ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
6.2 Процессы организационного обеспечения проекта
Процессы организационного обеспечения проекта связаны с решением проблем обеспечения ресурсами (например, финансовыми), необходимыми для соответствия проекта потребностям и ожиданиям заинтересованных сторон. В частности, следующие процессы организационного обеспечения проекта поддерживают установление среды, в которой осуществляются или планируются взаимоотношения с поставщиком:
- процесс управления моделью жизненного цикла;
- процесс управления инфраструктурой;
- процесс управления портфелем проектов;
- процесс управления человеческими ресурсами;
- процесс управления качеством.
6.2.1 Процесс управления моделью жизненного цикла
Приобретающая сторона | Поставщик |
а) При управлении информационной безопасностью во взаимоотношениях с поставщиком приобретающая сторона и поставщик должны установить процесс управления моделью жизненного цикла. Примечание - Целью этого процесса является определение, поддержка и обеспечение доступности политик, процессов жизненного цикла, моделей жизненного цикла и процедур, используемых организацией. В настоящем стандарте не предъявляются конкретные требования и не даются рекомендации для приобретающих сторон или для поставщиков по определению того, когда внутри организации устанавливается этот процесс. | |
6.2.2 Процесс управления инфраструктурой
6.2.2.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления инфраструктурой:
Приобретающая сторона | Поставщик |
а) обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком | |
6.2.2.2 Действия
Следующие минимальные действия должны быть выполнены для решения задачи по 6.2.2.1:
Приобретающая сторона | Поставщик |
a) определять, реализовывать, поддерживать и улучшать возможности физической и логической инфраструктуры безопасности для защиты активов приобретающей стороны или поставщика, таких как информация и информационные системы; b) определять, реализовывать, поддерживать и совершенствовать механизмы непредвиденных расходов для обеспечения того, чтобы приобретение или поставка продукции или услуг могли продолжаться в случае нарушений, вызванных естественными или искусственными причинами. Эти механизмы следует основывать на оценках рисков в области информационной безопасности и связанных с ними планах восстановления, вытекающих из приобретения или поставки продукции или услуг. Сюда следует включать: 1) обеспечение альтернативных, безопасных условий для продолжения поставок продукции или услуг; 2) сохранение информации и решение вопросов собственности на технологии, например связанных с исходным кодом приложений и криптографическими ключами, использующими доверенную третью сторону; 3) механизмы восстановления для обеспечения постоянной доступности информации, хранящейся у субподрядчика. Примечание - Эти договоренности должны рассматриваться только в том случае, если поставщик предоставляет услуги приобретающей стороне; 4) согласование по ограничениям, связанным с обеспечением непрерывности бизнеса и выраженным приобретающей стороной или поставщиком. Примечание - Следующие стандарты содержат требования и руководящие указания в отношении непредвиденных обстоятельств: - ИСО/МЭК 27031 [3]; - ИСО 22313 [4]; - ИСО 22301 [5] | |
6.2.3 Процесс управления портфелем проектов
6.2.3.1 Задача
Для успешного управления информационной безопасностью соответствующие организации должны решить следующую задачу в рамках процесса управления портфелем проектов:
Приобретающая сторона | Поставщик |
а) для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе | |
6.2.3.2 Действия