ID.SC-3.2

IDENTIFICEREN (IDENTIFY)

Risicobeheer van de toeleveringsketen

Contracten met leveranciers en externe partijen worden gebruikt om passende maatregelen te implementeren die ontwikkeld zijn om te voldoen aan de doelstellingen van het cyberbeveiligingsprogramma van een organisatie en het Cyber Supply Chain Risk Management Plan.

Contractuele informatiebeveiligingseisen voor leveranciers en externe partijen worden geïmplementeerd om een controleerbaar proces voor het verhelpen van gebreken te garanderen, en om te garanderen dat gebreken die tijdens het testen en evalueren van "informatiebeveiliging en cyberbeveiliging" zijn vastgesteld, worden verholpen.

• Informatiesystemen die software (of firmware) bevatten met recent aangekondigde softwarefouten (en potentiële kwetsbaarheden als gevolg van die fouten) moeten worden geïdentificeerd.

• Nieuw uitgebrachte patches, servicepacks en hot fixes die relevant zijn voor de beveiliging moeten worden geïnstalleerd, en deze patches, servicepacks en hot fixes moeten vóór installatie worden getest op effectiviteit en mogelijke neveneffecten op de informatiesystemen van de organisatie. Fouten die ontdekt worden tijdens beveiligingsbeoordelingen, voortdurende bewaking, activiteiten in het kader van reacties op beveiligingsincidenten of foutenbehandeling van informatiesystemen worden ook snel aangepakt. Het herstellen van fouten moet als een noodwijziging in het configuratiebeheer worden opgenomen.

ESSENTIEEL

KERNMAATREGEL