この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
ISO/IEC 27036 のこの部分は、ICT サプライ チェーンにおける製品およびサービスの取得者と供給者に、次のガイダンスを提供します。
- a)物理的に分散し、多層化された ICT サプライ チェーンによって引き起こされる情報セキュリティ リスクを可視化し、管理する。
- b)グローバル ICT サプライ チェーンから ICT 製品およびサービスに至るまでのリスクに対応する。これらの製品およびサービスを使用する組織に情報セキュリティの影響を与える可能性がある。これらのリスクは、組織的側面と技術的側面に関連している可能性があります (悪意のあるコードの挿入や偽造情報技術 (IT) 製品の存在など)
- c) ISO/IEC 15288 および ISO/IEC 12207 に記述されているシステムおよびソフトウェア ライフサイクル プロセスに情報セキュリティ プロセスおよびプラクティスを統合すると同時に、ISO/IEC 27002 に記述されている情報セキュリティ コントロールをサポートする。
ISO/IEC 27036 のこの部分には、ICT サプライ チェーンに関連する事業継続管理/回復力の問題は含まれていません。 ISO/IEC 27031 は、ビジネス継続性に対応しています。
1 Scope
This part of ISO/IEC 27036 provides product and service acquirers and suppliers in ICT supply chain with guidance on:
- a) gaining visibility into and managing the information security risks caused by physically dispersed and multi-layered ICT supply chains;
- b) responding to risks stemming from the global ICT supply chain to ICT products and services that can have an information security impact on the organizations using these products and services. These risks can be related to organizational as well as technical aspects (e.g. insertion of malicious code or presence of the counterfeit information technology (IT) products);
- c) integrating information security processes and practices into the system and software lifecycle processes, described in ISO/IEC 15288 and ISO/IEC 12207, while supporting information security controls, described in ISO/IEC 27002.
This part of ISO/IEC 27036 does not include business continuity management/resiliency issues involved with the ICT supply chain. ISO/IEC 27031 addresses business continuity.