Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27036-2:2014 — 供应商关系 — 要求
定义、实施和管理供应商关系中的安全要求
ISO/IEC 27036-1 提供了概念和概述框架,而 ISO/IEC 27036-2:2014 则定义了
在供应商关系中建立、实施和维护信息安全的具体要求。该要求标准旨在供
采购方和供应商双方使用,提供一套可以纳入合同和服务协议的共同期望。
尽管发布于 2014 年,27036-2 中的要求仍然高度相关,因为它们是技术中立的,
侧重于超越特定技术环境的供应商安全治理基本原则。
侧重于超越特定技术环境的供应商安全治理基本原则。
定义供应商关系中的安全要求
标准要求组织基于系统性风险评估来定义供应商关系的信息安全要求。
这些要求必须涉及:关系类型、所涉及信息和系统的
敏感性和关键性、适用的法律和监管义务
以及安全失败的业务影响。要求必须在关系开始前记录、
审查并经双方同意。
标准定义的关键要求类别包括:访问控制(谁可以在什么
条件下访问什么)、人员安全(背景审查、培训、保密协议)、
物理和环境安全(供应商运营的设施保护)、
事件管理(检测、报告和响应义务)、业务连续性
和灾难恢复(韧性要求和测试)、合规与审计
(审计权、报告义务)以及信息处理(分类、存储、传输和处置)。
| 要求领域 | 具体要求 | 验证方法 |
|---|---|---|
| 访问控制 | 基于需求的最小权限、认证、授权、审查 | 访问审查、审计日志 |
| 人员安全 | 背景调查、安全培训、保密协议 | 培训记录、签署的协议 |
| 事件管理 | 检测能力、报告时间、配合义务 | 事件报告、事件后评审 |
| 业务连续性 | 业务连续性计划/灾难恢复计划文档、测试、恢复目标 | 测试结果、业务连续性计划审查 |
| 合规与审计 | 审计权、合规证据、整改义务 | 审计报告、整改计划 |
| 信息处理 | 分类、安全存储、传输、处置 | 数据流映射、处置证书 |
供应商安全要求中的一个常见差距是缺乏具体性。像”供应商应保持适当的安全”
这样的通用要求不足以进行合同执行。标准强调要求必须具体、可测量和可验证。
这样的通用要求不足以进行合同执行。标准强调要求必须具体、可测量和可验证。
采购生命周期中的要求
ISO/IEC 27036-2 将要求映射到采购生命周期的各个阶段。在规划
和风险评估阶段,采购方必须识别和评估与拟议供应商关系相关的
信息安全风险。在供应商选择和评估阶段,安全能力必须
作为正式评估标准。在签约阶段,安全要求必须纳入具有
法律约束力的协议,并包含监控、审计和不合规补救条款。
在运营和监控阶段,采购方必须建立对供应商安全绩效
进行持续监督的流程,包括定期安全评估、监控安全事件以及管理变更。
在变更和过渡阶段,要求涵盖计划内变更和计划外变更。
在终止阶段,要求涵盖信息安全归还或销毁、服务过渡
以及终止后义务。
结构良好的要求框架使双方受益:采购方获得可预测的安全成果,而供应商
受益于可在多个客户关系中高效运营的清晰一致期望。
受益于可在多个客户关系中高效运营的清晰一致期望。
监控与持续改进
标准超越了初始要求定义,涉及持续监控和持续改进。采购方必须建立流程以:
监控供应商合规性、跟踪和响应涉及供应商的安全事件、
审查和更新要求以及定期审查供应商关系
的持续业务案例和风险状况。
重要的是,标准要求监控活动与风险相称。高风险关系需要更频繁和更深入
的监控,而低风险关系可以通过定期自我评估和合同报告进行管理。标准还建议
组织维护供应商安全记分卡计划,以提供供应商风险状况的聚合视图并跟踪
随时间推移的改进。
常见问题
问:ISO/IEC 27036-2 可以认证吗?
答:与 ISO/IEC 27001 不同,ISO/IEC 27036-2 是供应商关系安全管理的
要求标准,但目前不是独立的认证方案。其要求通常作为 ISO/IEC 27001
整体审计的一部分或通过供应商特定安全评估来进行评估。
答:与 ISO/IEC 27001 不同,ISO/IEC 27036-2 是供应商关系安全管理的
要求标准,但目前不是独立的认证方案。其要求通常作为 ISO/IEC 27001
整体审计的一部分或通过供应商特定安全评估来进行评估。
问:该标准如何处理云服务提供商?
答:虽然云特定指南在其他标准中涵盖更广泛(如 ISO/IEC 27017 和 27018),
但 ISO/IEC 27036-2 的要求框架适用于包括云服务在内的所有供应商类型。
关于访问控制、数据处理、事件管理和审计权的要求对云关系特别相关。
答:虽然云特定指南在其他标准中涵盖更广泛(如 ISO/IEC 27017 和 27018),
但 ISO/IEC 27036-2 的要求框架适用于包括云服务在内的所有供应商类型。
关于访问控制、数据处理、事件管理和审计权的要求对云关系特别相关。
问:什么是审计权,为什么它很重要?
答:审计权是一项合同条款,允许采购方通过评估、审计或检查来验证供应商
对安全要求的合规性。它很重要,因为它提供了超出供应商自我报告合规性的
独立验证。标准建议在所有高风险和中风险供应商合同中包含审计权。
答:审计权是一项合同条款,允许采购方通过评估、审计或检查来验证供应商
对安全要求的合规性。它很重要,因为它提供了超出供应商自我报告合规性的
独立验证。标准建议在所有高风险和中风险供应商合同中包含审计权。
问:合同期间应如何管理要求变更?
答:标准建议采用正式的变更管理流程,处理由以下因素触发的安全要求更新:
威胁形势变化、法规变化、事件或经验教训、供应商分包商或基础设施变化
以及采购方风险偏好或业务背景的变化。变更应记录、进行风险评估并通过
合同修订程序达成一致。
答:标准建议采用正式的变更管理流程,处理由以下因素触发的安全要求更新:
威胁形势变化、法规变化、事件或经验教训、供应商分包商或基础设施变化
以及采购方风险偏好或业务背景的变化。变更应记录、进行风险评估并通过
合同修订程序达成一致。
