1 Einführung und Zielsetzung
Fast alle Unternehmen haben Beziehungen zu Lieferanten, von denen sie unterschiedliche Produkte und Dienstleistungen beziehen. Solche Lieferanten haben häufig direkten oder indirekten Zugang zu Informationen und informationsverarbeitenden Systemen ihrer Auftraggeber oder liefern oder unterstützen Hardware und Software, die beim Auftraggeber eingesetzt werden.
Dies kann zu gegenseitigen Risiken der Informationssicherheit führen, die bewertet und geeignet behandelt werden müssen.
Standard für Beziehungen mit Lieferanten
Die Absicht des mehrteiligen Standards ISO/IEC 27036 ist es, in Detaillierung und Ergänzung der ISO/IEC 27002 weitere Leitlinien für die Sicherheitskategorien und geeignete Maßnahmen für die Informationssicherheit in Lieferantenbeziehungen zu schaffen.
Die Absicht des mehrteiligen Standards ISO/IEC 27036 ist es, in Detaillierung und Ergänzung der ISO/IEC 27002 weitere Leitlinien für die Sicherheitskategorien und geeignete Maßnahmen für die Informationssicherheit in Lieferantenbeziehungen zu schaffen.
Der Standard besteht aus den folgenden vier Teilen:
Teil 1: | Überblick und Konzeption [1] |
Teil 2: | Anforderungen [2] |
Teil 3: | Leitlinien für Sicherheit in der Lieferkette der Informations- und Kommunikationstechnologie [3] |
Teil 4: | Leitlinien für die Sicherheit von Cloud-Diensten [4] |
Der Teil ISO/IEC 27036-1 ist eine Einführung in die ISO/IEC 27036. Er gibt einen Überblick über Konzepte, die im Detail in den weiteren Teilen der ISO/IEC 27036 Reihe beschrieben sind.
2 Struktur der ISO/IEC 27036-1
Anwendungsbereich
1 Scope
1 Scope
Dieser Teil des Standards gibt einen Überblick über die Konzepte der Informationssicherheit in Lieferantenbeziehungen und beschreibt den Aufbau der weiteren Leitlinien zur Absicherung der Informationen und der innerhalb der Lieferkette miteinander verbundenen Informationsverarbeitenden Systeme.
Normative Verweise
2 Normative references
2 Normative references
Auflistung der zu berücksichtigenden Dokumente:
• | ISO/IEC 27000 |
Wichtige Begriffe
3 Terms and definitions
3 Terms and definitions
Ergänzung der in ISO/IEC 27000 definierten Begriffe um weitere Begriffe aus dem Umfeld der Lieferantenbeziehungen wie z. B. acquirer, life cycle, outsourcing, supplier, supply chain.
Verwendete Abkürzungen
4 Symbols and abbreviated terms
4 Symbols and abbreviated terms
Erläuterung von verwendeten Abkürzungen wie z. B.:
ASP | Application Service Provider |
BPaaS | Business Process as a Service |
SaaS | Software as a Service |
Problemdefinition und Schlüsselkonzepte
5 Problem definition and key concepts
5 Problem definition and key concepts
Organisationen (Erwerber) entscheiden sich aus unterschiedlichen Motiven für Beziehungen zu Lieferanten wie z. B.: