СТ РК ISO/IEC 27036-2-2018
Информационные технологии
Методы обеспечения безопасности
Информационная безопасность для взаимоотношений с поставщиками
Часть 2. Требования
(ISO/IEC 27036-2:2014 Information technology - Security techniques -
Information security for supplier relationships - Part 2: Requirements, IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Структура настоящего стандарта
6. Информационная безопасность в управлении взаимоотношениями с поставщиками
6.1 Процессы соглашения
6.2 Организационные включающие проект процессы
6.3 Процессы проекта
6.4 Технические процессы
7. Информационная безопасность в экземпляре взаимоотношений поставщиками
7.1 Процесс планирования взаимоотношений с поставщиками
7.2 Процесс выбора поставщика
7.3 Процесс соглашения взаимоотношений с поставщиками
7.4 Процесс управления взаимоотношениями с поставщиками
7.5 Процесс завершения взаимоотношений с поставщиками
Приложение А (информационное). Перекрестные ссылки между пунктами ISO/IEC 15288 и Пункты ISO/IEC 27036-2
Приложение В (информационное). Перекрестные ссылки между пунктами ISO/IEC 27036-2 и средства управления ISO/IEC 27002
Приложение С (информационное). Цели из пунктов 6 и 7
Библиография
Приложение В.А (информационное). Сведения о соответствии национальных и предварительных национальных стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств
Введение
Организации во всем мире работают с поставщиками для приобретения продуктов и услуг. Многие организации работают с несколькими поставщиками для удовлетворения различных бизнес-потребностей, таких как операции или производство. И наоборот, поставщики предоставляют продукты и услуги нескольким покупателям.
Взаимоотношения между покупателями и поставщиками, созданные с целью приобретения разнообразных продуктов и услуг, могут привести к рискам информационной безопасности как для покупателей, так и для поставщиков. Риски обусловлены взаимным доступом к активам другой стороны, таким как информация и информационные системы, а также различием в бизнес-целях и подходах к информационной безопасности. Данные риски должны управляться как покупателями, так и поставщиками.
Настоящий стандарт:
a) Определяет основные требования к информационной безопасности для определения, внедрения, эксплуатации, мониторинга, пересмотра, поддержания и улучшения взаимоотношений между поставщиками и покупателями;
b) Способствует взаимопониманию подхода другой стороны к информационной безопасности и толерантности к рискам информационной безопасности;
c) Отражает сложность управления рисками, которые могут оказывать влияние информационной безопасности на взаимоотношения поставщиков и покупателей;
d) Предназначен для использования любой организацией, желающей оценить безопасность информации в взаимоотношениях поставщиков или покупателей;
e) Не предназначено для целей сертификации;
