Le contrôle 5.21 régit la façon dont les organisations gérer la sécurité des informations risques tout au long de leur chaîne d’approvisionnement TIC, en mettant en œuvre des processus et des procédures robustes avant la fourniture de tout produit ou service.
5.21 est un contrôle préventif qui maintient le risque en établissant un « niveau de sécurité convenu » entre les deux parties tout au long du processus TIC chaîne d'approvisionnement.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier | #Sécurité des relations avec les fournisseurs | #Gouvernance et #Protection des écosystèmes |
Le contrôle 5.21 est explicitement axé sur la fourniture de services TIC, via un fournisseur ou un groupe de fournisseurs.
En tant que tel, la propriété devrait appartenir à la personne responsable de l'acquisition, de la gestion et du renouvellement des TIC. relations fournisseurs dans toutes les fonctions de l'entreprise, comme un Chief Technical Officer or Head of IT.
Avec ISMS.online, les défis liés au contrôle de version, à l'approbation et au partage de politiques appartiennent au passé.
L'ISO stipule 13 points d'orientation liés aux TIC qui doivent être pris en compte aux côtés de tout autre contrôle qui dicte la relation d'une organisation avec son(ses) fournisseur(s).
Compte tenu de l’expansion des services multiplateformes sur site et cloud au cours de la dernière décennie, Control 5.21 s’occupe de la fourniture à la fois de matériel et ,software-composants et services associés (à la fois sur site et basés sur le cloud), et fait rarement une distinction entre les deux.
Outre la relation entre le fournisseur et l'organisation, plusieurs contrôles portent également sur les obligations d'un fournisseur lorsqu'il sous-traite des éléments de la chaîne d'approvisionnement à des organisations tierces.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Il est important de noter que la gouvernance de la chaîne d'approvisionnement des TIC ne doit pas être considérée de manière isolée, conformément à ce contrôle. Control 5.21 est conçu pour compléter les procédures de gestion de la chaîne d'approvisionnement existantes et offrir un contexte pour les produits et services spécifiques aux TIC.
L'ISO reconnaît que, notamment lorsqu'il s'agit de composants logiciels, le contrôle qualité dans le domaine des produits et services TIC ne s'étend pas à une inspection granulaire de l'ensemble de procédures de conformité du fournisseur.
À ce titre, les organisations sont encouragées à identifier des contrôles spécifiques au fournisseur qui vérifient que le fournisseur est une « source fiable » et à rédiger des accords qui énoncent catégoriquement les obligations du fournisseur en matière de sécurité des informations, lors de l'exécution d'un contrat, d'une commande ou de la fourniture d'un service.
ISO 27002:2022-5.21 remplace ISO 27002:2013-15.1.3 (Chaîne d'approvisionnement des technologies de l'information et de la communication).
L'ISO 27002:2022-5.21 adhère au même ensemble de règles générales d'orientation que l'ISO 27002:2013-15.1.3, mais met beaucoup plus l'accent sur l'obligation du fournisseur de fournir et de vérifier les informations relatives aux composants au point de livraison, notamment :
ISO 27002:2022-5.21 demande également à l'organisation de créer des informations supplémentaires spécifiques aux composants pour augmenter les niveaux généraux de sécurité des informations lors de l'introduction de produits et de services, notamment :
At ISMS.en ligne, nous avons construit un système complet et facile à utiliser qui peut vous aider à mettre en œuvre les contrôles ISO 27002 et à gérer l'ensemble de votre SMSI.
Notre plateforme cloud offre :
ISMS.online possède toutes ces fonctionnalitéset plus encore.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Nous sommes économiques et rapides