ISO/IEC 27036-3:2023 サイバーセキュリティベンダーとの関係パート 3: ハードウェア、ソフトウェア、およびサービスのサプライチェーンセキュリティに関するガイド規格と仕様

範囲: この文書は、製品およびサービスの取得者、ならびにハードウェア、ソフトウェア、およびサービスのサプライヤー向けに、以下に関するガイダンスを提供します。 a) 物理的に分散した多層のハードウェア、ソフトウェア、およびサービスのサプライチェーンによって引き起こされる情報セキュリティリスクを可視化し、管理する; b) 物理的に分散した多層のハードウェア、ソフトウェア、およびサービスのサプライチェーンから生じるリスクに対応し、これらの製品およびサービスを使用する組織に情報セキュリティの影響を与える可能性があります。 c) ISO/IEC/IEEE 15288 および ISO/IEC/IEEE 12207 に記載されているように、情報セキュリティのプロセスと実践をシステムおよびソフトウェアのライフサイクルプロセスに統合すると同時に、ISO/IEC 27002 に記載されているように情報セキュリティ管理をサポートします。この文書ハードウェア、ソフトウェア、およびサービスのサプライチェーンに関連する事業継続管理/回復力の問題は含まれません。 ISO/IEC 27031 は、事業継続のための情報通信技術の準備に取り組んでいます。

ISO/IEC 27036-3:2023 発売履歴

2023 ISO/IEC 27036-3:2023 サイバーセキュリティベンダーとの関係パート 3: ハードウェア、ソフトウェア、およびサービスのサプライチェーンセキュリティに関するガイド
2013 ISO/IEC 27036-3:2013 情報技術、セキュリティ技術、サプライヤー関係における情報セキュリティ、パート 3: 情報通信技術のサプライチェーンセキュリティに関するガイドライン。