この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
世界中のほとんどの (すべてではないにしても) 組織は、その規模や活動領域に関係なく、製品やサービスを提供するさまざまな種類のサプライヤーと関係を持っています。
このようなサプライヤーは、取得者の情報および情報システムに直接または間接的にアクセスするか、情報処理に関与する要素 (ソフトウェア、ハードウェア、プロセス、または人的資源) を提供します。取得者は、サプライヤの生産および配送プロセスを制御または監視するときに、サプライヤの情報に物理的および/または論理的にアクセスすることもできます。
したがって、取得者と供給者は、互いに情報セキュリティ リスクを引き起こす可能性があります。これらのリスクは、情報セキュリティの適切な管理と関連する制御の実装を通じて、取得者と供給者の両方の組織によって評価され、処理される必要があります。多くの場合、組織は、情報セキュリティの管理のために ISO/IEC 27001 および/または ISO/IEC 27002 の国際規格を採用しています。このような国際基準は、サプライヤーとの関係に内在する情報セキュリティ リスクを効果的に管理するために、サプライヤーとの関係を管理する際にも採用する必要があります。
この国際規格は、ISO/IEC 27002 で一般的な推奨事項として説明されている、サプライヤーとの関係を扱う管理に関する詳細な実装ガイダンスを提供します。
この国際規格のコンテキストにおけるサプライヤー関係には、情報技術、ヘルスケア サービス、清掃サービス、コンサルティング サービス、R&D パートナーシップ、外部委託アプリケーション (ASP)、またはクラウド コンピューティング サービス (ソフトウェア、プラットフォーム、またはサービスとしてのインフラストラクチャ)
サプライヤーと取得者の両方が、サプライヤーと取得者の関係における目的を達成し、発生する可能性のある情報セキュリティ リスクに適切に対処するために、同等の責任を負う必要があります。この国際規格の要件とガイドラインを実装することが期待されています。さらに、サプライヤーとアクワイアラーの関係をサポートするための基本的なプロセスを実装する必要があります (ガバナンス、ビジネス管理、運用および人事管理など)これらのプロセスは、ビジネス目標の達成だけでなく、情報セキュリティの面でもサポートを提供します。
Introduction
Most (if not all) organizations around the world, whatever their size or domains of activities, have relationships with suppliers of different kinds that deliver products or services.
Such suppliers can have either a direct or indirect access to the information and information systems of the acquirer, or will provide elements (software, hardware, processes, or human resources) that will be involved in information processing. Acquirers can also have physical and/or logical access to the information of the supplier when they control or monitor production and delivery processes of the supplier.
Thus, acquirers and suppliers can cause information security risks to each other. These risks need to be assessed and treated by both acquirer and supplier organizations through appropriate management of information security and the implementation of relevant controls. In many instances, organizations have adopted the International Standards of ISO/IEC 27001 and/or ISO/IEC 27002 for the management of their information security. Such International Standards should also be adopted in managing supplier relationships in order to effectively control the information security risks inherent in those relationships.
This International Standard provides further detailed implementation guidance on the controls dealing with supplier relationships that are described as general recommendations in ISO/IEC 27002.
Supplier relationships in the context of this International Standard include any supplier relationship that can have information security implications, e.g. information technology, healthcare services, janitorial services, consulting services, R&D partnerships, outsourced applications (ASPs), or cloud computing services (such as software, platform, or infrastructure as a service).
Both the supplier and acquirer have to take equal responsibility to achieve the objectives in the supplier-acquirer relationship and adequately address information security risks that can occur. It is expected that they implement the requirements and guidelines of this International Standard. Furthermore, fundamental processes should be implemented to support the supplier-acquirer relationship (e.g. governance, business management, and operational and human resources management). These processes will provide support in terms of information security as well as the accomplishment of business objectives.