ISO/IEC 27036-3:2013信息技术——供应商关系信息安全——第3部分：信息和通信技术供应链安全指南

ISO/IEC 27036-3:2013

Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security

发布时间：2013-11-08 实施时间：

ISO/IEC 27036-3:2013是ISO/IEC 27036系列标准的一部分，该系列标准主要关注信息安全的供应商关系问题。ISO/IEC 27036-3:2013提供了一些指南，帮助组织建立和维护一个安全的信息和通信技术供应链，以确保其信息安全风险得到有效管理和控制。

供应链安全是指在整个供应链中，从原材料供应商到最终用户，所有环节都能够保证信息安全。信息和通信技术供应链安全是指在信息和通信技术产品和服务的供应链中，所有环节都能够保证信息安全。信息和通信技术供应链安全的重要性越来越受到关注，因为信息和通信技术在现代社会中扮演着越来越重要的角色，而供应链中的任何一个环节出现问题都可能导致信息泄露、数据丢失等安全问题。

ISO/IEC 27036-3:2013提供了一些指南，帮助组织建立和维护一个安全的信息和通信技术供应链。这些指南包括：

1. 识别和评估供应链中的信息安全风险。组织应该对其供应链中的所有环节进行风险评估，以确定可能存在的信息安全风险，并采取相应的措施进行管理和控制。

2. 确定供应链中的信息安全要求。组织应该确定其供应链中的信息安全要求，并将这些要求纳入到供应商合同中，以确保供应商能够满足这些要求。

3. 选择和评估供应商。组织应该选择和评估其供应商，以确保其供应商能够满足其信息安全要求，并采取相应的措施进行管理和控制。

4. 管理供应商关系。组织应该与其供应商建立良好的关系，并采取相应的措施进行管理和控制，以确保其供应商能够满足其信息安全要求。

5. 监控和审计供应链中的信息安全。组织应该对其供应链中的信息安全进行监控和审计，以确保其信息安全风险得到有效管理和控制。

总之，ISO/IEC 27036-3:2013提供了一些指南，帮助组织建立和维护一个安全的信息和通信技术供应链，以确保其信息安全风险得到有效管理和控制。

相关标准
- ISO/IEC 27001:2013 信息技术——安全技术——信息安全管理系统要求
- ISO/IEC 27002:2013 信息技术——安全技术——信息安全管理实践指南
- ISO/IEC 27017:2015 信息技术——安全技术——云计算安全指南
- ISO/IEC 27035:2016 信息技术——安全技术——信息安全事件管理
- ISO/IEC 27040:2015 信息技术——安全技术——信息存储安全