ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
5 Структура настоящего стандарта
В разделе 6 определены основные и высокоуровневые требования к информационной безопасности, применимые к управлению взаимоотношениями с поставщиками. Любой из процессов, описанных в разделе 6, может быть применен в любой момент жизненного цикла взаимоотношений с поставщиком. Эти требования структурированы в соответствии с процессами жизненного цикла по ISO/IEC 15288 [1]. Требования должны выполняться приобретающей стороной и поставщиком для обеспечения возможности этих организаций управлять рисками в области информационной безопасности, возникающими в процессе взаимоотношений между ними.
Примечание - Раздел 6 ссылается только на процессы жизненного цикла по ИСО/МЭК 15288, имеющие отношение к информационной безопасности во взаимоотношениях с поставщиками.
В разделе 7 определены основные требования к информационной безопасности, применимые к приобретающей стороне и поставщику в контексте примеров взаимоотношений с поставщиком. Эти требования структурированы с учетом следующих процессов жизненного цикла взаимоотношений:
a) процесса планирования взаимоотношений с поставщиком;
b) процесса отбора поставщика;
c) процесса соглашения во взаимоотношениях с поставщиком;
d) процесса управления во взаимоотношениях с поставщиком;
e) процесса прекращения взаимоотношений с поставщиком.
Требования раздела 7 применяются приобретающей стороной и поставщиком, участвующим в поставке для обеспечения того, чтобы эти организации могли управлять соответствующими рисками в области информационной безопасности. На рисунке 1 представлена область основных требований к информационной безопасности в связи с процессами, определенными в разделах 6 и 7.
Текст подразделов 6.1-6.4 и 7.1-7.5 структурирован в виде таблиц, которые необходимо интерпретировать следующим образом:
Приобретающая сторона |
Текст, присущий приобретающей стороне |
Поставщик |
Текст, присущий поставщику |
Приобретающая сторона | Поставщик |
Текст, присущий как приобретающей стороне, так и поставщику | |
Текст, присущий приобретающей стороне | Текст, присущий поставщику |
|
Рисунок 1 - Область основных требований к информационной безопасности
В настоящий стандарт включены приложения.
Приложение A содержит перекрестные ссылки разделов ИСО/МЭК 15288 с разделами ИСО/МЭК 27036-2. Приложение B содержит перекрестные ссылки разделов ИСО/МЭК 27036-2 с мерами обеспечения информационной безопасности ИСО/МЭК 27002 [2].