ISO/IEC 27036 系列标准
ISO/IEC 27036-1:2021
内容概述:该标准提供了供应商关系中信息安全的概述和概念,帮助组织理解在供应商关系中保护自身信息和信息系统的重要性。它为组织提供了一套指导原则,以规范与供应商之间的合作关系,确保在网络安全方面保持一致和有效的管理。
适用范围:适用于所有类型和规模的组织的供应商关系。
ISO/IEC 27036-2:2022
内容概述:规定了供应商关系中网络安全的基本要求,适用于所有类型和规模的组织的供应商关系。该标准提供了适用于各种供应链场景的安全框架,以确保组织在选择、管理和监督供应商的网络安全方面有明确的标准和指导。
具体要求:
供应商选择:在选择供应商时要考虑其网络安全能力、政策和程序。组织应评估供应商的背景、过去的业务记录、安全审计结果以及与安全相关的认证,并与供应商就网络安全问题进行沟通,确保其了解并同意组织的网络安全要求。
合同和协议:组织应与供应商签订包含网络安全条款的合同或协议,明确规定双方的责任、权利和义务,包括数据保护、加密、安全漏洞通报、应急响应和安全审计等方面的要求。
安全培训和意识:组织应要求供应商提供员工的安全培训,并定期评估其安全意识和实践,以确保供应商及其员工了解并遵守组织的网络安全政策和程序。
安全漏洞通报和响应:强调在发现安全漏洞时及时通报供应商并进行响应。
ISO/IEC 27036-3:2023
内容概述:为硬件、软件和服务供应链的安全提供指导,帮助组织管理复杂的供应链中的信息安全风险。该标准识别了硬件、软件和服务供应链安全的业务案例、具体风险和关系类型,以及如何开发组织能力来管理信息安全方面,并采用生命周期方法来管理风险,支持特定的控制和实践。
具体指导:
供应链风险管理:帮助组织识别和管理硬件、软件和服务供应链中的信息安全风险,包括供应链的可见性和可追溯性、对供应链来源和实践的理解等。
建立组织能力:指导组织如何建立和提升管理供应链信息安全风险的能力,包括制定适当的信息安全要求和控制措施。
生命周期方法:建议组织采用生命周期方法来管理供应链中的信息安全风险,确保在产品或服务的整个生命周期中持续关注和管理信息安全。
合同要求:强调在合同中明确信息安全要求和期望,以及对供应商的审查过程和实践,以提高供应链的透明度。
持续监控:建议组织在供应商关系运营期间对供应商及其产品和服务进行持续监控,以确保其符合信息安全要求。
ISO/IEC 27036-4:2016
内容概述:为云服务的安全提供指导,帮助云服务客户和提供商有效管理与使用云服务相关的信息安全风险。该标准为云服务客户和提供商提供了在云服务关系中实施信息安全控制的指导,包括云服务的采购、使用和管理等方面。
具体指导:
云服务客户和提供商的职责:明确了云服务客户和提供商在信息安全方面的职责和义务,确保双方在云服务关系中共同承担信息安全责任。
数据保护:提供了在云服务环境中保护数据的指导,包括数据的存储、传输和处理等方面的安全措施。
安全漏洞通报:强调了在云服务中及时通报和响应安全漏洞的重要性,以减少潜在的安全风险。
安全审计和合规性:指导组织如何在云服务关系中进行安全审计,确保云服务提供商符合相关的信息安全标准和法规要求。
