Kaksi tietoturvastandardia toimittajasuhteiden hallinnasta vahvistettu kansallisiksi SFS-ISO-standardeiksi
Vahvistetut standardit ovat osa tietoturvallisuuden hallintajärjestlemän standardisarjaa ja kuuluvat hallintakeinokohtaisiin ohjeistusstandardeihin.
SFS on tänä keväänä vahvistanu standardointiryhmä SFS/SR 307 Tietoturvatekniikat päätöksellä standardit ISO/IEC 27036-1:2023 Cybersecurity — Supplier relationships — Part 1: Overview and concepts ja ISO/IEC 27036-2:2023 Cybersecurity — Supplier relationships — Part 2: Requirements kansallisiksi SFS-ISO-standardeiksi.
Standardit ovat osa tietoturvallisuuden hallintajärjestelmän standardisarjaa ja kuuluvat hallintakeinokohtaisiin ohjeistusstandardeihin.
ISO/IEC 27036 -sarjassa kerrotaan tarkemmin, kuinka toteuttaa toimittajasuhteiden hallintakeinot, jotka kuvataan standardissa ISO/IEC 27002 yleisemmällä tasolla. Tällaiset kansainväliset standardit on hyvä ottaa käyttöön myös toimittajasuhteiden hallinnassa, jotta toimittajasuhteisiin luontaisesti sisältyviä tietoturvariskejä voidaan hallita tehokkaasti.
ISO/IEC 27036-1 -standardissa esitetään yleiskatsaus ohjeisiin, joiden tarkoituksena on auttaa organisaatioita turvaamaan tietojaan ja tietojärjestelmiään toimittajasuhteiden yhteydessä – niin hankkijan kuin toimittajan näkökulmasta. Siinä esitellään myös käsitteitä, jotka kuvataan yksityiskohtaisesti ISO/IEC 27036:n muissa osissa.
ISO/IEC 27036-2 -standardissa määritetään perustietoturvavaatimukset toimittaja- ja hankintasuhteiden määrittelyä, toteuttamista, käyttöä, seurantaa, tarkistamista, ylläpitoa ja parantamista varten.
Standardit olivat lausunnolla SFS:n lausuntopyyntöpalvelussa 19.12.2022–14.2.2023.
SFS-ISO/IEC 27036-1:2023:en Cybersecurity — Supplier relationships — Part 1: Overview and concepts
SFS-ISO/IEC 27036-2:2023:en Cybersecurity — Supplier relationships — Part 2: Requirements
Lisätietoja
