El Control 5.21 rige cómo las organizaciones gestionar la seguridad de la información riesgos a lo largo de su cadena de suministro de TIC, mediante la implementación de procesos y procedimientos sólidos antes del suministro de cualquier producto o servicio.
5.21 es una control preventivo esa mantiene el riesgo estableciendo un “nivel de seguridad acordado” entre ambas partes en todo el sistema TIC cadena de suministro.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Seguridad en las relaciones con proveedores | #Gobernanza y #Protección de Ecosistemas |
El Control 5.21 se centra explícitamente en la prestación de servicios TIC, a través de un proveedor o grupo de proveedores.
Como tal, la propiedad debe recaer en la persona responsable de adquirir, gestionar y renovar las TIC. relaciones con proveedores en todas las funciones empresariales, como por ejemplo Director Técnico or Jefe de informática.
Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.
ISO estipula 13 puntos de orientación relacionados con las TIC que deben considerarse junto al cualquier otro control que dicte la relación de una organización con su(s) proveedor(es).
Dada la expansión de los servicios multiplataforma locales y en la nube durante la última década, Control 5.21 se ocupa del suministro de ambos. hardware y software-componentes y servicios relacionados (tanto locales como basados en la nube) y rara vez establece una distinción entre los dos.
Además de la relación entre el proveedor y la organización, varios controles también abordan las obligaciones del proveedor cuando subcontrata elementos de la cadena de suministro a organizaciones de terceros.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Es importante señalar que la gobernanza de la cadena de suministro de TIC no debe tomarse de forma aislada, de acuerdo con este control. Control 5.21 está diseñado para complementar los procedimientos existentes de gestión de la cadena de suministro y ofrecer contexto para productos y servicios específicos de TIC.
ISO reconoce que, especialmente cuando se trata de componentes de software, el control de calidad dentro del ámbito de los productos y servicios de TIC no se extiende a la inspección granular del propio conjunto de procedimientos de cumplimiento del proveedor.
Como tal, se alienta a las organizaciones a identificar controles específicos del proveedor que verifiquen al proveedor como una “fuente confiable” y redactar acuerdos que establezcan categóricamente las obligaciones de seguridad de la información del proveedor, al cumplir un contrato, pedido o brindar un servicio.
ISO 27002:2022-5.21 reemplaza a ISO 27002:2013-15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).
ISO 27002:2022-5.21 se adhiere al mismo conjunto de reglas de orientación generales que ISO 27002:2013-15.1.3, pero pone mucho mayor énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, que incluye:
ISO 27002:2022-5.21 también solicita a la organización que cree información adicional específica de los componentes para aumentar los niveles generales de seguridad de la información al introducir productos y servicios, que incluyen:
At SGSI.online, hemos creado un sistema integral y fácil de usar que puede ayudarlo a implementar controles ISO 27002 y administrar todo su SGSI.
Nuestra plataforma basada en la nube ofrece:
ISMS.online tiene todas estas características, y más.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |