| A.15 供应商关系 | ||
| A.15.1 供应商关系中的信息安全 | ||
| 目标:确保供应商可访问的组织资产得到保护。 | ||
| A.15.1.1 | 供应商关系的信息安全策略 | 控制 为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件 |
| A.15.1.2 | 在供应商协议中强调安全 | 控制 应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致。 |
| A.15.1.3 | 信息与通信技术供应链 | 控制 供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。 |
| A.15.2 供应商服务交付管理 | ||
| 目标:维护与供应商协议一致的信息安全和服务交付的商定级别。 | ||
| A.15.2.1 | 供应商服务的监视和评审 | 控制 组织应定期监视、评审和审核供应商服务交付。 |
| A.15.2.2 | 供应商服务的变更管理 | 控制 应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。 |
控制解析:
- “A.15 供应商关系”是针对一些关键供应商(参考信息资产分级情况),在导入、提供产品或服务过程中的信息安全要求。本控制域的要求可以直接整合到组织原有的《供应商管理程序》等文件中。
- 应针对关键供应商(如关键原物料供应商、IT基础设施供应商等),形成书面的供应商信息安全管理策略,并与供方沟通,达成一致意见。
- 应依据供应商信息安全管理策略,将相应的信息安全要求体现在供应商协议中。
- 对于信息与通信技术产品或服务供应商,除了对供应商关系的一般信息安全要求外,需要确定适用于信息与通信技术产品或服务获取的信息安全要求(如,对于信息与通信技术服务,若供应商分包部分的组织信息与通信技术服务,则要求供应商在整个供应链中传播组织的安全要求;获得关键组件及其来源在供应链中可追溯的保障等)。
- “A.15.2.1 供应商服务的监视和评审”,一般针对关键供应商,在原有的供应商管理基础增加信息安全内容即可,如在供应商选择与评价过程中,增加信息安全内容的评价,在供应商定期审核过程中,增加信息安全审核模块。
- 实施“A.15.2.2 供应商服务的变更管理”,可以与组织原有供应商变更管理流程整合,如把涉及信息安全相关的变更(如网络的变更和强化,新产品或新版本/发布的采用,服务设施物理位置的变更,新工具和环境的开发等)加入到原有的供应商变更管理流程中。
实施本控制应输出的文档:
- 《供应商管理程序》、供应商信息安全管理策略和沟通记录、供应商信息安全协议。
- 供应商评价和审核记录。
- 供应商变更记录。
本控制审核要点:
- 审核关键供应商协议,是否包含信息安全要求。
- 审核关键供应商选择与评价记录,是否包含信息安全内容。
- 是否对关键供应商做信息安全年度审核计划,并对供应商实施审核。
