この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
情報通信技術 (ICT) の製品とサービスは、深く物理的に分散したサプライ チェーンを通じてグローバルに開発、統合、提供されます。 ICT製品は、多くのサプライヤーから提供される多くのコンポーネントから組み立てられています。サプライヤとの関係全体にわたる ICT サービスも、複数層のアウトソーシングとサプライ チェーンを通じて提供されます。買収者は、サプライ チェーンの最初または場合によっては 2 番目のリンクを超えて、ハードウェア、ソフトウェア、およびサービス プロバイダーの慣行を把握することはできません。 ICT 製品やサービスに「触れる」組織や人々の数が大幅に増加したことで、これらの製品やサービスを組み合わせた実践への可視性が劇的に低下しました。この ICT サプライ チェーンへの可視性、透明性、およびトレーサビリティの欠如は、組織の買収にリスクをもたらします。
この規格は、情報セキュリティ リスクを軽減または管理するためのガイダンスを ICT 製品およびサービスの取得者および供給者に提供します。この規格は、ICT サプライ チェーンのセキュリティ、特定のリスクと関係の種類のビジネス ケース、および情報セキュリティの側面を管理し、ライフサイクル アプローチを組み込んで特定の制御と慣行によってサポートされるリスクを管理する組織能力を開発する方法を特定します。その適用により、次の結果が期待されます。
- ICT サプライ チェーンの可視性とトレーサビリティを向上させ、情報セキュリティ機能を強化します。
- 情報セキュリティ要件の実装を強化するために、自社の製品またはサービスがどこから来ているか、およびこれらの製品またはサービスの開発、統合、または運用に使用される慣行についての取得者による理解の向上。
- 情報セキュリティ侵害の場合、何が侵害された可能性があり、関係者が誰であるかに関する情報の入手可能性。
この国際標準は、ICT サプライ チェーンで ICT 製品およびサービスを取得または供給するあらゆる種類の組織によって使用されることを意図しています。ガイダンスは主に、最初の取得者とサプライヤーの最初のリンクに焦点を当てていますが、最初のサプライヤーがその役割を取得者に変更したときなど、チェーン全体に原則的な手順を適用する必要があります。この役割の変更と、チェーン内の新しいアクワイアラとサプライヤのリンクごとに同じ手順を適用することが、規格の本質的な意図です。この国際標準に従うことで、チェーン内の組織間で情報セキュリティへの影響を伝達できます。これにより、情報セキュリティのリスクとその原因を特定し、チェーン全体の透明性を高めることができます。サプライヤーとの関係に関連する情報セキュリティの懸念は、幅広いシナリオに及びます。 ICT サプライ チェーン内の信頼を向上させたい組織は、信頼境界を定義し、サプライ チェーン活動に関連するリスクを評価してから、ICT サプライ チェーンを通じて脆弱性が導入されるリスクを軽減するために、適切なリスクの特定と緩和の手法を定義して実装する必要があります。 .
ISO/IEC 27001 および ISO/IEC 27002 のフレームワークと管理は、取得者と供給者に適切な要件を特定するための出発点として役立ちます。 ISO/IEC 27036 は、サプライヤーとの関係の確立と監視に使用される特定の要件に関する詳細を提供します。
Introduction
Information and Communication Technology (ICT) products and services are developed, integrated, and delivered globally through deep and physically dispersed supply chains. ICT products are assembled from many components provided by many suppliers. ICT services throughout the entire supplier relationship are also delivered through multiple tiers of outsourcing and supply chaining. Acquirers do not have visibility into the practices of hardware, software, and service providers beyond first or possibly second link of the supply chain. With the substantial increase in the number of organizations and people who “touch” an ICT product or service, the visibility into the practices by which these products and services are put together has decreased dramatically. This lack of visibility, transparency, and traceability into the ICT supply chain poses risks to acquiring organizations.
This standard provides guidance to ICT product and service acquirers and suppliers to reduce or manage information security risk. This standard identifies the business case for ICT supply chain security, specific risks and relationship types as well as how to develop an organizational capability to manage information security aspects and incorporate a lifecycle approach to manage risks supported by specific controls and practices. Its application is expected to result in:
- Increased ICT supply chain visibility and traceability to enhance information security capability;
- Increased understanding by the acquirers of where their products or services are coming from, and of the practices used to develop, integrate, or operate these products or services, to enhance the implementation of information security requirements;
- In case of an information security compromise, the availability of information about what may have been compromised and who the involved actors may be.
This international standard is intended to be used by all types of organizations that acquire or supply ICT products and services in the ICT supply chain. The guidance is primarily focused on the initial link of the first acquirer and supplier, but the principle steps should be applied throughout the chain, starting when the first supplier changes its role to being an acquirer and so on. This change of roles and applying the same steps for each new acquirer-supplier link in the chain is the essential intention of the standard. By following this international standard, information security implications can be communicated among organizations in the chain. This helps identifying information security risks and their causes and may enhance the transparency throughout the chain. Information security concerns related to supplier relationships cover a broad range of scenarios. Organizations desiring to improve trust within their ICT supply chain should define their trust boundaries, evaluate the risk associated with their supply chain activities, and then define and implement appropriate risk identification and mitigation techniques to reduce the risk of vulnerabilities being introduced through their ICT supply chain.
ISO/IEC 27001 and ISO/IEC 27002 framework and controls provide a useful starting point for identifying appropriate requirements for acquirers and suppliers. ISO/IEC 27036 provides further detail regarding specific requirements to be used in establishing and monitoring supplier relationships.