Tổng quan

Tiêu chuẩn ISO / IEC 27036-3: 2013

Giới thiệu

Các sản phẩm và dịch vụ của Công nghệ Thông tin và Truyền thông (ICT) được phát triển, tích hợp và phân phối trên toàn cầu thông qua các chuỗi cung ứng phân tán và sâu rộng. Các sản phẩm ICT được lắp ráp từ nhiều linh kiện do nhiều nhà cung cấp cung cấp. Các dịch vụ ICT trong toàn bộ mối quan hệ với nhà cung cấp cũng được cung cấp thông qua nhiều cấp độ bên ngoài và chuỗi cung ứng. Người mua không có khả năng hiển thị thông lệ của các nhà cung cấp phần cứng, phần mềm và dịch vụ ngoài mắt xích thứ nhất hoặc có thể là thứ hai của chuỗi cung ứng. Với sự gia tăng đáng kể về số lượng các tổ chức và những người “tiếp xúc” với một sản phẩm hoặc dịch vụ CNTT-TT, khả năng hiển thị về các thực hành mà các sản phẩm và dịch vụ này được kết hợp với nhau đã giảm đáng kể. Điều này thiếu khả năng hiển thị, minh bạch.

Tiêu chuẩn này cung cấp hướng dẫn cho người mua và nhà cung cấp sản phẩm và dịch vụ ICT để giảm hoặc quản lý rủi ro an toàn thông tin. Tiêu chuẩn này xác định trường hợp kinh doanh đối với an ninh chuỗi cung ứng ICT, các rủi ro và loại mối quan hệ cụ thể cũng như cách phát triển năng lực tổ chức để quản lý các khía cạnh an toàn thông tin và kết hợp phương pháp tiếp cận vòng đời để quản lý rủi ro được hỗ trợ bởi các biện pháp kiểm soát và thông lệ cụ thể. Ứng dụng của nó dự kiến ​​sẽ dẫn đến:

- Tăng khả năng hiển thị chuỗi cung ứng ICT và khả năng truy xuất nguồn gốc để tăng cường khả năng bảo mật thông tin
- Bên mua tăng cường hiểu biết về sản phẩm hoặc dịch vụ của họ đến từ đâu và về các thông lệ được sử dụng để phát triển, tích hợp hoặc vận hành các sản phẩm hoặc dịch vụ này, nhằm tăng cường việc thực hiện các yêu cầu về an toàn thông tin
- Trong trường hợp có sự xâm phạm về bảo mật thông tin, sự sẵn có của thông tin về những gì có thể đã bị xâm phạm và các bên liên quan có thể là ai.

Tiêu chuẩn quốc tế này nhằm mục đích sử dụng cho tất cả các loại tổ chức mua lại hoặc cung cấp các sản phẩm và dịch vụ CNTT-TT trong chuỗi cung ứng CNTT-TT. Hướng dẫn này chủ yếu tập trung vào mối liên kết ban đầu của người mua và nhà cung cấp đầu tiên, nhưng các bước nguyên tắc phải được áp dụng trong toàn bộ chuỗi, bắt đầu từ khi nhà cung cấp đầu tiên thay đổi vai trò của mình thành người mua, v.v. Việc thay đổi vai trò này và áp dụng các bước tương tự cho mỗi liên kết bên mua-nhà cung cấp mới trong chuỗi là mục đích cơ bản của tiêu chuẩn. Bằng cách tuân theo tiêu chuẩn quốc tế này, các hàm ý về an toàn thông tin có thể được truyền đạt giữa các tổ chức trong chuỗi. Điều này giúp xác định các rủi ro an toàn thông tin và nguyên nhân của chúng và có thể nâng cao tính minh bạch trong toàn bộ chuỗi. Mối quan tâm về bảo mật thông tin liên quan đến các mối quan hệ với nhà cung cấp bao gồm một loạt các tình huống. Các tổ chức mong muốn nâng cao lòng tin trong chuỗi cung ứng CNTT-TT của họ nên xác định ranh giới tin cậy của họ, đánh giá rủi ro liên quan đến các hoạt động chuỗi cung ứng của họ, sau đó xác định và thực hiện các kỹ thuật xác định và giảm thiểu rủi ro thích hợp để giảm nguy cơ lỗ hổng được đưa vào thông qua chuỗi cung ứng CNTT-TT của họ .

Khung và kiểm soát ISO / IEC 27001 và ISO / IEC 27002 cung cấp điểm khởi đầu hữu ích để xác định các yêu cầu thích hợp đối với bên mua và nhà cung cấp. ISO / IEC 27036 cung cấp thêm thông tin chi tiết về các yêu cầu cụ thể được sử dụng trong việc thiết lập và giám sát các mối quan hệ với nhà cung cấp.

1 Phạm vi

Phần này của tiêu chuẩn ISO / IEC 27036 cung cấp cho những người mua và cung cấp sản phẩm và dịch vụ trong chuỗi cung ứng ICT hướng dẫn về:

a) đạt được tầm nhìn và quản lý các rủi ro an toàn thông tin do các chuỗi cung ứng CNTT-TT phân tán và nhiều lớp gây ra
b) ứng phó với các rủi ro xuất phát từ chuỗi cung ứng CNTT-TT toàn cầu đối với các sản phẩm và dịch vụ CNTT-TT có thể có tác động đến an toàn thông tin đối với các tổ chức sử dụng các sản phẩm và dịch vụ này. Những rủi ro này có thể liên quan đến các khía cạnh tổ chức cũng như kỹ thuật (ví dụ như chèn mã độc hoặc sự hiện diện của các sản phẩm công nghệ thông tin (CNTT) giả mạo)
c) tích hợp các quy trình và thực hành an toàn thông tin vào hệ thống và quy trình vòng đời phần mềm, được mô tả trong ISO / IEC 15288 và ISO / IEC 12207 , đồng thời hỗ trợ các biện pháp kiểm soát an toàn thông tin, được mô tả trong ISO / IEC 27002 .

Phần này của tiêu chuẩn ISO / IEC 27036 không bao gồm các vấn đề về quản lý tính liên tục / khả năng phục hồi của doanh nghiệp liên quan đến chuỗi cung ứng ICT. ISO / IEC 27031 đề cập đến tính liên tục trong kinh doanh.

2 Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn mực trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27036-1 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 1: Tổng quan và khái niệm
• ISO / IEC 27036-2 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin cho các mối quan hệ với nhà cung cấp - Phần 2: Yêu cầu

Xem Preview Tiêu chuẩn ISO / IEC 27036-3: 2013

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.