Quel est l’objectif de l’Annexe A 27001 de la norme ISO 2022 : 5.21 ?
Dans l'Annexe A Contrôle 5.21, les organisations doivent mettre en œuvre des processus et des procédures robustes avant de fournir des produits ou des services à gérer les risques liés à la sécurité de l'information.
Le contrôle 5.21 de l'Annexe A est un contrôle préventif qui maintient le risque au sein de la chaîne d'approvisionnement des TIC en établissant un « niveau de sécurité convenu » entre les parties.
L'annexe A 5.21 de la norme ISO 27001 s'adresse aux fournisseurs de TIC qui peuvent avoir besoin de quelque chose en plus ou à la place de l'approche standard. Bien que la norme ISO 27001 recommande de nombreux domaines de mise en œuvre, le pragmatisme est également de mise. Compte tenu de la taille de l'organisation par rapport à certaines des très grandes entreprises avec lesquelles elle travaillera occasionnellement (par exemple centres de données, services d'hébergement, banques, etc.), elle devra peut-être avoir la capacité d'influencer les pratiques en aval de la chaîne d'approvisionnement.
En fonction des services de technologies de l’information et de la communication fournis, l’organisation doit évaluer soigneusement les risques qui peuvent survenir. Dans le cas d'un fournisseur de services à infrastructure critique, par exemple, il est important d'assurer une meilleure protection que si le fournisseur n'a accès qu'à des informations accessibles au public (par ex. code source pour le service logiciel phare) si le fournisseur fournit des services critiques pour l'infrastructure.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Propriété du contrôle de l’Annexe A 5.21
Dans l'annexe A, contrôle 5.21, l'accent est mis sur la fourniture de services de technologies de l'information et de la communication par un fournisseur ou un groupe de fournisseurs.
Par conséquent, la personne responsable de l'acquisition, de la gestion et du renouvellement des relations avec les fournisseurs de TIC dans toutes les fonctions commerciales, telles que Directeur technique ou responsable des technologies de l'information, devrait être propriétaire de ce processus.
ISO 27001:2022 Annexe A 5.21 – Lignes directrices générales
Construction Norme ISO 27001 spécifie 13 points d'orientation liés aux TIC qui doivent être pris en compte parallèlement à tout autre contrôle de l'Annexe A qui régit la relation d'une organisation avec ses fournisseurs.
Au cours de la dernière décennie, les services multiplateformes sur site et cloud sont devenus de plus en plus populaires. ISO 27001:2022 Annexe A Le contrôle 5.21 traite de la fourniture de composants et de services matériels et logiciels (à la fois sur site et dans le cloud), mais fait rarement la différence entre les deux.
Plusieurs contrôles de l'annexe A traitent de la relation entre le fournisseur et l'organisation et des obligations du fournisseur lors de la sous-traitance de parties de la chaîne d'approvisionnement à des tiers.
- Les organisations devraient rédiger un ensemble complet de sécurité de l'information des normes adaptées à leurs besoins spécifiques pour définir des attentes claires quant à la manière dont les fournisseurs doivent se comporter dans la fourniture de produits et services TIC.
- Les fournisseurs de TIC ont la responsabilité de s'assurer que les sous-traitants et leur personnel connaissent parfaitement les normes uniques de sécurité de l'information de l'organisation. Cela est vrai s’ils sous-traitent n’importe quel élément de la chaîne d’approvisionnement.
- Le fournisseur doit communiquer les exigences de sécurité de l'organisation à tous les vendeurs ou fournisseurs auxquels il fait appel lorsqu'il est nécessaire d'acquérir des composants (physiques ou virtuels) auprès de tiers.
- Une organisation doit demander des informations aux fournisseurs concernant la nature et la fonction des composants logiciels.
- L'organisation doit identifier et exploiter tout produit ou service fourni d'une manière qui ne compromet pas la sécurité des informations.
- Les niveaux de risque ne doivent pas être tenus pour acquis par les organisations. Au lieu de cela, les organisations devraient rédiger des procédures garantissant que tous les produits ou services fournis par les fournisseurs sont sécurisés et conformes aux normes de l’industrie. Plusieurs méthodes peuvent être utilisées pour garantir la conformité, notamment les contrôles de certification, les tests internes et les pièces justificatives.
- Dans le cadre de la réception d'un produit ou d'un service, les organisations doivent identifier et enregistrer tous les éléments jugés essentiels au maintien des fonctionnalités de base, en particulier si ces composants provenaient de sous-traitants ou d'accords d'externalisation.
- Les fournisseurs doivent avoir l'assurance concrète que les « composants critiques » sont suivis tout au long de la chaîne d'approvisionnement des TIC, de la création à la livraison, ainsi que partie d'un journal d'audit.
- Les organisations doivent rechercher une assurance catégorique avant de fournir des produits et services TIC. Il s’agit de garantir qu’ils fonctionnent dans le cadre du champ d’application et ne contiennent aucune fonctionnalité supplémentaire susceptible de présenter un risque de sécurité collatéral.
- Les spécifications des composants sont cruciales pour garantir qu'une organisation comprend les composants matériels et logiciels qu'elle introduit dans son réseau. Les organisations doivent exiger des stipulations confirmant que les composants sont légitimes à la livraison, et les fournisseurs doivent envisager des mesures anti-falsification tout au long du cycle de vie de développement.
- Il est essentiel d'obtenir des assurances concernant la conformité des produits TIC aux exigences de sécurité standard de l'industrie et spécifiques au secteur, en fonction des exigences spécifiques du produit. Il est courant que les entreprises y parviennent en obtenant un niveau minimum de certification de sécurité formelle ou en adhérant à un ensemble de normes d'information internationalement reconnues (par exemple, le Common Criteria Recognition Arrangement).
- Le partage d’informations et de données concernant les opérations mutuelles de la chaîne d’approvisionnement oblige les organisations à s’assurer que les fournisseurs connaissent leurs obligations. À cet égard, les organisations doivent reconnaître les conflits ou problèmes potentiels entre les parties. Ils doivent également savoir comment les résoudre dès le début du processus. Âge du processus.
- L'organisation doit développer des procédures pour Gérer le risque lorsque vous travaillez avec des composants non pris en charge, non pris en charge ou existants, où qu'ils se trouvent. Dans ces situations, l’organisation doit être capable de s’adapter et d’identifier des alternatives en conséquence.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Annexe A 5.21 Orientations supplémentaires
Conformément à l'Annexe A Contrôle 5.21, la gouvernance de la chaîne d'approvisionnement des TIC doit être envisagée en collaboration. Il est destiné à compléter les gestion de la chaîne logistique procédures et fournir un contexte pour les produits et services spécifiques aux TIC.
La norme ISO 27001:2022 reconnaît que le contrôle qualité dans le secteur des TIC n'inclut pas l'inspection granulaire des procédures de conformité d'un fournisseur, notamment en ce qui concerne les composants logiciels.
Il est donc recommandé aux organisations d'identifier les contrôles spécifiques aux fournisseurs qui sont utilisés pour vérifier que le fournisseur est une « source fiable » et de rédiger des accords qui énoncent en détail les responsabilités du fournisseur en matière de sécurité des informations lors de l'exécution d'un contrat, d'une commande ou de la fourniture d'un service. .
Quels sont les changements par rapport à la norme ISO 27001:2013 ?
ISO 27001:2022 Annexe A Contrôle 5.21 remplace ISO 27001:2013 Annexe A Contrôle 15.1.3 (Chaîne d'approvisionnement pour les technologies de l'information et de la communication).
En plus d'adhérer aux mêmes règles générales d'orientation que l'ISO 27001:2013 Annexe A 15.1.3, l'ISO 27001:2022 Annexe A 5.21 met l'accent sur l'obligation du fournisseur de fournir et de vérifier les informations relatives aux composants au moment de la livraison. fourniture, comprenant :
- Fournisseurs de composants informatiques.
- Fournir un aperçu des fonctionnalités de sécurité d'un produit et de la manière de l'utiliser du point de vue de la sécurité.
- Assurances concernant le niveau de sécurité requis.
Selon la norme ISO 27001 :2022, annexe A 5.21, l'organisation est également tenue de créer des informations supplémentaires spécifiques aux composants lors de l'introduction de produits et de services, telles que :
- Identifier et documenter les composants clés d'un produit ou d'un service qui contribuent à sa fonctionnalité principale.
- Assurer l’authenticité et l’intégrité des composants.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Quel est l'avantage d'ISMS.online en matière de relations avec les fournisseurs ?
Cet objectif de contrôle de l’Annexe A a été rendu très simple par ISMS.online. En effet, ISMS.online fournit la preuve que vos relations sont soigneusement sélectionnées, bien gérées, surveillées et examinées.
Cela se fait dans notre zone facile à utiliser des relations avec les comptes (par exemple, les fournisseurs). Les espaces de travail des projets de collaboration permettent à l'auditeur de visualiser facilement les fournisseurs clés lors de l'embarquement, des initiatives conjointes, du départ, etc.
De plus, ISMS.online a permis à votre organisation d'atteindre plus facilement cet objectif de contrôle de l'annexe A en vous permettant de fournir la preuve que le fournisseur s'est formellement engagé à se conformer aux exigences et a compris ses responsabilités en matière de sécurité des informations avec nos packs de politiques.
En plus des accords plus larges entre un client et un fournisseur, Packs de politiques sont idéaux pour les organisations ayant des politiques spécifiques et des contrôles de l'Annexe A qu'elles souhaitent que le personnel des fournisseurs adhère, en s'assurant qu'ils ont lu leurs politiques et qu'ils s'engagent à les suivre.
La plate-forme basée sur le cloud que nous proposons fournit en outre les fonctionnalités suivantes
- Un système de gestion documentaire simple à utiliser et personnalisable.
- Vous aurez accès à une bibliothèque de modèles de documentation raffinés et pré-écrits.
- Le processus de réalisation des audits internes a été simplifié.
- Une méthode de communication efficace avec la direction et les parties prenantes.
- Un module de workflow est fourni pour faciliter le processus de mise en œuvre.
Pour planifier une démo, n'hésitez pas à contactez-nous aujourd'hui.
