0976.389.199
ISO / IEC 27036-2: 2014 - Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 2: Yêu cầu

ISO / IEC 27036-2: 2014 - Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 2: Yêu cầu

ISO / IEC 27036-2: 2014 quy định các yêu cầu cơ bản về bảo mật thông tin để xác định, thực hiện, vận hành, giám sát, xem xét, duy trì và cải thiện mối quan hệ giữa nhà cung cấp và bên mua.

Tiêu chuẩn ISO / IEC 27036-2: 2014

Giới thiệu

Các tổ chức trên khắp thế giới làm việc với các nhà cung cấp để mua sản phẩm và dịch vụ. Nhiều tổ chức thiết lập một số mối quan hệ với nhà cung cấp để đáp ứng nhiều nhu cầu kinh doanh khác nhau, chẳng hạn như hoạt động hoặc sản xuất. Ngược lại, các nhà cung cấp cung cấp sản phẩm và dịch vụ cho một số bên mua lại.

Mối quan hệ giữa bên mua và nhà cung cấp được thiết lập với mục đích mua nhiều sản phẩm và dịch vụ có thể gây ra rủi ro bảo mật thông tin cho cả bên mua và nhà cung cấp. Những rủi ro này là do sự truy cập lẫn nhau vào tài sản của bên kia, chẳng hạn như thông tin và hệ thống thông tin, cũng như do sự khác biệt về mục tiêu kinh doanh và phương pháp tiếp cận bảo mật thông tin. Những rủi ro này nên được quản lý bởi cả bên mua và nhà cung cấp.

ISO / IEC 27036-2:

a) quy định các yêu cầu bảo mật thông tin cơ bản để xác định, thực hiện, vận hành, giám sát, xem xét, duy trì và cải thiện mối quan hệ giữa nhà cung cấp và bên mua;
b) tạo điều kiện thuận lợi cho sự hiểu biết lẫn nhau về cách tiếp cận của bên kia đối với an toàn thông tin và khả năng chấp nhận các rủi ro an toàn thông tin;
c) phản ánh mức độ phức tạp của việc quản lý các rủi ro có thể có tác động đến an toàn thông tin trong các mối quan hệ của nhà cung cấp và bên mua;
d) được dự định sử dụng bởi bất kỳ tổ chức nào sẵn sàng đánh giá độ an toàn thông tin trong các mối quan hệ của nhà cung cấp hoặc bên mua;
e) không nhằm mục đích chứng nhận;
f) được sử dụng để thiết lập một số mục tiêu an toàn thông tin xác định áp dụng cho mối quan hệ giữa nhà cung cấp và bên mua, làm cơ sở cho các mục đích đảm bảo.

ISO / IEC 27036-1 cung cấp tổng quan và các khái niệm liên quan đến an toàn thông tin trong các mối quan hệ với nhà cung cấp.

ISO / IEC 27036-3 cung cấp các hướng dẫn cho bên mua và nhà cung cấp để quản lý rủi ro an toàn thông tin cụ thể đối với chuỗi cung ứng sản phẩm và dịch vụ ICT.

ISO / IEC 27036-4 (sẽ được xuất bản) cung cấp hướng dẫn cho bên mua và nhà cung cấp để quản lý rủi ro bảo mật thông tin cụ thể đối với các dịch vụ đám mây.

CHÚ THÍCH: Người sử dụng tài liệu này cần phải diễn giải chính xác từng hình thức diễn đạt các điều khoản (ví dụ: “phải”, “sẽ không”, “nên” và “không nên”) là các yêu cầu cần được đáp ứng hoặc các khuyến nghị khi có là một quyền tự do lựa chọn nhất định.

1 Phạm vi

Phần này của tiêu chuẩn ISO / IEC 27036 quy định các yêu cầu cơ bản về bảo mật thông tin để xác định, thực hiện, vận hành, giám sát, xem xét, duy trì và cải thiện mối quan hệ giữa nhà cung cấp và bên mua.

Các yêu cầu này bao gồm bất kỳ hoạt động mua sắm và cung cấp sản phẩm và dịch vụ nào, chẳng hạn như sản xuất hoặc lắp ráp, mua sắm quy trình kinh doanh, thành phần phần mềm và phần cứng, mua sắm quy trình kiến ​​thức, Xây dựng-Vận hành-Chuyển giao và các dịch vụ điện toán đám mây.

Các yêu cầu này nhằm áp dụng cho tất cả các tổ chức, bất kể loại hình, quy mô và tính chất.

Để đáp ứng những yêu cầu này, một tổ chức nên đã triển khai nội bộ một số quy trình nền tảng hoặc đang tích cực lập kế hoạch để thực hiện. Các quy trình này bao gồm, nhưng không giới hạn, những quy trình sau: quản trị, quản lý kinh doanh, quản lý rủi ro, quản lý hoạt động và nguồn nhân lực, và bảo mật thông tin.

2 Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn mực trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

  • ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
  • ISO / IEC 27036-1 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 1: Tổng quan và khái niệm

Xem Preview Tiêu chuẩn ISO / IEC 27036-2: 2014

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan