5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.19Information security in supplier relationships
供应商关系中的信息安全		Control 控制
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
为管理使用供应商提供的产品或服务所带来的信息安全风险,相关过程和规程应被定义,并予以实施。
5.20Addressing information security within supplier agreements
在供应商协议中强调信息安全		Control 控制
Relevant information security requirements shall be established and agreed with each supplier based on the type of supplier relationship.
应基于供应商关系类型,建立相关信息安全要求,并与各供应商就信息安全要求达成一致。
5.21Managing information security in the information and communication technology (ICT) supply chain
信息与通信技术(ICT)供应链的信息安全管理		Control 控制
Processes and procedures shall be defined and implemented to manage the information security risks associated with the ICT products and services supply chain.
为管理信息与通信技术(ICT)产品和服务供应链相关的信息安全风险,相关过程和规程应被定义,并予以实施。
5.22Monitoring, review and change management of supplier services
供应商服务的监视、评审和变更管理		Control 控制
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
组织应定期监视、评审、评价供应商信息安全实践和服务交付,并应管理过程中的变更。
5.23Information security for use of cloud services
使用云服务的信息安全		Control 控制
Processes for acquisition, use, management and exit from cloud services shall be established in accordance with the organization’s information security requirements.
应根据组织信息安全要求,为获取、使用、管理和退出云服务建立流程。
A.15 供应商关系(ISO/IEC 27001: 2013 附录A)
A.15.1 供应商关系中的信息安全
目标:确保供应商可访问的组织资产得到保护。
A.15.1.1供应商关系的信息安全策略控制
为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件
A.15.1.2在供应商协议中强调安全控制
应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致。
A.15.1.3信息与通信技术供应链控制
供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。
A.15.2 供应商服务交付管理
目标:维护与供应商协议一致的信息安全和服务交付的商定级别。
A.15.2.1供应商服务的监视和评审控制
组织应定期监视、评审和审核供应商服务交付。
A.15.2.2供应商服务的变更管理控制
应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。

控制解析:

  1. A.5.19 & A.5.20 & A.5.21 & A.5.22 & A.5.23这些控制项都属于供应链信息安全管理模块,基本上对应ISO/IEC 27001: 2013中A.15,新版将ISO/IEC 27001: 2013中的A.15.2.1和A.15.2.2合并成了5.22。另外新版中的A.5.23是新增的控制项。
  2. 为满足以上控制项要求,组织应建立供应链信息安全管理过程,形成书面的《供应链信息安全管理程序》(可选),也可将相关职责和要求整合到组织原有的《供应链管理程序》中。
  3. 组织应根据自身业务和风险,编制供应链信息安全管理策略(需包含A.5.19 & A.5.20 & A.5.21 & A.5.22 & A.5.23这些控制项要求),并通过《供应链信息安全管理程序》,将这些策略要求整合到组织原有的供应链管理的各个环节(如,供应商选择与评价、协议评审与签订、供应商考核、供应商年度评审等)(A.5.19)。
  4. 应与供应商签订相应的信息安全协议(A.5.20)。
  5. 对于信息与通信技术产品或服务供应商,除了对供应商关系的一般信息安全要求外,需要确定适用于信息与通信技术产品或服务获取的信息安全要求(如,对于信息与通信技术服务,若供应商分包部分的组织信息与通信技术服务,则要求供应商在整个供应链中传播组织的安全要求;获得关键组件及其来源在供应链中可追溯的保障等)(A.5.21)。
  6. 一般针对关键供应商,在原有的供应商管理基础增加信息安全内容即可,如在供应商选择与评价过程中,增加信息安全内容的评价,在供应商定期审核过程中,增加信息安全审核模块,可以把涉及信息安全相关的变更(如网络的变更和强化,新产品或新版本/发布的采用,服务设施物理位置的变更,新工具和环境的开发等)加入到原有的供应商变更管理流程中(A.5.22)。
  7. A.5.23是新版中新增加的控制项,对于云服务安全需要有特殊的管理:(1)与使用云服务有关的所有相关信息安全要求;(2)云服务选择标准和云服务使用范围;(3)与云服务的使用和管理相关的角色和职责;(4)哪些信息安全控制由云服务提供商管理,哪些由作为云服务客户的组织管理;(4)如何获取和利用云服务商提供的信息安全能力;(5)如何确保云服务供应商实施的信息安全控制;(6)当组织使用多个云服务,特别是来自不同云服务提供商的云服务时,如何管理服务中的控制、接口和变更;(7)处理与使用云服务有关的信息安全事件的程序;(7)组织监视、评审和评价持续使用云服务管理信息安全风险的方法;(8)如何改变或停止云服务的使用,包括云服务的退出策略(A.5.23)。

实施本控制应输出的文档:

  1. 《供应链信息安全管理程序》(可选)或《供应链管理程序》。
  2. 供应链信息安全管理策略。
  3. 供应链信息安全协议。
  4. 供应商选择与评价记录。
  5. 供应商年度审核计划和审核记录。
  6. 供应商涉及信息安全的变更记录。

本控制审核要点:

  1. 审核关键供应商协议,是否包含信息安全要求。
  2. 审核关键供应商选择与评价记录,是否包含信息安全内容。
  3. 是否对关键供应商做信息安全年度审核计划,并对供应商实施审核。
  4. 审核组织是否有使用云服务,查看云服务相关协议,协议中是否明确双方信息安全责任等。