ISO 27001:2022 Annexe A 5.21 – Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC

Quel est l’objectif de l’Annexe A 27001 de la norme ISO 2022 : 5.21 ?

Dans l'Annexe A Contrôle 5.21, les organisations doivent mettre en œuvre des processus et des procédures robustes avant de fournir des produits ou des services à gérer les risques liés à la sécurité de l'information.

Le contrôle 5.21 de l'Annexe A est un contrôle préventif qui maintient le risque au sein de la chaîne d'approvisionnement des TIC en établissant un « niveau de sécurité convenu » entre les parties.

L'annexe A 5.21 de la norme ISO 27001 s'adresse aux fournisseurs de TIC qui peuvent avoir besoin de quelque chose en plus ou à la place de l'approche standard. Bien que la norme ISO 27001 recommande de nombreux domaines de mise en œuvre, le pragmatisme est également de mise. Compte tenu de la taille de l'organisation par rapport à certaines des très grandes entreprises avec lesquelles elle travaillera occasionnellement (par exemple centres de données, services d'hébergement, banques, etc.), elle devra peut-être avoir la capacité d'influencer les pratiques en aval de la chaîne d'approvisionnement.

En fonction des services de technologies de l’information et de la communication fournis, l’organisation doit évaluer soigneusement les risques qui peuvent survenir. Dans le cas d'un fournisseur de services à infrastructure critique, par exemple, il est important d'assurer une meilleure protection que si le fournisseur n'a accès qu'à des informations accessibles au public (par ex. code source pour le service logiciel phare) si le fournisseur fournit des services critiques pour l'infrastructure.

Propriété du contrôle de l’Annexe A 5.21

Dans l'annexe A, contrôle 5.21, l'accent est mis sur la fourniture de services de technologies de l'information et de la communication par un fournisseur ou un groupe de fournisseurs.

Par conséquent, la personne responsable de l'acquisition, de la gestion et du renouvellement des relations avec les fournisseurs de TIC dans toutes les fonctions commerciales, telles que Directeur technique ou responsable des technologies de l'information, devrait être propriétaire de ce processus.

ISO 27001:2022 Annexe A 5.21 – Lignes directrices générales

Le Norme ISO 27001 spécifie 13 points d'orientation liés aux TIC qui doivent être pris en compte parallèlement à tout autre contrôle de l'Annexe A qui régit la relation d'une organisation avec ses fournisseurs.

Au cours de la dernière décennie, les services multiplateformes sur site et cloud sont devenus de plus en plus populaires. ISO 27001:2022 Annexe A Le contrôle 5.21 traite de la fourniture de composants et de services matériels et logiciels (à la fois sur site et dans le cloud), mais fait rarement la différence entre les deux.

Plusieurs contrôles de l'annexe A traitent de la relation entre le fournisseur et l'organisation et des obligations du fournisseur lors de la sous-traitance de parties de la chaîne d'approvisionnement à des tiers.

1. Les organisations devraient rédiger un ensemble complet de sécurité de l'information des normes adaptées à leurs besoins spécifiques pour définir des attentes claires quant à la manière dont les fournisseurs doivent se comporter dans la fourniture de produits et services TIC.
2. Les fournisseurs de TIC ont la responsabilité de s'assurer que les sous-traitants et leur personnel connaissent parfaitement les normes uniques de sécurité de l'information de l'organisation. Cela est vrai s’ils sous-traitent n’importe quel élément de la chaîne d’approvisionnement.
3. Le fournisseur doit communiquer les exigences de sécurité de l'organisation à tous les vendeurs ou fournisseurs auxquels il fait appel lorsqu'il est nécessaire d'acquérir des composants (physiques ou virtuels) auprès de tiers.
4. Une organisation doit demander des informations aux fournisseurs concernant la nature et la fonction des composants logiciels.
5. L'organisation doit identifier et exploiter tout produit ou service fourni d'une manière qui ne compromet pas la sécurité des informations.
6. Les niveaux de risque ne doivent pas être tenus pour acquis par les organisations. Au lieu de cela, les organisations devraient rédiger des procédures garantissant que tous les produits ou services fournis par les fournisseurs sont sécurisés et conformes aux normes de l’industrie. Plusieurs méthodes peuvent être utilisées pour garantir la conformité, notamment les contrôles de certification, les tests internes et les pièces justificatives.
7. Dans le cadre de la réception d'un produit ou d'un service, les organisations doivent identifier et enregistrer tous les éléments jugés essentiels au maintien des fonctionnalités de base, en particulier si ces composants provenaient de sous-traitants ou d'accords d'externalisation.
8. Les fournisseurs doivent avoir l'assurance concrète que les « composants critiques » sont suivis tout au long de la chaîne d'approvisionnement des TIC, de la création à la livraison, ainsi que partie d'un journal d'audit.
9. Les organisations doivent rechercher une assurance catégorique avant de fournir des produits et services TIC. Il s’agit de garantir qu’ils fonctionnent dans le cadre du champ d’application et ne contiennent aucune fonctionnalité supplémentaire susceptible de présenter un risque de sécurité collatéral.
10. Les spécifications des composants sont cruciales pour garantir qu'une organisation comprend les composants matériels et logiciels qu'elle introduit dans son réseau. Les organisations doivent exiger des stipulations confirmant que les composants sont légitimes à la livraison, et les fournisseurs doivent envisager des mesures anti-falsification tout au long du cycle de vie de développement.
11. Il est essentiel d'obtenir des assurances concernant la conformité des produits TIC aux exigences de sécurité standard de l'industrie et spécifiques au secteur, en fonction des exigences spécifiques du produit. Il est courant que les entreprises y parviennent en obtenant un niveau minimum de certification de sécurité formelle ou en adhérant à un ensemble de normes d'information internationalement reconnues (par exemple, le Common Criteria Recognition Arrangement).
12. Le partage d’informations et de données concernant les opérations mutuelles de la chaîne d’approvisionnement oblige les organisations à s’assurer que les fournisseurs connaissent leurs obligations. À cet égard, les organisations doivent reconnaître les conflits ou problèmes potentiels entre les parties. Ils doivent également savoir comment les résoudre dès le début du processus. Âge du processus.
13. L'organisation doit développer des procédures pour Gérer le risque lorsque vous travaillez avec des composants non pris en charge, non pris en charge ou existants, où qu'ils se trouvent. Dans ces situations, l’organisation doit être capable de s’adapter et d’identifier des alternatives en conséquence.

Annexe A 5.21 Orientations supplémentaires

Conformément à l'Annexe A Contrôle 5.21, la gouvernance de la chaîne d'approvisionnement des TIC doit être envisagée en collaboration. Il est destiné à compléter les gestion de la chaîne logistique procédures et fournir un contexte pour les produits et services spécifiques aux TIC.

La norme ISO 27001:2022 reconnaît que le contrôle qualité dans le secteur des TIC n'inclut pas l'inspection granulaire des procédures de conformité d'un fournisseur, notamment en ce qui concerne les composants logiciels.

Il est donc recommandé aux organisations d'identifier les contrôles spécifiques aux fournisseurs qui sont utilisés pour vérifier que le fournisseur est une « source fiable » et de rédiger des accords qui énoncent en détail les responsabilités du fournisseur en matière de sécurité des informations lors de l'exécution d'un contrat, d'une commande ou de la fourniture d'un service. .

Quels sont les changements par rapport à la norme ISO 27001:2013 ?

ISO 27001:2022 Annexe A Contrôle 5.21 remplace ISO 27001:2013 Annexe A Contrôle 15.1.3 (Chaîne d'approvisionnement pour les technologies de l'information et de la communication).

En plus d'adhérer aux mêmes règles générales d'orientation que l'ISO 27001:2013 Annexe A 15.1.3, l'ISO 27001:2022 Annexe A 5.21 met l'accent sur l'obligation du fournisseur de fournir et de vérifier les informations relatives aux composants au moment de la livraison. fourniture, comprenant :

• Fournisseurs de composants informatiques.
• Fournir un aperçu des fonctionnalités de sécurité d'un produit et de la manière de l'utiliser du point de vue de la sécurité.
• Assurances concernant le niveau de sécurité requis.

Selon la norme ISO 27001 :2022, annexe A 5.21, l'organisation est également tenue de créer des informations supplémentaires spécifiques aux composants lors de l'introduction de produits et de services, telles que :

• Identifier et documenter les composants clés d'un produit ou d'un service qui contribuent à sa fonctionnalité principale.
• Assurer l’authenticité et l’intégrité des composants.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

Quel est l'avantage d'ISMS.online en matière de relations avec les fournisseurs ?

Cet objectif de contrôle de l’Annexe A a été rendu très simple par ISMS.online. En effet, ISMS.online fournit la preuve que vos relations sont soigneusement sélectionnées, bien gérées, surveillées et examinées.

Cela se fait dans notre zone facile à utiliser des relations avec les comptes (par exemple, les fournisseurs). Les espaces de travail des projets de collaboration permettent à l'auditeur de visualiser facilement les fournisseurs clés lors de l'embarquement, des initiatives conjointes, du départ, etc.

De plus, ISMS.online a permis à votre organisation d'atteindre plus facilement cet objectif de contrôle de l'annexe A en vous permettant de fournir la preuve que le fournisseur s'est formellement engagé à se conformer aux exigences et a compris ses responsabilités en matière de sécurité des informations avec nos packs de politiques.

En plus des accords plus larges entre un client et un fournisseur, Packs de politiques sont idéaux pour les organisations ayant des politiques spécifiques et des contrôles de l'Annexe A qu'elles souhaitent que le personnel des fournisseurs adhère, en s'assurant qu'ils ont lu leurs politiques et qu'ils s'engagent à les suivre.

La plate-forme basée sur le cloud que nous proposons fournit en outre les fonctionnalités suivantes

• Un système de gestion documentaire simple à utiliser et personnalisable.
• Vous aurez accès à une bibliothèque de modèles de documentation raffinés et pré-écrits.
• Le processus de réalisation des audits internes a été simplifié.
• Une méthode de communication efficace avec la direction et les parties prenantes.
• Un module de workflow est fourni pour faciliter le processus de mise en œuvre.

Pour planifier une démo, n'hésitez pas à contactez-nous aujourd'hui.