Tecnología de la información — Técnicas de seguridad — Seguridad de la información para las relaciones con proveedores — Parte 3: Directrices para la seguridad en la cadena de suministro de las tecnologías de la información y la comunicación.

Objeto y campo de aplicación

Esta norma proporciona orientación a los adquirentes y proveedores de productos y servicios de la cadena de suministro de las TIC, con respecto a: a) Obtener visibilidad y administrar los riesgos en la seguridad de la información causados por cadenas de suministro de las TIC con una amplia distribución geográfica y de múltiples capas. b) Responder a los riesgos derivados de la cadena global de suministro de las TIC, que pueden generar productos y servicios TIC con impacto en la seguridad de la información dentro de las organizaciones que utilizan estos productos y servicios. Estos riesgos pueden estar relacionados con aspectos organizativos y técnicos (por ejemplo, la inserción de un código malicioso o la presencia de productos de tecnología de la información (TI) falsificados). c) Integrar los procesos y las prácticas de seguridad de la información en los Procesos del Ciclo de Vida del sistema y del software, los que se describen en ISO/IEC 15288 e ISO/IEC 12207, mientras que los controles complementarios de seguridad de la información se describen en INTE/ISO/IEC 27002. Esta norma no incluye cuestiones de gestión de continuidad de las operaciones o de resistencia relacionadas con la cadena de suministro de las TIC. La norma ISO/IEC 27031 aborda la continuidad de las operaciones.

Información general

Código del comité
CTN 27 SC 01 
Nombre del comité
Seguridad de la Información 
Sector
Tecnologías de la información y comunicación 
ICS
35.040  
Correspondencias
ISO/IEC 27036-3:2013  
Organismos
ISO/IEC  
Edición
Fecha de aprobación
2020-07-31 
Número de páginas
47 
Estado
Vigente 

Normas de Referencia
INTE/ISO/IEC 27000, INTE/ISO/IEC 27036-1, INTE/ISO/IEC 27036-2,