Standardin ISO/IEC 27036 tässä osassa määritellään oleelliset tietoturvavaatimukset toimittaja- ja ostajasuhteiden määrittelyyn, toteuttamiseen, hoitamiseen, seurantaan, katselmointiin, ylläpitoon ja parantamiseen. Nämä vaatimukset kattavat tuotteiden tai palveluiden hankinnan tai toimittamisen, kuten valmistamisen tai kokoamisen, liiketoimintaprosessin hankinnan, ohjelmisto- ja laitteistokomponentit, tietämysprosessin hankinnan, RKS (rakenna, käytä ja siirrä) -prosessin ja pilvilaskentapalvelut. Näiden vaatimusten on tarkoitus soveltua kaikille organisaatioille niiden tyypistä, koosta tai luonteesta riippumatta. Nämä vaatimukset täyttääkseen organisaatiolla olisi jo oltava sisäisesti toteutettuna useita perusprosesseja tai sen olisi aktiivisesti suunniteltava sellaisten käyttöönottoa. Näihin prosesseihin kuuluvat mm. hallintomalli, liiketoiminnan johtaminen, riskienhallinta, operatiivisten resurssien hallinta ja henkilöresurssien hallinta sekä tietoturvallisuus.
Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27036-1 Information technology — Security techniques — Information security for supplier relationships — Part 1: Overview and concepts
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27036-1 Information technology — Security techniques — Information security for supplier relationships — Part 1: Overview and concepts