Tối ưu hóa quá trình làm việc của bạn. Xem thêm
Đặt Lịch Demo

ISO 27002:2022, Kiểm soát 5.21 – Quản lý an ninh thông tin trong chuỗi cung ứng ICT

ISO 27002:2022 Kiểm soát được sửa đổi
Đặt Lịch Demo

Mục đích của Kiểm soát 5.21

Kiểm soát 5.21 điều chỉnh cách các tổ chức quản lý rủi ro bảo mật thông tin trong toàn bộ chuỗi cung ứng ICT của mình bằng cách triển khai các quy trình và thủ tục mạnh mẽ trước khi cung cấp bất kỳ sản phẩm hoặc dịch vụ nào.

5.21 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập “mức độ bảo mật đã thỏa thuận” giữa cả hai bên trong toàn bộ chuỗi cung ứng ICT .

Bảng thuộc tính kiểm soát 5.21

Loại điều khiểnThuộc tính bảo mật thông tinCác khái niệm về an ninh mạngKhả năng hoạt độngMiền bảo mật
#Phòng ngừa#Bảo mật #Toàn vẹn #Khả dụng#Nhận dạng#Bảo mật mối quan hệ nhà cung cấp#Quản trị và Hệ sinh thái #Bảo vệ

Quyền sở hữu kiểm soát 5.21

Tiêu chuẩn kiểm soát 5.21 tập trung rõ ràng vào việc cung cấp dịch vụ CNTT thông qua nhà cung cấp hoặc nhóm nhà cung cấp.

Do đó, quyền sở hữu phải thuộc về người chịu trách nhiệm mua lại, quản lý và gia hạn mối quan hệ với nhà cung cấp ICT trên mọi chức năng kinh doanh, chẳng hạn như Giám đốc kỹ thuật hoặc Trưởng phòng CNTT .

Hướng dẫn chung về Kiểm soát 5.21

ISO quy định 13 điểm hướng dẫn liên quan đến ICT cần được xem xét cùng với bất kỳ biện pháp kiểm soát nào khác chi phối mối quan hệ của tổ chức với nhà cung cấp của mình.

Với sự mở rộng của các dịch vụ tại chỗ và đám mây đa nền tảng trong thập kỷ qua, Control 5.21 xử lý việc cung cấp cả các thành phần và dịch vụ liên quan đến phần cứng và phần mềm (cả tại chỗ và trên đám mây) và hiếm khi phân biệt giữa hai dịch vụ này.

Ngoài mối quan hệ giữa nhà cung cấp và tổ chức, một số biện pháp kiểm soát cũng đề cập đến nghĩa vụ của nhà cung cấp khi giao thầu các yếu tố của chuỗi cung ứng cho các tổ chức bên thứ ba.

  1. Các tổ chức nên soạn thảo một bộ tiêu chuẩn bảo mật thông tin rõ ràng áp dụng cho nhu cầu riêng của mình, để đặt ra kỳ vọng rõ ràng về cách nhà cung cấp nên ứng xử khi cung cấp các sản phẩm và dịch vụ ICT.
  2. Nếu nhà cung cấp ICT ký hợp đồng phụ cho bất kỳ yếu tố nào của chuỗi cung ứng, nhà cung cấp phải thực hiện các biện pháp để đảm bảo rằng các nhà thầu và nhân viên của họ nắm rõ các tiêu chuẩn bảo mật thông tin riêng của tổ chức.
  3. Nếu cần phải mua các thành phần (vật lý hoặc ảo) từ bên thứ ba, nhà cung cấp phải phổ biến các yêu cầu bảo mật của tổ chức cho bất kỳ nhà cung cấp hoặc nhà cung ứng nào mà họ sử dụng.
  4. Các nhà cung cấp nên được yêu cầu cung cấp thông tin về bản chất và chức năng của các thành phần phần mềm mà họ sử dụng để cung cấp dịch vụ cho tổ chức.
  5. Các tổ chức cần xác định các chức năng bảo mật cơ bản của bất kỳ sản phẩm hoặc dịch vụ nào được cung cấp và cách vận hành sản phẩm hoặc dịch vụ đó theo cách không gây ảnh hưởng đến bảo mật thông tin .
  6. Các tổ chức không nên coi nhẹ mức độ rủi ro và phải soạn thảo các quy trình đảm bảo mọi sản phẩm hoặc dịch vụ mà nhà cung cấp cung cấp đều có bản chất an toàn và tuân thủ các tiêu chuẩn công nghiệp được chấp nhận. Các phương pháp có thể bao gồm kiểm tra chứng nhận, thử nghiệm nội bộ và hỗ trợ tài liệu tuân thủ.
  7. Khi tiếp nhận sản phẩm hoặc dịch vụ, các tổ chức phải tuân thủ quy trình đầu tiên là xác định sau đó ghi lại bất kỳ yếu tố nào được coi là cần thiết để duy trì chức năng cốt lõi – đặc biệt nếu các thành phần đó có nguồn gốc từ thỏa thuận thuê ngoài/thầu phụ.
  8. Các nhà cung cấp phải có khả năng đưa ra sự đảm bảo cụ thể rằng “các thành phần quan trọng” sẽ được hưởng lợi từ nhật ký kiểm toán toàn diện theo dõi hoạt động của chúng trong toàn bộ chuỗi cung ứng ICT, từ khâu tạo ra đến khi giao hàng.
  9. Khi cung cấp các sản phẩm và dịch vụ ICT, các tổ chức cần tìm kiếm sự đảm bảo chắc chắn rằng các sản phẩm và dịch vụ đó không chỉ hoạt động trong phạm vi mà còn không chứa bất kỳ tính năng bổ sung nào có thể gây ra rủi ro bảo mật .
  10. Thông số kỹ thuật thành phần là chìa khóa để đảm bảo rằng một tổ chức hiểu được các thành phần phần cứng và phần mềm mà họ đang đưa vào mạng của mình. Các nhà cung cấp nên xem xét các biện pháp chống giả mạo trong suốt vòng đời phát triển và các tổ chức nên yêu cầu các điều khoản xác minh các thành phần là hợp pháp khi giao hàng.
  11. Cần tìm kiếm sự đảm bảo để xác nhận rằng các sản phẩm ICT phù hợp với các yêu cầu bảo mật theo tiêu chuẩn ngành và/hoặc theo từng lĩnh vực cụ thể , tùy theo từng sản phẩm. Các phương pháp phổ biến để đạt được điều này bao gồm đạt được mức chứng nhận bảo mật chính thức tối thiểu hoặc tuân thủ một bộ tiêu chuẩn thông tin được quốc tế công nhận (như Thỏa thuận công nhận tiêu chuẩn chung) cho mỗi sản phẩm.
  12. Các tổ chức nên thực hiện các bước để đảm bảo rằng các nhà cung cấp nhận thức được nghĩa vụ của mình khi chia sẻ thông tin và/hoặc dữ liệu liên quan đến hoạt động chuỗi cung ứng chung, bao gồm cả việc thừa nhận mọi xung đột hoặc vấn đề tiềm ẩn có thể phát sinh giữa hai bên và cách giải quyết chúng ngay từ đầu.
  13. Các tổ chức cần soạn thảo các quy trình quản lý rủi ro khi vận hành với các thành phần không khả dụng, không được hỗ trợ hoặc cũ, bất kể chúng nằm ở đâu. Khi các thành phần rơi vào một trong các loại này, các tổ chức phải có khả năng thích ứng phù hợp và xác định các giải pháp thay thế.

Hướng dẫn bổ sung

Điều quan trọng cần lưu ý là quản trị chuỗi cung ứng ICT không nên được thực hiện riêng lẻ, theo biện pháp kiểm soát này. Biện pháp kiểm soát 5.21 được thiết kế để bổ sung cho các quy trình quản lý chuỗi cung ứng hiện có và cung cấp bối cảnh cho các sản phẩm và dịch vụ cụ thể của ICT.

ISO thừa nhận rằng, đặc biệt khi nói đến các thành phần phần mềm, kiểm soát chất lượng trong lĩnh vực sản phẩm và dịch vụ ICT không mở rộng đến việc kiểm tra chi tiết bộ quy trình tuân thủ của riêng nhà cung cấp.

Do đó, các tổ chức được khuyến khích xác định các cuộc kiểm tra cụ thể đối với nhà cung cấp để xác minh nhà cung cấp là “nguồn đáng tin cậy” và soạn thảo các thỏa thuận nêu rõ nghĩa vụ bảo mật thông tin của nhà cung cấp khi thực hiện hợp đồng, đơn đặt hàng hoặc cung cấp dịch vụ.

Kiểm soát 5.21 Thay đổi từ ISO 27002:2013

ISO 27002 :2022-5.21 thay thế ISO 27002:2013-15.1.3 (Chuỗi cung ứng công nghệ thông tin và truyền thông).

ISO 27002:2022-5.21 tuân thủ cùng một bộ quy tắc hướng dẫn chung như ISO 27002:2013-15.1.3, nhưng nhấn mạnh nhiều hơn vào nghĩa vụ của nhà cung cấp trong việc cung cấp và xác minh thông tin liên quan đến thành phần tại điểm cung cấp, bao gồm:

  • Nhà cung cấp ICT cung cấp thông tin về linh kiện.
  • Các nhà cung cấp ICT phác thảo các chức năng bảo mật của sản phẩm và cách vận hành tốt nhất theo quan điểm bảo mật.
  • Đảm bảo về mức độ bảo mật cần thiết.

ISO 27002:2022-5.21 cũng yêu cầu tổ chức tạo thêm thông tin cụ thể cho từng thành phần để tăng mức độ bảo mật thông tin chung khi giới thiệu sản phẩm và dịch vụ, bao gồm:

  • Xác định và ghi chép các thành phần quan trọng đối với chức năng cốt lõi của sản phẩm hoặc dịch vụ.
  • Đảm bảo các thành phần là chính hãng và không bị thay đổi.

ISOA.vn giúp ích như thế nào

Với ISOA.vn , bạn sẽ có quyền truy cập vào bộ công cụ và tài nguyên đầy đủ để giúp quản lý Hệ thống quản lý bảo mật thông tin (ISMS) ISO 27001 của riêng bạn, cho dù bạn là người mới hay đã được chứng nhận.

Hơn nữa, ISOA.vn cung cấp các quy trình tự động giúp đơn giản hóa toàn bộ quy trình đánh giá. Các quy trình này tiết kiệm đáng kể thời gian quản trị so với các phương pháp làm việc khác.

Bạn sẽ có được sự khởi đầu thuận lợi với các chính sách và biện pháp kiểm soát ISO 27001 từ ISOA.vn.

Quy trình làm việc trực quan, công cụ, khuôn khổ, chính sách và biện pháp kiểm soát, tài liệu hướng dẫn và thực tế cũng như hướng dẫn thực tế giúp triển khai ISO 27001 dễ dàng bằng cách xác định phạm vi, xác định rủi ro và triển khai các biện pháp kiểm soát dựa trên thuật toán của chúng tôi – cho dù chúng được tạo từ đầu hay dựa trên các mẫu thông lệ tốt nhất trong ngành.

Hãy liên hệ với chúng tôi ngay hôm nay để lên lịch trình demo.

Điều khiển mới

 
Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.7MớiTình báo đe dọa
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
7.4MớiGiám sát an ninh vật lý
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.16MớiHoạt động giám sát
8.23MớiLọc web
8.28MớiMã hóa an toàn
 

Kiểm soát tổ chức

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.105.11, 05.1.2Chính sách bảo mật thông tin
5.206.1.1Vai trò và trách nhiệm bảo mật thông tin
5.306.1.2Phân chia nhiệm vụ
5.407.2.1Trách nhiệm quản lý
5.506.1.3Liên hệ với chính quyền
5.606.1.4Liên hệ với các nhóm lợi ích đặc biệt
5.7MớiTình báo đe dọa
5.806.1.5, 14.1.1An ninh thông tin trong quản lý dự án
5.908.11, 08.12Kiểm kê thông tin và các tài sản liên quan khác
5.1008.13, 08.2.3Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận
5.1108.1.4Trả lại tài sản
5.1208.2.1Phân loại thông tin
5.1308.2.2Ghi nhãn thông tin
5.1413.2.1, 13.2.2, 13.2.3Chuyển giao thông tin
5.1509.1.1, 09.1.2Kiểm soát truy cập
5.1609.2.1Quản lý danh tính
5.1709.2.4, 09.3.1, 09.4.3Thông tin xác thực
5.1809.2.2, 09.2.5, 09.2.6Quyền truy cập
5.1915.1.1Bảo mật thông tin trong mối quan hệ với nhà cung cấp
5.2015.1.2Xử lý vấn đề bảo mật thông tin trong các thỏa thuận với nhà cung cấp
5.2115.1.3Quản lý an ninh thông tin trong chuỗi cung ứng ICT
5.2215.2.1, 15.2.2Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.2416.1.1Lập kế hoạch và chuẩn bị quản lý sự cố an ninh thông tin
5.2516.1.4Đánh giá và quyết định về các sự kiện an ninh thông tin
5.2616.1.5Phản hồi sự cố an ninh thông tin
5.2716.1.6Rút kinh nghiệm từ các sự cố an ninh thông tin
5.2816.1.7Thu thập bằng chứng
5.2917.1.1, 17.1.2, 17.1.3An ninh thông tin trong thời gian gián đoạn
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
5.3118.1.1, 18.1.5Yêu cầu pháp lý, quy định, quy định và hợp đồng
5.3218.1.2Quyền sở hữu trí tuệ
5.3318.1.3Bảo vệ hồ sơ
5.3418.1.4Quyền riêng tư và bảo vệ PII
5.3518.2.1Đánh giá độc lập về an ninh thông tin
5.3618.2.2, 18.2.3Tuân thủ các chính sách, quy tắc và tiêu chuẩn về bảo mật thông tin
5.3712.1.1Quy trình vận hành được ghi chép lại

Kiểm soát con người

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
6.107.1.1Kiểm tra
6.207.1.2Điều khoản và điều kiện tuyển dụng
6.307.2.2Nhận thức, giáo dục và đào tạo về an ninh thông tin
6.407.2.3Quy trình kỷ luật
6.507.3.1Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm
6.613.2.4Thỏa thuận bảo mật hoặc không tiết lộ
6.706.2.2Làm việc từ xa
6.816.1.2, 16.1.3Báo cáo sự kiện bảo mật thông tin

Kiểm soát vật lý

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
7.111.1.1Chu vi an ninh vật lý
7.211.1.2, 11.1.6Nhập cảnh vật lý
7.311.1.3Bảo vệ văn phòng, phòng và cơ sở vật chất
7.4MớiGiám sát an ninh vật lý
7.511.1.4Bảo vệ chống lại các mối đe dọa về vật lý và môi trường
7.611.1.5Làm việc ở những khu vực an toàn
7.711.2.9Dọn dẹp bàn làm việc và màn hình sạch sẽ
7.811.2.1Vị trí và bảo vệ thiết bị
7.911.2.6Bảo vệ tài sản ngoài cơ sở
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Phương tiện lưu trữ
7.1111.2.2Tiện ích hỗ trợ
7.1211.2.3Bảo mật cắp
7.1311.2.4Bảo trì thiết bị
7.1411.2.7Xử lý an toàn hoặc tái sử dụng thiết bị

Kiểm soát công nghệ

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
8.106.2.1, 11.2.8Thiết bị đầu cuối của người dùng
8.209.2.3Quyền truy cập đặc quyền
8.309.4.1Hạn chế truy cập thông tin
8.409.4.5Truy cập vào mã nguồn
8.509.4.2Xác thực an toàn
8.612.1.3Quản lý năng lực
8.712.2.1Bảo vệ chống lại phần mềm độc hại
8.812.6.1, 18.2.3Quản lý lỗ hổng kỹ thuật
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.1312.3.1Sao lưu thông tin
8.1417.2.1Sự dư thừa của các cơ sở xử lý thông tin
8.1512.4.1, 12.4.2, 12.4.3Ghi nhật ký
8.16MớiHoạt động giám sát
8.1712.4.4Đồng bộ hóa đồng hồ
8.1809.4.4Sử dụng các chương trình tiện ích đặc quyền
8.1912.5.1, 12.6.2Cài đặt phần mềm trên hệ điều hành
8.2013.1.1Bảo mật mạng
8.2113.1.2Bảo mật dịch vụ mạng
8.2213.1.3Phân tách mạng lưới
8.23MớiLọc web
8.2410.11, 10.1.2Sử dụng mật mã
8.2514.2.1Vòng đời phát triển an toàn
8.2614.1.2, 14.1.3Yêu cầu bảo mật ứng dụng
8.2714.2.5Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật
8.28MớiMã hóa an toàn
8.2914.2.8, 14.2.9Kiểm tra bảo mật trong quá trình phát triển và chấp nhận
8.3014.2.7Phát triển thuê ngoài
8.3112.1.4, 14.2.6Phân tách môi trường phát triển, thử nghiệm và sản xuất
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Quản lý thay đổi
8.3314.3.1Thông tin kiểm tra
8.3412.7.1Bảo vệ hệ thống thông tin trong quá trình kiểm tra kiểm toán

Nội dung

Bắt đầu với ISO 27002

Giải pháp tuân thủ duy nhất
bạn cần

Đặt Lịch Demo

Thành công 100% ISO 27001

Con đường đơn giản, thiết thực và tiết kiệm thời gian của bạn để đạt được chứng nhận hoặc tuân thủ ISO 27001 lần đầu tiên

Đặt Lịch Demo

Tiêu Chuẩn

Công Ty

Hỗ Trợ

Theo Dõi

Facebook Twitter Youtube

Bản quyền © 2025 ISO Academy

Đặt Lịch Demo