Tổng quan

Tiêu chuẩn ISO / IEC 27036-1: 2021

Giới thiệu

Hầu hết (nếu không phải tất cả) các tổ chức trên khắp thế giới, bất kể quy mô hoặc lĩnh vực hoạt động của họ, đều có mối quan hệ với các nhà cung cấp thuộc các loại khác nhau để cung cấp sản phẩm hoặc dịch vụ.

Những nhà cung cấp như vậy có thể có quyền truy cập trực tiếp hoặc gián tiếp vào thông tin và hệ thống thông tin của bên mua hoặc sẽ cung cấp các yếu tố (phần mềm, phần cứng, quy trình hoặc nguồn nhân lực) sẽ tham gia vào quá trình xử lý thông tin. Người mua cũng có thể có quyền truy cập vật lý và logic vào thông tin của nhà cung cấp khi họ kiểm soát hoặc giám sát các quy trình sản xuất và giao hàng của nhà cung cấp.

Do đó, bên mua và bên cung cấp có thể gây ra rủi ro bảo mật thông tin cho nhau. Những rủi ro này cần được đánh giá và xử lý bởi cả tổ chức bên mua và nhà cung cấp thông qua việc quản lý thích hợp về an toàn thông tin và việc thực hiện các biện pháp kiểm soát liên quan. Trong nhiều trường hợp, các tổ chức đã áp dụng ISO / IEC 27001 và ISO / IEC 27002 để quản lý bảo mật thông tin của họ. Các tiêu chuẩn quốc tế như vậy cũng cần được thông qua trong việc quản lý các mối quan hệ với nhà cung cấp nhằm kiểm soát hiệu quả các rủi ro an toàn thông tin vốn có trong các mối quan hệ đó.

Tài liệu này cung cấp hướng dẫn triển khai chi tiết hơn về các biện pháp kiểm soát liên quan đến mối quan hệ với nhà cung cấp được mô tả như các khuyến nghị chung trong ISO / IEC 27002.

Mối quan hệ với nhà cung cấp trong ngữ cảnh của tài liệu này bao gồm bất kỳ mối quan hệ nhà cung cấp nào có thể có tác động về bảo mật thông tin, ví dụ: công nghệ thông tin, dịch vụ chăm sóc sức khỏe, dịch vụ vệ sinh, dịch vụ tư vấn, quan hệ đối tác R&D, ứng dụng thuê ngoài (ASP) hoặc dịch vụ điện toán đám mây (chẳng hạn như phần mềm, nền tảng hoặc cơ sở hạ tầng như một dịch vụ).

Cả nhà cung cấp và bên mua phải chịu trách nhiệm về việc đạt được các mục tiêu trong mối quan hệ giữa nhà cung cấp và bên mua và giải quyết thỏa đáng các rủi ro an toàn thông tin có thể xảy ra. Dự kiến ​​rằng họ thực hiện các yêu cầu và hướng dẫn của tài liệu này. Hơn nữa, các quy trình cơ bản cần được thực hiện để hỗ trợ mối quan hệ giữa nhà cung cấp và bên mua (ví dụ: quản trị, quản lý kinh doanh và quản lý hoạt động và nguồn nhân lực). Các quy trình này sẽ cung cấp hỗ trợ về bảo mật thông tin cũng như việc hoàn thành các mục tiêu kinh doanh.

1 Phạm vi

Tài liệu này là một phần giới thiệu của tiêu chuẩn ISO / IEC 27036 . Nó cung cấp một cái nhìn tổng quan về hướng dẫn nhằm hỗ trợ các tổ chức trong việc bảo mật thông tin và hệ thống thông tin của họ trong bối cảnh các mối quan hệ với nhà cung cấp. Nó cũng giới thiệu các khái niệm được mô tả chi tiết trong các phần khác của ISO / IEC 27036 . Tài liệu này đề cập đến quan điểm của cả bên mua và bên cung cấp.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

Xem Preview Tiêu chuẩn ISO / IEC 27036-1: 2021

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.