ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования
Приложение С
(справочное)
Задачи из разделов 6 и 7 настоящего стандарта
Таблица С.1
Приобретающая сторона |
6.1.1 Процесс приобретения а) Разработать стратегию взаимоотношений с поставщиком, которая: 1) основывается на допустимости риска в области информационной безопасности приобретающей стороны; 2) определяет основу информационной безопасности для использования при планировании, подготовке, управлении и прекращении приобретения продукции или услуги. |
6.1.2 Процесс поставки |
6.2.1 Процесс управления моделью жизненного цикла а) Установить процесс управления моделью жизненного цикла при управлении информационной безопасностью во взаимоотношениях с поставщиком. |
6.2.2 Процесс управления инфраструктурой Обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком. |
6.2.3 Процесс управления портфелем проектов а) Для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе. |
6.2.4 Процесс управления человеческими ресурсами а) Гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком. |
6.2.5 Процесс управления качеством а) Установить процесс управления качеством при управлении информационной безопасностью во взаимоотношениях с поставщиком. |
6.3.1 Процесс планирования проекта а) Установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком. |
6.3.2 Процесс оценки и контроля проекта a) Установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками. |
6.3.3 Процесс управления решениями a) Установить процесс управления решением при управлении информационной безопасностью во взаимоотношениях с поставщиками. |
6.3.4 Процесс управления рисками a) Постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике. |
6.3.5 Процесс управления конфигурацией a) Установить процесс управления конфигурацией при управлении информационной безопасностью. |
6.3.6 Процесс управления информацией а) Установить процесс управления информацией, которой можно обмениваться, с учетом ее конфиденциальности. |
6.3.7 Процесс измерений a) Собрать, проанализировать и подготовить отчет относительно необходимых мер по обеспечению информационной безопасности для приобретения или поставки продукции или услуги, чтобы продемонстрировать уровень зрелости информационной безопасности во взаимоотношениях с поставщиками и поддержать эффективное управление процессами. |
6.4.1 Процесс определения архитектуры а) Установить технические основы для устойчивого приобретения продукции или услуги, которые удовлетворяют целям взаимоотношений с поставщиком. |
7.1 Процесс планирования взаимоотношений с поставщиком а) Создать план взаимоотношений с поставщиком, который документирует решение, принятое руководством для инициации приобретения продукции или услуги, а также аспекты информационной безопасности, связанные с этим приобретением. |
7.2 Процесс отбора поставщика а) Выбрать поставщика, который обеспечит адекватную информационную безопасность для приобретаемой продукции или услуги. |
7.3 Процесс соглашения во взаимоотношениях с поставщиком а) Установить и согласовать соглашение о взаимоотношениях с поставщиком, касающееся следующих вопросов: 1) ролей и обязанностей приобретающей стороны и поставщика в области информационной безопасности; 2) процесса передачи, когда продукция или услуга ранее эксплуатировались или производились стороной, отличной от поставщика; 3) управления изменениями в области информационной безопасности; 4) управления инцидентами в области информационной безопасности; 5) контроля соответствия и соблюдения обязательств; 6) процесса прекращения взаимоотношений с поставщиком. |
7.4 Процесс управления во взаимоотношениях с поставщиком а) Поддерживать информационную безопасность в течение периода исполнения взаимоотношений с поставщиком в соответствии с соглашением о взаимоотношениях с поставщиком и, в частности, учитывая следующее: 1) поставку продукции или услуги, когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком; 2) обучение персонала, на которого распространяются требования информационной безопасности, определенные поставщиком в соглашении о взаимоотношениях; 3) управление изменениями и инцидентами, которые могут повлиять на информационную безопасность продукции или услуг; 4) контроль и принудительное соблюдение поставщиком обязательств с обеспечением информационной безопасности. |
7.5 Процесс прекращения взаимоотношений с поставщиком a) Защитить поставку продукции или услуги во время прекращения процесса поставки, чтобы избежать любых воздействий на информационную безопасность, правовые и регуляторные последствия после уведомления о прекращении; b) прекратить поставку продукции или услуги в соответствии с планом |
Таблица С.2
Поставщик |
6.1.1 Процесс приобретения Нет. |
6.1.2 Процесс поставки а) Установить стратегию взаимоотношений с приобретающей стороной, которая: 1) основывается на допустимости риска поставщика в области информационной безопасности; 2) определяет основы информационной безопасности для использования при планировании, подготовке, управлении и прекращении поставки продукции или услуги. |
6.2.1 Процесс управления моделью жизненного цикла а) Установить процесс управления моделью жизненного цикла при управлении информационной безопасностью во взаимоотношениях с поставщиком. |
6.2.2 Процесс управления инфраструктурой Обеспечить инфраструктуру с возможностью управления информационной безопасностью в пределах взаимоотношений с поставщиком. |
6.2.3 Процесс управления портфелем проектов |
а) Для каждого отдельного проекта из тех проектов, в которые вовлечены поставщики или приобретающие стороны, установить этот процесс для рассмотрения информационной безопасности и общих последствий и зависимостей в бизнесе. |
6.2.4 Процесс управления человеческими ресурсами а) Гарантировать, что приобретающая сторона и поставщик обеспечены необходимыми человеческими ресурсами, имеющими компетенции, которые регулярно поддерживаются и соответствуют требованиям информационной безопасности во взаимоотношениях с поставщиком. |
6.2.5 Процесс управления качеством а) Установить процесс управления качеством при управлении информационной безопасностью во взаимоотношениях с поставщиком. |
6.3.1 Процесс планирования проекта а) Установить процесс планирования проекта, направленный на обеспечение информационной безопасности во взаимоотношениях с поставщиком. |
6.3.2 Процесс оценки и контроля проекта a) Установить процесс оценки и контроля проекта при управлении информационной безопасностью во взаимоотношениях с поставщиками. |
6.3.3 Процесс управления решениями a) Установить процесс управления решением при управлении информационной безопасностью во взаимоотношениях с поставщиками. |
6.3.4 Процесс управления рисками a) Постоянно рассматривать риски информационной безопасности во взаимоотношениях с поставщиками на протяжении всего жизненного цикла, включая периодические повторные проверки и проверки в случае значительных деловых, правовых, нормативных, архитектурных, договорных изменений и изменений в политике. |
6.3.5 Процесс управления конфигурацией a) Установить процесс управления конфигурацией при управлении информационной безопасностью. |
6.3.6 Процесс управления информацией |
a) Установить процесс управления информацией, которой можно обмениваться, с учетом ее конфиденциальности. |
6.3.7 Процесс измерений а) Собрать, проанализировать и подготовить отчет относительно необходимых мер по обеспечению информационной безопасности для приобретения или поставки продукции или услуги, чтобы продемонстрировать уровень зрелости информационной безопасности во взаимоотношениях с поставщиками и поддержать эффективное управление процессами. |
6.4.1 Процесс определения архитектуры а) Установить технические основы для устойчивого приобретения продукции или услуги, которые удовлетворяют целям взаимоотношений с поставщиком. |
7.1 Процесс планирования взаимоотношений с поставщиком Нет. |
7.2 Процесс отбора поставщика а) Ответить на тендерный документ приобретающей стороны, учитывая риски в области информационной безопасности, связанные с поставляемой продукцией или услугой и выполнением требований к информационной безопасности, определенных в тендерном документе приобретающей стороны. |
7.3 Процесс соглашения во взаимоотношениях с поставщиком а) Установить и согласовать соглашение о взаимоотношениях с поставщиком, касающееся следующих вопросов: 1) ролей и обязанностей приобретающей стороны и поставщика в области информационной безопасности; 2) процесса передачи, когда продукция или услуга ранее эксплуатировались или производились стороной, отличной от поставщика; 3) управления изменениями в области информационной безопасности; 4) управления инцидентами в области информационной безопасности; 5) контроля соответствия и соблюдения обязательств; 6) процесса прекращения взаимоотношений с поставщиком. |
7.4 Процесс управления во взаимоотношениях с поставщиком |
а) Поддерживать необходимый уровень информационной безопасности в течение периода исполнения взаимоотношений с поставщиком в соответствии с соглашением о взаимоотношениях с поставщиком и, в частности, учитывая следующее: 1) поддержку приобретающей стороны в процессе передачи продукции или услуги, когда они были ранее использованы или изготовлены приобретающей стороной или другим поставщиком; 2) обучение персонала, на который распространяются требования информационной безопасности, определенные поставщиком в соглашении о взаимоотношениях; 3) управление изменениями и инцидентами, которые могут повлиять на информационную безопасность продукции или услуг; 4) поддержку приобретающей стороны в контроле соответствия и в вопросах соблюдения обязательств по обеспечению информационной безопасности. |
7.5 Процесс прекращения взаимоотношений с поставщиком a) Защитить поставку продукции или услуги во время прекращения процесса поставки, чтобы избежать любых воздействий на информационную безопасность, правовые и регуляторные последствия после уведомления о прекращении; b) прекратить поставку продукции или услуги в соответствии с планом |