קאָנטראָל 5.21 - אָנפירונג אינפֿאָרמאַציע זיכערהייט אין די יקט סופּפּלי קייט

אַלגעמיינע גיידאַנס אויף קאָנטראָל 5.21

ISO סטיפּיאַלייץ 13 יקט-פֿאַרבונדענע גיידאַנס פונקטן וואָס זאָל זיין קאַנסידערד אַלאָנגסייד קיין אנדערע קאָנטראָלס וואָס דיקטירן די שייכות פון אַן אָרגאַניזאַציע מיט זיין סאַפּלייער (s).

געגעבן די יקספּאַנשאַן פון קרייַז-פּלאַטפאָרמע אויף-האַנאָכע און וואָלקן באַדינונגס אין די לעצטע יאָרצענדלינג, קאָנטראָל 5.21 דילז מיט די צושטעלן פון ביידע ייַזנוואַרג און סאָפטווער-פֿאַרבונדענע קאַמפּאָונאַנץ און באַדינונגס (ביידע אויף-האַנאָכע און וואָלקן-באזירט), און ראַרעלי דראָז אַ דיסטינגקשאַן צווישן די צוויי.

ווי געזונט ווי די שייכות צווישן די סאַפּלייער און די אָרגאַניזאַציע, עטלעכע קאָנטראָלס אויך האַנדלען מיט אַ סאַפּלייער ס אַבלאַגיישאַנז ווען סאַב-קאַנטראַקטינג עלעמענטן פון די צושטעלן קייט צו דריט-פּאַרטיי אָרגאַנאַזיישאַנז.

1. אָרגאַנאַזיישאַנז זאָל פּלאַן אַ קלאָר גאַנג פון אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס וואָס אַפּלייז צו זייער יחיד באדערפענישן, צו שטעלן קלאָר עקספּעקטיישאַנז אויף ווי סאַפּלייערז זאָל פירן זיך ווען דיליווערינג יקט פּראָדוקטן און באַדינונגס.
2. אויב די ICT סאַפּלייער סאַב-קאַנטראַקטיד קיין עלעמענט פון דער צושטעלן קייט, דער סאַפּלייער זאָל נעמען מיטלען צו ענשור אַז קאָנטראַקטאָרס און זייער פּערסאַנעל זענען גאָר באַקאַנט מיט די יינציק אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס פון דער אָרגאַניזאַציע.
3. אויב עס איז נויטיק צו קריגן קאַמפּאָונאַנץ (גשמיות אָדער ווירטואַל) פּערטשאַסט פֿון אַ דריט פּאַרטיי, דער סאַפּלייער זאָל פאַרשפּרייטן די זיכערהייט רעקווירעמענץ פון די אָרגאַניזאַציע צו ווערלדווייד אָדער סאַפּלייערז זיי זיך נוצן.
4. סאַפּלייערז זאָל זיין געבעטן צו צושטעלן אינפֿאָרמאַציע וועגן די נאַטור און פונקציע פון ​​די ווייכווארג קאַמפּאָונאַנץ זיי נוצן צו צושטעלן אַ סערוויס צו דער אָרגאַניזאַציע.
5. אָרגאַנאַזיישאַנז זאָל ידענטיפיצירן די אַנדערלייינג זיכערהייט פאַנגקשאַנז פון קיין פּראָדוקט אָדער דינסט סאַפּלייד, און ווי צו אַרבעטן די פּראָדוקט אָדער דינסט אין אַ וועג אַז טוט נישט קאָמפּראָמיס אויף אינפֿאָרמאַציע זיכערהייט.
6. אָרגאַנאַזיישאַנז זאָל נישט נעמען ריזיקירן לעוועלס פֿאַר געגעבן, און פּלאַן פּראָוסידזשערז וואָס ענשור אַז פּראָדוקטן אָדער סערוויסעס וואָס אַ סאַפּלייער דיליווערז זענען פון אַ זיכער נאַטור און געהאָרכיק מיט אנגענומען ינדאַסטרי סטאַנדאַרדס. מעטהאָדס קען אַרייַננעמען סערטאַפאַקיישאַן טשעקס, ינערלעך טעסטינג און שטיצן דאַקיומענטיישאַן פון העסקעם.
7. ווען זיי באַקומען אַ פּראָדוקט אָדער דינסט, אָרגאַנאַזיישאַנז זאָל אַדכיר צו אַ פּראָצעס פון ערשטער ידענטיפיצירן און רעקאָרדירן אַלע עלעמענטן וואָס זענען דימד ווי יקערדיק צו האַלטן די האַרץ פאַנגקשאַנאַליטי - ספּעציעל אויב די קאַמפּאָונאַנץ האָבן ערידזשאַנייטאַד פון אַ סאַב-קאָנטראַקטאָר / אַוצאָרסט העסקעם.
8. סאַפּלייערז זאָל קענען צו צושטעלן באַטאָנען אַשוראַנס אַז "קריטיש קאַמפּאָונאַנץ" נוץ פון אַ גרונטיק קאָנטראָלירן קלאָץ וואָס טראַסעס זייער באַוועגונג איבער די יקט צושטעלן קייט, פֿון שאַפונג ביז עקספּרעס.
9. ווי ICT פּראָדוקטן און באַדינונגס זענען איבערגעגעבן, אָרגאַנאַזיישאַנז זאָל זוכן קאַטאַגאָריקאַל פארזיכערונג אַז די פּראָדוקטן און באַדינונגס זענען נישט בלויז אַפּערייטינג אין פאַרנעם, אָבער טאָן ניט אַנטהאַלטן נאָך פֿעיִקייטן וואָס קען פאָרשטעלן אַ קאַלאַטעראַל. זיכערהייט ריזיקירן.
10. קאָמפּאָנענט ספּעסאַפאַקיישאַנז זענען שליסל צו ינשור אַז אַן אָרגאַניזאַציע פארשטייט די ייַזנוואַרג און ווייכווארג קאַמפּאָונאַנץ עס איז ינטראָודוסינג אויף זיין נעץ. סאַפּלייערז זאָל באַטראַכטן אַנטי-טאַמפּערינג מיטלען איבער די אַנטוויקלונג פון די לעבן ציקל, און אָרגאַנאַזיישאַנז זאָל דאַרפן סטיפּיאַליישאַנז וואָס באַשטעטיקן קאַמפּאָונאַנץ ווי לאַדזשיטאַמאַט ביי עקספּרעס.
11. אַשוראַנס זאָל זיין געזוכט צו באַשטעטיקן אַז יקט פּראָדוקטן זענען אין אַליינמאַנט מיט ינדאַסטרי נאָרמאַל און / אָדער סעקטאָר-ספּעציפיש זיכערהייַט באדערפענישן, ווי באַטייַטיק צו יעדער פּראָדוקט. פּראָסט מעטהאָדס צו דערגרייכן דעם אַרייַננעמען אַטשיווינג אַ מינימום מדרגה פון פאָרמאַל זיכערהייט סערטאַפאַקיישאַן, אָדער אַדכירינג צו אַ סכום פון ינטערנאַשאַנאַלי דערקענט אינפֿאָרמאַציע סטאַנדאַרדס (אַזאַ ווי די Common Criteria Recognition Arrangement) פּער פּראָדוקט.
12. אָרגאַנאַזיישאַנז זאָל נעמען סטעפּס צו ענשור אַז סאַפּלייערז זענען אַווער פון זייער אַבלאַגיישאַנז ווען ייַנטיילונג אינפֿאָרמאַציע און / אָדער דאַטן וועגן די קעגנצייַטיק צושטעלן קייט אָפּעראַציע, אַרייַנגערעכנט דערקענען קיין פּאָטענציעל קאָנפליקט אָדער פראבלעמען וואָס קען אויפשטיין צווישן ביידע פּאַרטיעס, און ווי צו האַנדלען מיט זיי ביי מקור.
13. אָרגאַנאַזיישאַנז דאַרפֿן צו פּלאַן פּראָוסידזשערז וואָס פירן ריזיקירן ווען אַפּערייטינג מיט אַנאַוויילאַבאַל, אַנסאַפּאָרטיד אָדער לעגאַט קאַמפּאָונאַנץ, ווו נאָר זיי וווינען. ווען קאַמפּאָונאַנץ זענען געפאלן אין איינער פון די קאַטעגאָריעס, אָרגאַנאַזיישאַנז זאָל זיין ביכולת צו אַדאַפּט אַקאָרדינגלי און ידענטיפיצירן אַלטערנאַטיוועס.

סופּפּלעמענטאַרי גיידאַנס

עס איז וויכטיק צו טאָן אַז גאַווערנאַנס פון ICT צושטעלן קייט זאָל ניט זיין גענומען אין אפגעזונדערטקייט אין לויט מיט דעם קאָנטראָל. קאָנטראָל 5.21 איז דיזיינד צו דערגאַנג יגזיסטינג פּראָוסידזשערז פון צושטעלן קייט פאַרוואַלטונג און פאָרשלאָגן קאָנטעקסט פֿאַר יקט-ספּעציפיש פּראָדוקטן און באַדינונגס.

ISO אנערקענט אַז, ספּעציעל ווען עס קומט צו ווייכווארג קאַמפּאָונאַנץ, קוואַליטעט קאָנטראָל אין די קויל פון יקט פּראָדוקטן און באַדינונגס טוט נישט פאַרברייטערן צו גראַניאַלער דורכקוק פון די סאַפּלייער ס אייגן גאַנג פון העסקעם פּראָוסידזשערז.

ווי אַזאַ, אָרגאַנאַזיישאַנז זענען ינקעראַדזשד צו ידענטיפיצירן סאַפּלייער-ספּעציפיש טשעקס וואָס באַשטעטיקן די סאַפּלייער ווי אַ "רעפּיאַטאַבאַל מקור" און פּלאַן אַגרימאַנץ וואָס קאַטאַגאַריקלי זאָגן די סאַפּלייער ס אינפֿאָרמאַציע זיכערהייט אַבלאַגיישאַנז ווען מקיים אַ קאָנטראַקט, סדר אָדער צושטעלן אַ דינסט.

קאָנטראָל 5.21 ענדערונגען פֿון ISO 27002:2013

יסאָ קסנומקס:2022-5.21 ריפּלייסיז ISO 27002:2013-15.1.3 (אינפֿאָרמאַציע און קאָמוניקאַציע טעכנאָלאָגיע צושטעלן קייט).

ISO 27002: 2022-5.21 אַדכירז צו דער זעלביקער גאַנג פון אַלגעמיינע גיידאַנס כּללים ווי ISO 27002: 2013-15.1.3, אָבער לייגט אַ פיל גרעסערע טראָפּ אויף אַ סאַפּלייער ס פליכט צו צושטעלן און באַשטעטיקן קאָמפּאָנענט-פֿאַרבונדענע אינפֿאָרמאַציע אין פונט פון צושטעלן, אַרייַנגערעכנט:

• יקט סאַפּלייערז פּראַוויידינג קאָמפּאָנענט אינפֿאָרמאַציע.
• יקט סאַפּלייערז אַוטליינינג די זיכערהייט פאַנגקשאַנז פון אַ פּראָדוקט און ווי בעסטער צו אַרבעטן עס פֿון אַ זיכערהייט פּערספּעקטיוו.
• אַשוראַנס וועגן פארלאנגט זיכערהייט לעוועלס.

ISO 27002: 2022-5.21 אויך פרעגט די אָרגאַניזאַציע צו שאַפֿן נאָך קאָמפּאָנענט-ספּעציפיש אינפֿאָרמאַציע צו פאַרגרעסערן אַלגעמיין לעוועלס פון אינפֿאָרמאַציע זיכערהייט ווען ינטראָודוסינג פּראָדוקטן און באַדינונגס, אַרייַנגערעכנט:

• ידענטיפיצירן און דאַקיומענטינג קאַמפּאָונאַנץ וואָס זענען קריטיש פֿאַר די האַרץ פאַנגקשאַנאַליטי פון די פּראָדוקט אָדער דינסט.
• ינשורינג אַז קאַמפּאָונאַנץ זענען עכט און אַנאַליטערד.

ווי ISMS.online העלפּס

At ISMS.online, מיר האָבן געבויט אַ פולשטענדיק און גרינג צו נוצן סיסטעם וואָס קענען העלפֿן איר צו ינסטרומענט ISO 27002 קאָנטראָלס און פירן דיין גאַנץ יסמס.

אונדזער וואָלקן-באזירט פּלאַטפאָרמע אָפפערס:

• אַן גרינג צו נוצן און קאַסטאַמייז דאַקיומענטיישאַן פאַרוואַלטונג סיסטעם.
• אַקסעס צו אַ ביבליאָטעק פון פּאַלישט, פאַר-געשריבן דאַקיומענטיישאַן טעמפּלאַטעס.
• א סימפּלאַפייד פּראָצעס פֿאַר קאַנדאַקטינג ינערלעך אַדאַץ.
• אַן עפעקטיוו אופֿן פֿאַר קאַמיונאַקייטינג מיט פאַרוואַלטונג און סטייקכאָולדערז.
• א וואָרקפלאָוו מאָדולע צו סטרימליין די ימפּלאַמענטיישאַן פּראָצעס.

ISMS.online האט אַלע די פֿעיִקייטן, און מער.

באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.