15.1 供應商關系中的信息安全
供應商關系的信息安全策略(原 6.2.1)
為降低與供應商訪問組織資產關聯的風險所涉及的信息安全要求應與供應商協商一致并被記錄。
組織應識別和批準信息安全控制,該控制在一個策略中明確地提出供應商訪問組織的信息。這些控制應提出組織執行的過程或規程,也提出組織應要求供應商執行的那些過程或規程,包括:
b) 管理供應商關系的一個標準化的過程和生命周期;
d) 每種信息類型和訪問類型的最小信息安全要求,作為單個供應商協議的基礎,并基于組織的業務需要、要求和它的風險屬性;
f) 準確和完整的控制以確保任一方提供的信息或信息處理的完整性;
h) 處理與供應商訪問相關聯的突發事件和意外事故,包括組織和供應商的共同責任;
j )組織人員意識培養由有關適當的策略、過程或規程來獲得;
l) 信息安全要求和控制下的條件被記錄在由雙方簽署的協議中;
其它信息
控制措施
實施指南
a) 被提供或被訪問的信息的描述,提供或訪問信息的方法;
c) 法律和法規要求,包括數據保護、知識產權和著作權、和如何確保他們被滿足的描述;
e) 信息使用的可接受規則,如果需要包括不接受的使用;
g) 特定合約的信息安全策略;
i) 為特定的過程和信息安全要求必需的培訓和意識教育,例如:事件響應、授權程序;
k) 合作伙伴的相關協議,包括信息安全問題的聯系人;
m) 恰當的審計供應商人員和控制相關的協議;
o) 供應商有義務定期地提交控制有效性的獨立報告,在報告中體現相關問題協商一致的糾正時間;
其它信息
控制措施
實施指南
a) 除了供應商關系基本的信息安全要求外,適用于信息和通訊技術產品或服務獲取的信息安全要求應被定義;
c) 對于信息和通訊技術產品,如果這些產品包含向其它供應商購買組件,要求供應商傳播適當的安全慣例到整個供應鏈;
e) 實施一個過程,來識別產品或服務組件處于維持功能的臨界狀態,因此,要求提高注意和監督,尤其是組織外購時,頂層供應商向其它供應商外購產品或服務組件時;
g) 確保交付的信息和通訊技術產品期望的功能被保證,沒有任何的意外或有缺點的特性;
i) 實施特定的過程,管理信息和通訊技術組件生命周期和可用性并與安全風險關聯。包括:管理由于供應商不再經營或由于技術發展不再提供這些組件而造成的組件不再可用的風險。
具體的信息和通信技術供應鏈風險管理實踐建立在一般的信息安全、質量、項目管理和系統工程基礎之上,但不能代替他們的做法。組織應與供應商一起來了解信息和通信技術供應鏈,提供的信息和通訊技術產品或服
目標:維持與供應商協議中商定的信息安全和服務交付的水平。
15.2.1監測和評審供應商服務(原 10.2.2)
組織應定期監測、評審和審計供應商服務交付。
供應商服務的監測和評審應確保協商一致的信息安全條款和條件被遵循,信息安全事件和問題被適當的管理。在組織和供應商之間應包括一個服務管理關系過程:
b) 評審由供應商產生的服務報告,安排由協議要求的定期的進展會議;
d) 提供信息安全事件的信息,并在任何支持指南和程序中評審這個信息作為協議的要求;
f) 解決和管理任何已識別的問題;
h) 確保供應商維持足夠的服務能力與可行的計劃一起被設計,來確保主要的服務失敗或災難發生時協商一致的服務連續性水平被維持(見 17)。管理與供應商關系的職責應分配給指定人員或服務管理組。另外,組織應確保供應商分配了檢查符合性和執行協議要求的職責。應獲得足夠的技術技能和資源來監視滿足協議的要求,特別是信息安全要求。當在服務交付中發現不足時,應采取適當的措施。組織應對供應商訪問、處理或管理的敏感或關鍵信息或信息處理設施的所有安全方面保持充分的、全面的控制和可見度。組織應確保他們對安全活動留有可見度,例如,通過一個被定義的報告過程,管理變更、識別脆弱性和報告/響應信息安全事件。
15.2.2 供應商服務變更管理(原 10.2.3)
應管理供應商提供的變更,包括維護、改進現有的信息安全策略、程序和控制,應將商業信息的關鍵性、系統、流程和風險的重新評估考慮在內。
應考慮下列方面:
b) 組織要實施的變更:
2)任何新應用和系統的開發;
4)解決信息安全事件、改進安全的新的或的控制措施。
1)對網絡的變更和加強;
3)新產品或新版本的采用;
5)服務設施的物理位置的變更;
