15.1 供應(yīng)商關(guān)系中的信息安全
供應(yīng)商關(guān)系的信息安全策略(原 6.2.1)
為降低與供應(yīng)商訪問組織資產(chǎn)關(guān)聯(lián)的風(fēng)險(xiǎn)所涉及的信息安全要求應(yīng)與供應(yīng)商協(xié)商一致并被記錄�����。
組織應(yīng)識(shí)別和批準(zhǔn)信息安全控制�����,該控制在一個(gè)策略中明確地提出供應(yīng)商訪問組織的信息����。這些控制應(yīng)提出組織執(zhí)行的過程或規(guī)程�����,也提出組織應(yīng)要求供應(yīng)商執(zhí)行的那些過程或規(guī)程,包括:
b) 管理供應(yīng)商關(guān)系的一個(gè)標(biāo)準(zhǔn)化的過程和生命周期��;
d) 每種信息類型和訪問類型的最小信息安全要求����,作為單個(gè)供應(yīng)商協(xié)議的基礎(chǔ),并基于組織的業(yè)務(wù)需要�����、要求和它的風(fēng)險(xiǎn)屬性�����;
f) 準(zhǔn)確和完整的控制以確保任一方提供的信息或信息處理的完整性����;
h) 處理與供應(yīng)商訪問相關(guān)聯(lián)的突發(fā)事件和意外事故,包括組織和供應(yīng)商的共同責(zé)任�����;
j )組織人員意識(shí)培養(yǎng)由有關(guān)適當(dāng)?shù)牟呗?�、過程或規(guī)程來獲得�����;
l) 信息安全要求和控制下的條件被記錄在由雙方簽署的協(xié)議中;
其它信息
控制措施
實(shí)施指南
a) 被提供或被訪問的信息的描述����,提供或訪問信息的方法���;
c) 法律和法規(guī)要求,包括數(shù)據(jù)保護(hù)����、知識(shí)產(chǎn)權(quán)和著作權(quán)、和如何確保他們被滿足的描述��;
e) 信息使用的可接受規(guī)則��,如果需要包括不接受的使用��;
g) 特定合約的信息安全策略���;
i) 為特定的過程和信息安全要求必需的培訓(xùn)和意識(shí)教育�����,例如:事件響應(yīng)��、授權(quán)程序���;
k) 合作伙伴的相關(guān)協(xié)議�,包括信息安全問題的聯(lián)系人���;
m) 恰當(dāng)?shù)膶徲?jì)供應(yīng)商人員和控制相關(guān)的協(xié)議��;
o) 供應(yīng)商有義務(wù)定期地提交控制有效性的獨(dú)立報(bào)告���,在報(bào)告中體現(xiàn)相關(guān)問題協(xié)商一致的糾正時(shí)間;
其它信息
控制措施
實(shí)施指南
a) 除了供應(yīng)商關(guān)系基本的信息安全要求外���,適用于信息和通訊技術(shù)產(chǎn)品或服務(wù)獲取的信息安全要求應(yīng)被定義��;
c) 對(duì)于信息和通訊技術(shù)產(chǎn)品�����,如果這些產(chǎn)品包含向其它供應(yīng)商購買組件�,要求供應(yīng)商傳播適當(dāng)?shù)陌踩珣T例到整個(gè)供應(yīng)鏈��;
e) 實(shí)施一個(gè)過程,來識(shí)別產(chǎn)品或服務(wù)組件處于維持功能的臨界狀態(tài)����,因此,要求提高注意和監(jiān)督�,尤其是組織外購時(shí),頂層供應(yīng)商向其它供應(yīng)商外購產(chǎn)品或服務(wù)組件時(shí)����;
g) 確保交付的信息和通訊技術(shù)產(chǎn)品期望的功能被保證,沒有任何的意外或有缺點(diǎn)的特性��;
i) 實(shí)施特定的過程���,管理信息和通訊技術(shù)組件生命周期和可用性并與安全風(fēng)險(xiǎn)關(guān)聯(lián)。包括:管理由于供應(yīng)商不再經(jīng)營或由于技術(shù)發(fā)展不再提供這些組件而造成的組件不再可用的風(fēng)險(xiǎn)���。
具體的信息和通信技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐建立在一般的信息安全�����、質(zhì)量���、項(xiàng)目管理和系統(tǒng)工程基礎(chǔ)之上���,但不能代替他們的做法。組織應(yīng)與供應(yīng)商一起來了解信息和通信技術(shù)供應(yīng)鏈����,提供的信息和通訊技術(shù)產(chǎn)品或服
目標(biāo):維持與供應(yīng)商協(xié)議中商定的信息安全和服務(wù)交付的水平。
15.2.1監(jiān)測和評(píng)審供應(yīng)商服務(wù)(原 10.2.2)
組織應(yīng)定期監(jiān)測��、評(píng)審和審計(jì)供應(yīng)商服務(wù)交付��。
供應(yīng)商服務(wù)的監(jiān)測和評(píng)審應(yīng)確保協(xié)商一致的信息安全條款和條件被遵循�����,信息安全事件和問題被適當(dāng)?shù)墓芾怼?/span>在組織和供應(yīng)商之間應(yīng)包括一個(gè)服務(wù)管理關(guān)系過程:
b) 評(píng)審由供應(yīng)商產(chǎn)生的服務(wù)報(bào)告�����,安排由協(xié)議要求的定期的進(jìn)展會(huì)議��;
d) 提供信息安全事件的信息�,并在任何支持指南和程序中評(píng)審這個(gè)信息作為協(xié)議的要求;
f) 解決和管理任何已識(shí)別的問題��;
h) 確保供應(yīng)商維持足夠的服務(wù)能力與可行的計(jì)劃一起被設(shè)計(jì),來確保主要的服務(wù)失敗或?yàn)?zāi)難發(fā)生時(shí)協(xié)商一致的服務(wù)連續(xù)性水平被維持(見 17)�。管理與供應(yīng)商關(guān)系的職責(zé)應(yīng)分配給指定人員或服務(wù)管理組。另外���,組織應(yīng)確保供應(yīng)商分配了檢查符合性和執(zhí)行協(xié)議要求的職責(zé)�����。應(yīng)獲得足夠的技術(shù)技能和資源來監(jiān)視滿足協(xié)議的要求��,特別是信息安全要求�。當(dāng)在服務(wù)交付中發(fā)現(xiàn)不足時(shí)��,應(yīng)采取適當(dāng)?shù)拇胧?/span>組織應(yīng)對(duì)供應(yīng)商訪問�����、處理或管理的敏感或關(guān)鍵信息或信息處理設(shè)施的所有安全方面保持充分的�、全面的控制和可見度��。組織應(yīng)確保他們對(duì)安全活動(dòng)留有可見度�,例如��,通過一個(gè)被定義的報(bào)告過程,管理變更�����、識(shí)別脆弱性和報(bào)告/響應(yīng)信息安全事件��。
15.2.2 供應(yīng)商服務(wù)變更管理(原 10.2.3)
應(yīng)管理供應(yīng)商提供的變更�����,包括維護(hù)�、改進(jìn)現(xiàn)有的信息安全策略、程序和控制�����,應(yīng)將商業(yè)信息的關(guān)鍵性�����、系統(tǒng)���、流程和風(fēng)險(xiǎn)的重新評(píng)估考慮在內(nèi)�����。
應(yīng)考慮下列方面:
b) 組織要實(shí)施的變更:
2)任何新應(yīng)用和系統(tǒng)的開發(fā)���;
4)解決信息安全事件�����、改進(jìn)安全的新的或的控制措施�����。
1)對(duì)網(wǎng)絡(luò)的變更和加強(qiáng)�����;
3)新產(chǎn)品或新版本的采用�����;
5)服務(wù)設(shè)施的物理位置的變更�����;
