この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( https://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html . IEC については、 www.iec.ch/understanding-standards を参照してください。
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 27036-2:2014) を取り消して置き換えるものです。
主な変更点は次のとおりです。
- 構造と内容は、ISO/IEC 15288 の最新バージョンに準拠しています。
ISO/IEC 27036 シリーズのすべての部品のリストは、ISO および IEC の Web サイトにあります。
序章
世界中の組織がサプライヤーと協力して製品やサービスを取得しています。多くの組織は、運用や製造などのさまざまなビジネス ニーズに対応するために、いくつかのサプライヤーとの関係を確立しています。逆に、サプライヤは複数のアクワイアラーに製品とサービスを提供します。
さまざまな製品やサービスを取得する目的で確立された取得者とサプライヤの間の関係は、取得者とサプライヤの両方に情報セキュリティ リスクをもたらす可能性があります。これらのリスクは、相手方の情報や情報システムなどの資産への相互アクセスや、事業目的や情報セキュリティへの取り組みの違いによって引き起こされます。これらのリスクは、取得者と供給者の両方が管理する必要があります。
このドキュメント:
- a)供給者と取得者の関係を定義、実装、運用、監視、レビュー、維持、および改善するための基本的な情報セキュリティ要件を指定する。
- b)相手方の情報セキュリティに対するアプローチと情報セキュリティ リスクに対する許容度の相互理解を促進する。
- c)供給者と取得者の関係において情報セキュリティに影響を与える可能性のあるリスク管理の複雑さを反映している。
- d)供給者または取得者との関係における情報セキュリティを評価する意思のある組織によって使用されることを意図しています。
- e)認証を目的としたものではありません。
- f)保証目的の基礎となる供給者と取得者の関係に適用される、定義された情報セキュリティ目標の数を設定するために使用されることを意図しています。
ISO/IEC 27036-1 は、サプライヤーとの関係における情報セキュリティに関連する概要と概念を提供します。
ISO/IEC 27036-3 は、ICT 製品およびサービスのサプライ チェーンに固有の情報セキュリティ リスクを管理するための、取得者および供給者向けのガイドラインを提供します。
ISO/IEC 27036-4 は、クラウド サービスに固有の情報セキュリティ リスクを管理するための、取得者と供給者向けのガイドラインを提供します。
1 スコープ
このドキュメントでは、サプライヤーと取得者の関係を定義、実装、運用、監視、レビュー、維持、および改善するための基本的な情報セキュリティ要件を指定します。
これらの要件は、製造または組み立て、ビジネス プロセスの調達、ソフトウェアおよびハードウェア コンポーネント、ナレッジ プロセスの調達、構築、運用、転送、およびクラウド コンピューティング サービスなど、製品およびサービスの調達および供給を対象としています。
この文書は、種類、規模、性質に関係なく、すべての組織に適用されます。
要件を満たすために、組織は多くの基本的なプロセスを内部で実装しているか、積極的に実装することを計画していることが期待されます。これらのプロセスには、ビジネス管理、リスク管理、運用および人事管理、情報セキュリティが含まれますが、これらに限定されません。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、テキスト内で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27036-1, サイバーセキュリティ — サプライヤーとの関係 — 1: 概要と概念
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および ISO/IEC 27036-1 に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO 22301, セキュリティと回復力 - 事業継続管理システム - 要件 |
| [2] | ISO 22313, セキュリティと回復力 — 事業継続管理システム — ISO 22301 の使用に関するガイダンス |
| [3] | ISO 31000, リスク管理 — ガイドライン |
| [4] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [5] | ISO/IEC 27002:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理 |
| [6] | ISO/IEC 27004, 情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 監視、測定、分析および評価 |
| [7] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [8] | ISO/IEC 27031, 情報技術 — セキュリティ技術 — 事業継続のための情報通信技術の準備に関するガイドライン |
| [9] | ISO/IEC 2703, 情報技術 — セキュリティ技術 — 情報セキュリティ インシデント管理 |
| [10] | ISO/IEC 27036-3, サイバーセキュリティ — サプライヤーとの関係 — 3: ハードウェア、ソフトウェア、およびサービスのサプライ チェーン セキュリティのガイドライン |
| [11] | ISO/IEC 27036-4, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ — 4: クラウド サービスのセキュリティに関するガイドライン |
| [12] | ISO/IEC/IEEE 15288, システムおよびソフトウェア工学 — システム ライフ サイクル プロセス |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 27036-2:2014), which has been technically revised.
The main changes are as follows:
- the structure and content have been aligned with the most recent version of ISO/IEC 15288.
A list of all parts in the ISO/IEC 27036 series can be found on the ISO and IEC websites.
Introduction
Organizations throughout the world work with suppliers to acquire products and services. Many organizations establish several supplier relationships to cover a variety of business needs, such as operations or manufacturing. Conversely, suppliers provide products and services to several acquirers.
Relationships between acquirers and suppliers established for the purpose of acquiring a variety of products and services may introduce information security risks to both acquirers and suppliers. These risks are caused by mutual access to the other party’s assets, such as information and information systems, as well as by the difference in business objectives and information security approaches. These risks should be managed by both acquirers and suppliers.
This document:
- a) specifies fundamental information security requirements for defining, implementing, operating, monitoring, reviewing, maintaining and improving supplier and acquirer relationships;
- b) facilitates mutual understanding of the other party’s approach to information security and tolerance for information security risks;
- c) reflects the complexity of managing risks that can have information security impacts in supplier and acquirer relationships;
- d) is intended to be used by any organization willing to evaluate the information security in supplier or acquirer relationships;
- e) is not intended for certification purposes;
- f) is intended to be used to set a number of defined information security objectives applicable to a supplier and acquirer relationship that is a basis for assurance purposes.
ISO/IEC 27036-1 provides an overview and concepts associated with information security in supplier relationships.
ISO/IEC 27036-3 provides guidelines for the acquirer and the supplier for managing information security risks specific to the ICT products and services supply chain.
ISO/IEC 27036-4 provides guidelines for the acquirer and the supplier for managing information security risks specific to the cloud services.
1 Scope
This document specifies fundamental information security requirements for defining, implementing, operating, monitoring, reviewing, maintaining and improving supplier and acquirer relationships.
These requirements cover any procurement and supply of products and services, such as manufacturing or assembly, business process procurement, software and hardware components, knowledge process procurement, build-operate-transfer and cloud computing services.
This document is applicable to all organizations, regardless of type, size and nature.
To meet the requirements, it is expected that an organization has internally implemented a number of foundational processes or is actively planning to do so. These processes include, but are not limited to: business management, risk management, operational and human resources management, and information security.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27036-1, Cybersecurity — Supplier relationships — 1: Overview and concepts
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and ISO/IEC 27036-1 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO 22301, Security and resilience — Business continuity management systems — Requirements |
| [2] | ISO 22313, Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 |
| [3] | ISO 31000, Risk management — Guidelines |
| [4] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [5] | ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls |
| [6] | ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation |
| [7] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| [8] | ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity |
| [9] | ISO/IEC 27035 (all parts), Information technology — Security techniques — Information security incident management |
| [10] | ISO/IEC 27036-3, Cybersecurity — Supplier relationships — 3: Guidelines for hardware, software, and services supply chain security |
| [11] | ISO/IEC 27036-4, Information technology — Security techniques — Information security for supplier relationships — 4: Guidelines for security of cloud services |
| [12] | ISO/IEC/IEEE 15288, Systems and software engineering — System life cycle processes |