Propósito del Control 5.21
El Control 5.21 rige cómo las organizaciones gestionar la seguridad de la información riesgos a lo largo de su cadena de suministro de TIC, mediante la implementación de procesos y procedimientos sólidos antes del suministro de cualquier producto o servicio.
5.21 es una control preventivo que mantiene el riesgo estableciendo un “nivel de seguridad acordado” entre ambas partes en todo el sistema TIC cadena de suministro.
Tabla de Atributos de Control 5.21
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Seguridad en las relaciones con proveedores | #Gobernanza y Ecosistema |
| #Integridad | #Proteccion | |||
| #Disponibilidad |
Propiedad del Control 5.21
El Control 5.21 se centra explícitamente en la prestación de servicios TIC, a través de un proveedor o grupo de proveedores.
Como tal, la propiedad debe recaer en la persona responsable de adquirir, gestionar y renovar las TIC. relaciones con proveedores en todas las funciones empresariales, como por ejemplo Director Técnico or Jefe de informática.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre control 5.21
ISO estipula 13 puntos de orientación relacionados con las TIC que deben considerarse junto al cualquier otro control que dicte la relación de una organización con su(s) proveedor(es).
Dada la expansión de los servicios multiplataforma locales y en la nube durante la última década, Control 5.21 se ocupa del suministro de ambos. hardware y software-componentes y servicios relacionados (tanto locales como basados en la nube) y rara vez establece una distinción entre los dos.
Además de la relación entre el proveedor y la organización, varios controles también abordan las obligaciones del proveedor cuando subcontrata elementos de la cadena de suministro a organizaciones de terceros.
- Las organizaciones deben redactar un conjunto claro de seguridad de la información estándares que se aplican a sus necesidades individuales, para establecer expectativas claras sobre cómo deben comportarse los proveedores al entregar productos y servicios de TIC.
- Si el proveedor de TIC subcontrata cualquier elemento de la cadena de suministro, el proveedor debe tomar medidas para garantizar que los contratistas y su personal estén plenamente familiarizados con los estándares únicos de seguridad de la información de la organización.
- Si surge la necesidad de adquirir componentes (físicos o virtuales) comprados a un tercero, el proveedor debe difundir los requisitos de seguridad de la organización a cualquier vendedor o proveedor que él mismo utilice.
- Se debe pedir a los proveedores que proporcionen información sobre la naturaleza y función de los componentes de software que utilizan para prestar un servicio a la organización.
- Las organizaciones deben identificar las funciones de seguridad subyacentes de cualquier producto o servicio suministrado y cómo operar dicho producto o servicio de manera que no compromete la seguridad de la información.
- Las organizaciones no deben dar por sentado los niveles de riesgo y redactar procedimientos que garanticen que cualquier producto o servicio que entregue un proveedor sea de naturaleza segura y cumpla con los estándares aceptados de la industria. Los métodos pueden incluir controles de certificación, pruebas internas y documentación de cumplimiento de respaldo.
- Al recibir un producto o servicio, las organizaciones deben seguir un proceso que primero identifique y luego registre cualquier elemento que se considere esencial para mantener la funcionalidad principal, especialmente si esos componentes se originaron a partir de un acuerdo de subcontratación/subcontratación.
- Los proveedores deben poder ofrecer garantías concretas de que los “componentes críticos” se benefician de un análisis exhaustivo. registro de auditoría que rastrea su movimiento a lo largo de la cadena de suministro de TIC, desde la creación hasta la entrega.
- A medida que se entregan productos y servicios de TIC, las organizaciones deben buscar garantías categóricas de que dichos productos y servicios no solo operan dentro del alcance, sino que no contienen características adicionales que puedan presentar una garantía. riesgo de seguridad.
- Las especificaciones de los componentes son clave para garantizar que una organización comprenda los componentes de hardware y software que introduce en su red. Los proveedores deben considerar medidas contra la manipulación durante todo el ciclo de vida del desarrollo, y las organizaciones deben exigir estipulaciones que verifiquen que los componentes sean legítimos en el momento de la entrega.
- Se deben buscar garantías para confirmar que los productos TIC están alineados con los estándares industriales y/o específicos del sector. requerimientos de seguridad, según sea relevante para cada producto. Los métodos comunes para lograr esto incluyen lograr un nivel mínimo de certificación de seguridad formal o adherirse a un conjunto de estándares de información reconocidos internacionalmente (como el Acuerdo de Reconocimiento de Criterios Comunes) por producto.
- Las organizaciones deben tomar medidas para garantizar que los proveedores son conscientes de sus obligaciones al compartir información y/o datos relacionados con la operación mutua de la cadena de suministro, incluido el reconocimiento de cualquier conflicto o problema potencial que pueda surgir entre ambas partes, y cómo tratarlos en origen.
- Las organizaciones deben redactar procedimientos que gestionen el riesgo cuando operan con componentes no disponibles, sin soporte o heredados, dondequiera que residan. Cuando los componentes hayan caído en una de estas categorías, las organizaciones deberían poder adaptarse en consecuencia e identificar alternativas.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación complementaria
Es importante señalar que la gobernanza de la cadena de suministro de TIC no debe tomarse de forma aislada, de acuerdo con este control. Control 5.21 está diseñado para complementar los procedimientos existentes de gestión de la cadena de suministro y ofrecer contexto para productos y servicios específicos de TIC.
ISO reconoce que, especialmente cuando se trata de componentes de software, el control de calidad dentro del ámbito de los productos y servicios de TIC no se extiende a la inspección granular del propio conjunto de procedimientos de cumplimiento del proveedor.
Como tal, se alienta a las organizaciones a identificar controles específicos del proveedor que verifiquen al proveedor como una “fuente confiable” y redactar acuerdos que establezcan categóricamente las obligaciones de seguridad de la información del proveedor, al cumplir un contrato, pedido o brindar un servicio.
Control 5.21 Cambios respecto a ISO 27002:2013
ISO 27002:2022-5.21 reemplaza a ISO 27002:2013-15.1.3 (Cadena de suministro de tecnologías de la información y las comunicaciones).
ISO 27002:2022-5.21 se adhiere al mismo conjunto de reglas de orientación generales que ISO 27002:2013-15.1.3, pero pone mucho mayor énfasis en la obligación del proveedor de proporcionar y verificar información relacionada con los componentes en el punto de suministro, que incluye:
- Proveedores TIC que proporcionan información sobre los componentes.
- Proveedores de TIC que describen las funciones de seguridad de un producto y la mejor manera de operarlo desde una perspectiva de seguridad.
- Garantías sobre los niveles de seguridad requeridos.
ISO 27002:2022-5.21 también solicita a la organización que cree información adicional específica de los componentes para aumentar los niveles generales de seguridad de la información al introducir productos y servicios, que incluyen:
- Identificar y documentar componentes que son cruciales para la funcionalidad principal del producto o servicio.
- Asegurar que los componentes sean genuinos e inalterados.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
At SGSI.online, hemos creado un sistema integral y fácil de usar que puede ayudarlo a implementar controles ISO 27002 y administrar todo su SGSI.
Nuestra plataforma basada en la nube ofrece:
- Un sistema de gestión de documentación fácil de usar y personalizar.
- Acceso a una biblioteca de plantillas de documentación pulidas y preescritas.
- Un proceso simplificado para la realización de auditorías internas.
- Un método eficaz para comunicarse con la dirección y las partes interesadas.
- Un módulo de flujo de trabajo para agilizar el proceso de implementación.
ISMS.online tiene todas estas características, y más.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
