华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证 > ISO27001标准“A.15.1 供应商关系中的信息安全”条款讲解

信息安全认证:ISO27001标准“A.15.1 供应商关系中的信息安全”条款讲解

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-1
【标准条款】
A. 15.1 供应商关系中的信息安全
目的:确保供应商可访问的组织资产得到保护。
A.15.1.1 供应商关系的信息安全策略
为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。
【理解与应用】
组织宜有策略来识别和落实信息安全控制,以专门解决供应商访问组织信息的问题。
这些控制强调组织要实现的以及组织要求供应商要实现的过程和规程,包括:
(1)识别并记录组织允许访问其信息的供应商类型,如 IT服务、物流、金融服务、IT基础设施组件;
(2)用于管理供应商关系的标准化过程和生命周期;
(3)确定不同类型供应商被允许的信息访问类型,并对信息访问进行监视和控制;
(4)将各类信息和各类访问的最低信息安全要求作为单个供应商协议的基础,该协议基于组织的业务需求和要求及其风险状况;
(5)对各类供应商和各类访问遵守所建立的信息安全要求进行监视的过程和规程,包括第三方评审和产品确认;
(6)准确和完备的控制,以确保任何一方所提供的信息或信息处理的完整性;
(7)可用于供应商保护组织信息的义务类型;
(8)处理与供应商访问相关的事件和应急状况,包括组织和供应商的双方责任;
(9)恢复力,必要时,恢复和应急安排以确保任何一方提供的信息或信息处理的可用性;
(10)对参与采购的组织人员进行适用的策略、过程和规程的意识培训;
(11)对与供应商人员接洽的组织人员进行适当的约定和行为准则的意识培训,该准则基于供应商类型及其对组织系统和信息的访问级别;
(12)在双方签字的协议中记录信息安全要求和控制的条件;
(13)管理信息、信息处理设施和任何需要移动的其他设施的必要切换变迁,并确保维护整个变迁过程中的信息安全。
 
【标准条款】
A.15.1.2 在供应商协议中强调安全
应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致。
【理解与应用】
宜建立供应商协议并形成文件,以确保组织和供应商双方在履行相关信息安全要求的义务上不存在误解。
为满足已识别的信息安全要求,宜在协议中考虑∶
(1)对要提供或访问的信息的描述,以及提供或访问信息的方法;
(2)根据组织分级方案(见A.8.2信息分级)进行信息分级,必要时,在组织的分级方案和供应商的分级方案之间建立映射关系;
(3)法律法规要求,包括数据保护、知识产权和版权,以及对如何确保满足这些要求的描述;
(4)合同各方实现已商定控制的义务(包括访问控制、性能评审、监视、报告和审计等);
(5)信息的可接受使用规则,必要时,包括不可接受的使用;
(6)对于供应商人员访问或接收组织信息,或者给出被授权访问或接收组织信息的供应商人员的明确名单,或者给出授权和取消授权的规程或条件;
(7)与具体合同相关的信息安全策略;
(8)事件管理要求和规程(尤其是在事件补救过程中的通知和协作);
(9)具体规程以及信息安全要求的培训和学习要求,如事件响应、授权规程;
(10)分包的相关规定,包括需要实现的控制;
(11)相关的协议合作伙伴,包括信息安全问题的联络人;
(12)如果有,提出对供应商人员的筛选要求,包括执行筛选的责任,以及当筛选未完成或者出现令人疑问或关注的结果时的通告规程;
(13)对与协议相关的供应商过程和控制进行审核的权利;(14)缺陷解决和争执解决的过程;
(15)供应商定期递交控制有效性的独立报告和及时纠正报告中提出的有关问题的协议的义务;
(16)供应商遵守组织安全要求的义务。
 
【标准条款】
A.15.1.3 信息与通信技术供应链
供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。
【理解与应用】
就涉及供应链安全的供应商协议的内容,宜考虑以下主题∶
(1)除了对供应商关系的一般信息安全要求外,确定适用于信息与通信技术产品或服务获取的信息安全要求;
(2)对于信息与通信技术服务,若供应商分包部分的组织信息与通信技术服务,则要求供应商在整个供应链中传播组织的安全要求;
(3)对于信息与通信技术产品,若这些产品包括从其他供应商购买的组件,则要求供应商在整个供应链中传播适当的安全实践;
(4)实现监视过程和可接受的方法,以确认信息与通信技术产品和服务遵守了所声明的安全要求;
(5)实现一个过程来标识对维护功能至关重要的产品或服务组件,并当这些产品或服务组件在组织外部构建时,尤其是如果总供应商将产品或服务组件的某些部分分包至其他供应商时,需要更多的关注和审查;
(6)获得关键组件及其来源在供应链中可追溯的保障;
(7)获得对交付的信息与通信技术产品按预期工作无任何意外的或不需要的功能的保障;
(8)确定与供应链及在组织和供应商中任何潜在的问题和妥协有关的信息共享规则;
(9)实现管理信息与通信技术组件生命周期、可用性和相关安全风险的具体过程,包括管理因供应商不再经营导致组件不可用的风险或因技术进步供应商不再提供这些组件的风险。
想了解更多的关于信息安全认证信息可以经常关注我们