15.1 供应商关系中的信息安全
供应商关系的信息安全策略(原 6.2.1)
为降低与供应商访问组织资产关联的风险所涉及的信息安全要求应与供应商协商一致并被记录。
组织应识别和批准信息安全控制,该控制在一个策略中明确地提出供应商访问组织的信息。这些控制应提出组织执行的过程或规程,也提出组织应要求供应商执行的那些过程或规程,包括:
b) 管理供应商关系的一个标准化的过程和生命周期;
d) 每种信息类型和访问类型的最小信息安全要求,作为单个供应商协议的基础,并基于组织的业务需要、要求和它的风险属性;
f) 准确和完整的控制以确保任一方提供的信息或信息处理的完整性;
h) 处理与供应商访问相关联的突发事件和意外事故,包括组织和供应商的共同责任;
j )组织人员意识培养由有关适当的策略、过程或规程来获得;
l) 信息安全要求和控制下的条件被记录在由双方签署的协议中;
其它信息
控制措施
实施指南
a) 被提供或被访问的信息的描述,提供或访问信息的方法;
c) 法律和法规要求,包括数据保护、知识产权和著作权、和如何确保他们被满足的描述;
e) 信息使用的可接受规则,如果需要包括不接受的使用;
g) 特定合约的信息安全策略;
i) 为特定的过程和信息安全要求必需的培训和意识教育,例如:事件响应、授权程序;
k) 合作伙伴的相关协议,包括信息安全问题的联系人;
m) 恰当的审计供应商人员和控制相关的协议;
o) 供应商有义务定期地提交控制有效性的独立报告,在报告中体现相关问题协商一致的纠正时间;
其它信息
控制措施
实施指南
a) 除了供应商关系基本的信息安全要求外,适用于信息和通讯技术产品或服务获取的信息安全要求应被定义;
c) 对于信息和通讯技术产品,如果这些产品包含向其它供应商购买组件,要求供应商传播适当的安全惯例到整个供应链;
e) 实施一个过程,来识别产品或服务组件处于维持功能的临界状态,因此,要求提高注意和监督,尤其是组织外购时,顶层供应商向其它供应商外购产品或服务组件时;
g) 确保交付的信息和通讯技术产品期望的功能被保证,没有任何的意外或有缺点的特性;
i) 实施特定的过程,管理信息和通讯技术组件生命周期和可用性并与安全风险关联。包括:管理由于供应商不再经营或由于技术发展不再提供这些组件而造成的组件不再可用的风险。
具体的信息和通信技术供应链风险管理实践建立在一般的信息安全、质量、项目管理和系统工程基础之上,但不能代替他们的做法。组织应与供应商一起来了解信息和通信技术供应链,提供的信息和通讯技术产品或服
目标:维持与供应商协议中商定的信息安全和服务交付的水平。
15.2.1监测和评审供应商服务(原 10.2.2)
组织应定期监测、评审和审计供应商服务交付。
供应商服务的监测和评审应确保协商一致的信息安全条款和条件被遵循,信息安全事件和问题被适当的管理。在组织和供应商之间应包括一个服务管理关系过程:
b) 评审由供应商产生的服务报告,安排由协议要求的定期的进展会议;
d) 提供信息安全事件的信息,并在任何支持指南和程序中评审这个信息作为协议的要求;
f) 解决和管理任何已识别的问题;
h) 确保供应商维持足够的服务能力与可行的计划一起被设计,来确保主要的服务失败或灾难发生时协商一致的服务连续性水平被维持(见 17)。管理与供应商关系的职责应分配给指定人员或服务管理组。另外,组织应确保供应商分配了检查符合性和执行协议要求的职责。应获得足够的技术技能和资源来监视满足协议的要求,特别是信息安全要求。当在服务交付中发现不足时,应采取适当的措施。组织应对供应商访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度,例如,通过一个被定义的报告过程,管理变更、识别脆弱性和报告/响应信息安全事件。
15.2.2 供应商服务变更管理(原 10.2.3)
应管理供应商提供的变更,包括维护、改进现有的信息安全策略、程序和控制,应将商业信息的关键性、系统、流程和风险的重新评估考虑在内。
应考虑下列方面:
b) 组织要实施的变更:
2)任何新应用和系统的开发;
4)解决信息安全事件、改进安全的新的或的控制措施。
1)对网络的变更和加强;
3)新产品或新版本的采用;
5)服务设施的物理位置的变更;
