto de reglas de orientación generales que ISO 27002:2013-15.1.3, pero pone mucho mayor énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, que incluye:

  • Proveedores TIC que proporcionan información sobre los componentes.
  • Proveedores de TIC que describen las funciones de seguridad de un producto y la mejor manera de operarlo desde una perspectiva de seguridad.
  • Garantías sobre los niveles de seguridad requeridos.

ISO 27002:2022-5.21 también solicita a la organización que cree información adicional específica de los componentes para aumentar los niveles generales de seguridad de la información al introducir productos y servicios, que incluyen:

  • Identificar y documentar componentes que son cruciales para la funcionalidad principal del producto o servicio.
  • Asegurar que los componentes sean genuinos e inalterados.

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

At SGSI.online, hemos creado un sistema integral y fácil de usar que puede ayudarlo a implementar controles ISO 27002 y administrar todo su SGSI.

Nuestra plataforma basada en la nube ofrece:

  • Un sistema de gestión de documentación fácil de usar y personalizar.
  • Acceso a una biblioteca de plantillas de documentación pulidas y preescritas.
  • Un proceso simplificado para la realización de auditorías internas.
  • Un método eficaz para comunicarse con la dirección y las partes interesadas.
  • Un módulo de flujo de trabajo para agilizar el proceso de implementación.

ISMS.online tiene todas estas características, y más.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.