SVENSK STANDARD SS-ISO/IEC 27036-2:2014 Fastställd/Approved: 2014-09-17 Publicerad/Published: 2017-03-06 Utgåva/Edition: 1 Språk/Language: svenska/swedish, engelska/english ICS: 01.140.30; 04.050; 33.040.40; 35.020; 35.040; 35.080 Informationsteknik Säkerhetstekniker Informationssäkerhet vid leverantörsrelationer Del 2: Allmänna krav (ISO 27036-2:2014, IDT) Information technology Security techniques Information security for supplier relationships Part 2: Requirements (ISO 27036-2:2014, IDT)
Standarder får världen att fungera SIS (Swedish Standards Institute) är en fristående ideell förening med medlemmar från både privat och offentlig sektor. Vi är en del av det europeiska och globala nätverk som utarbetar internationella standarder. Standarder är dokumenterad kunskap utvecklad av framstående aktörer inom industri, näringsliv och samhälle och befrämjar handel över gränser, bidrar till att processer och produkter blir säkrare samt effektiviserar din verksamhet. Delta och påverka Som medlem i SIS har du möjlighet att påverka framtida standarder inom ditt område på nationell, europeisk och global nivå. Du får samtidigt tillgång till tidig information om utvecklingen inom din bransch. Ta del av det färdiga arbetet Vi erbjuder våra kunder allt som rör standarder och deras tillämpning. Hos oss kan du köpa alla publikationer du behöver allt från enskilda standarder, tekniska rapporter och standardpaket till handböcker och onlinetjänster. Genom vår webbtjänst e-nav får du tillgång till ett lättnavigerat bibliotek där alla standarder som är aktuella för ditt företag finns tillgängliga. Standarder och handböcker är källor till kunskap. Vi säljer dem. Utveckla din kompetens och lyckas bättre i ditt arbete Hos SIS kan du gå öppna eller företagsinterna utbildningar kring innehåll och tillämpning av standarder. Genom vår närhet till den internationella utvecklingen och ISO får du rätt kunskap i rätt tid, direkt från källan. Med vår kunskap om standarders möjligheter hjälper vi våra kunder att skapa verklig nytta och lönsamhet i sina verksamheter. Vill du veta mer om SIS eller hur standarder kan effektivisera din verksamhet är du välkommen in på www.sis.se eller ta kontakt med oss på tel 08-555 523 00. Standards make the world go round SIS (Swedish Standards Institute) is an independent non-profit organisation with members from both the private and public sectors. We are part of the European and global network that draws up international standards. Standards consist of documented knowledge developed by prominent actors within the industry, business world and society. They promote cross-border trade, they help to make processes and products safer and they streamline your organisation. Take part and have influence As a member of SIS you will have the possibility to participate in standardization activities on national, European and global level. The membership in SIS will give you the opportunity to influence future standards and gain access to early stage information about developments within your field. Get to know the finished work We offer our customers everything in connection with standards and their application. You can purchase all the publications you need from us - everything from individual standards, technical reports and standard packages through to manuals and online services. Our web service e-nav gives you access to an easy-to-navigate library where all standards that are relevant to your company are available. Standards and manuals are sources of knowledge. We sell them. Increase understanding and improve perception With SIS you can undergo either shared or in-house training in the content and application of standards. Thanks to our proximity to international development and ISO you receive the right knowledge at the right time, direct from the source. With our knowledge about the potential of standards, we assist our customers in creating tangible benefit and profitability in their organisations. If you want to know more about SIS, or how standards can streamline your organisation, please visit www.sis.se or contact us on phone +46 (0)8-555 523 00
Den internationella standarden ISO / IEC 2 gäller som svensk standard. Detta dokument innehåller den svenska versionen av ISO / IEC 270 följd av den officiella engelska språkversionen. The International Standard ISO / IEC 270 has the status of a Swedish Standard. This document contains the Swedish language verson of ISO / IEC 270 followed by the official English version. Copyright / Upphovsrätten till denna produkt tillhör SIS, Swedish Standards Institute, Stockholm, Sverige. Användningen av denna produkt regleras av slutanvändarlicensen som återfinns i denna produkt, se standardens sista sidor. Copyright SIS, Swedish Standards Institute, Stockholm, Sweden. All rights reserved. The use of this product is governed by the end-user licence for this product. You will find the licence in the end of this document. Upplysningar om sakinnehållet i standarden lämnas av SIS, Swedish Standards Institute, telefon 08-555 520 00. Standarder kan beställas hos SIS Förlag AB som även lämnar allmänna upplysningar om svensk och utländsk standard. Information about the content of the standard is available from the Swedish Standards Institute (SIS), telephone +46 8 555 520 00. Standards may be ordered from SIS Förlag AB, who can also provide general information about Swedish and foreign standards. Denna standard är framtagen av kommittén för Informationssäkerhet, SIS / TK 318. Har du synpunkter på innehållet i den här standarden, vill du delta i ett kommande revideringsarbete eller vara med och ta fram andra standarder inom området? Gå in på www.sis.se - där hittar du mer information.
Innehåll Sida Förord...iii Orientering... iv 1 Omfattning...1 2 Normativa hänvisningar...1 3 Termer och definitioner...1 4 Symboler och förkortningar...1 5 Strukturen i ISO/IEC 27036-2...1 6 Informationssäkerhet vid hantering av leverantörsrelationer...4 6.1 Processer för överenskommelser...4 6.2 Organisatoriska processer kring att starta projekt...7 6.3 Projektprocesser... 10 6.4 Tekniska processer... 14 7 Informationssäkerhet inom en leverantörsrelation... 14 7.1 Planeringsprocessen för leverantörsrelationer... 14 7.2 Processen för leverantörsurval... 16 7.3 Processen för leverantörsrelation... 20 7.4 Processen för styrning av leverantörsrelation... 23 7.5 Processen för uppsägning av leverantörsrelation... 26 Bilaga A (informativ) Korsreferenser mellan avsnitt i ISO/IEC 15288 och avsnitt i ISO/IEC 27036-2... 28 Bilaga B (informativ) Korsreferenser mellan avsnitt i ISO/IEC 27036-2 och säkerhetsåtgärder i ISO/IEC 27002... 30 Bilaga C (informativ) Mål från avsnitt 6 och 7... 32 Litteraturförteckning... 36 ii
Förord ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission) utgör det specialiserade systemet för internationell standardisering. Nationella organ som är medlemmar i ISO eller IEC deltar i utvecklingen av internationella standarder genom medverkan i tekniska kommittéer inom respektive organisationer med uppgift att behandla avgränsade tekniska områden. De tekniska kommittéerna inom ISO och IEC samarbetar inom områden av gemensamt intresse. Andra internationella organisationer, statliga eller privata, som samarbetar med ISO och IEC deltar också i arbetet. ISO och IEC har bildat en gemensam teknisk kommitté ISO/IEC JTC 1. De förfaranden som används för att utveckla det här dokumentet och de som är avsedda för dess vidare underhåll beskrivs i ISO/IEC-direktiv, del 1. Särskilt bör noteras de olika godkännandekriterier som krävs för de olika typerna av dokument. Detta dokument har utarbetats i enlighet med de redaktionella reglerna för ISO/IECdirektiv, del 2 (se www.iso.org/directives). Det bör framhållas att vissa delar av detta dokument kan omfattas av patenträtter. ISO och IEC frånsäger sig ansvaret för att identifiera vissa eller alla sådana patenträtter. Uppgifter om eventuella patenträttigheter som identifieras under utvecklingen av dokumentet kommer att återfinnas i Introduktion och/eller på ISO listan över mottagna patentdeklarationer (se www.iso.org/patents). När varumärkesnamn används i detta dokument är det för att underlätta förståelsen för användaren, men det innebär inte ett stöd för varumärkesnamnet i fråga. För en förklaring av innebörden av ISO-specifika termer och uttryck som relaterar till bedömning av överensstämmelse, samt för information om ISOs anslutning till WTO: s principer rörande Tekniska handelshinder (TBT), se följande webbadress: Foreword Supplementary information Kommittén som ansvarar för detta dokument är ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques. ISO/IEC 27036 består av följande delar, under titeln Informationsteknik Säkerhetstekniker Informationssäkerhet vid leverantörsrelationer: Del 1: Översikt och begrepp Del 2: Allmänna krav Del 3: Riktlinjer för informations- och kommunikationssäkerhet i leverantörskedjor Följande del är under framtagande: Del 4: Guidelines for security of cloud services Nationell anmärkning: Det normala är att användningen av should, dvs. bör, används i en standard som inte är certifieringsgrundande till skillnad mot t.ex. SS-ISO/IEC 27001 som använder ska ( shall ). Men eftersom SS-ISO/IEC 27036-2 är tänkt att användas för att styra leverantörsrelationer har man i många fall använt shall i grundtexten. Den svenska översättningen följer den engelska källtexten och använder ska vid dessa tillfällen. iii
Orientering Organisationer över hela världen arbetar med leverantörer för att köpa in varor och tjänster. Många organisationer etablerar flera leverantörsrelationer för att täcka in en rad olika affärsbehov, såsom skötsel eller tillverkning. Omvänt tillhandahåller leverantörer produkter och tjänster till flera beställare. Relationer mellan beställare och leverantörer som etableras i syfte att införskaffa en mängd olika produkter och tjänster kan medföra informationssäkerhetsrisker för både beställare och leverantör. Dessa risker orsakas av att de två parterna får tillgång till varandras resurser, såsom information och informationssystem, samt genom skillnader i affärsmål och informationssäkerhetsmetoder. Dessa risker bör hanteras av både beställare och leverantörer. ISO/IEC 27036-2: a) anger grundläggande informationssäkerhetskrav för att specificera, genomföra, förvalta, övervaka, granska, underhålla och förbättra leverantörens och beställarens relationer, b) underlättar den ömsesidiga förståelsen för den andra partens strategi för informationssäkerhet och tolerans för informationssäkerhetsrisker, c) speglar komplexiteten i att hantera risker som kan ha effekt på informationssäkerheten i leverantörs- och beställarrelationer, d) kan användas av alla typer av organisationer som har ett behov av att utvärdera informationssäkerheten i relationen mellan leverantör och beställare, e) är inte avsedd för certifiering, f) är avsedd att användas för att sätta upp ett antal specificerade informationssäkerhetsmål som gäller i en relation mellan leverantör och beställare som en säkerställande grund. ISO/IEC 27036-1 ger översikt och begrepp som förknippas med informationssäkerhet inom leverantörsrelationer. ISO/IEC 27036-3 ger riktlinjer till beställaren och leverantören för hantering av informationssäkerhetsrisker specifikt inom leverantörskedjan för ICT-produkter och ICT-tjänster. ISO/IEC 27036-4 (som kommer att publiceras) ger riktlinjer till beställaren och leverantören för hantering av specifika informationssäkerhetsrisker i molntjänster. ANM. Användaren av detta dokument måste korrekt tolka varje form av uttryck (t.ex. ska, får inte, bör och ska inte ) som antingen krav som måste uppfyllas eller rekommendationer där det finns en viss valfrihet. iv
1 Omfattning Denna del av ISO/IEC 27036 specificerar grundläggande informationssäkerhetskrav för att specificera, genomföra, förvalta, övervaka, granska, underhålla och förbättra relationen mellan leverantör och beställare. Dessa krav omfattar alla upphandlingar och leveranser av produkter och tjänster, som exempelvis tillverkning eller montering, inköp av verksamhetsutveckling, mjukvaru- eller hårdvarukomponenter, inköp av kompetens, bygg-förvalta-avyttra-system (BOT, Build-Operate-Transfer), samt molnbaserade datortjänster. Dessa krav är avsedda att tillämpas på alla organisationer, oavsett typ, storlek och karaktär. För att uppfylla dessa krav bör en organisation redan internt ha infört ett antal grundläggande processer eller aktivt planerat att göra det. Dessa processer inkluderar, men är inte begränsade till följande: verksamhetsstyrning, företagsledning, riskhantering, operativ ledning, personalledning och informationssäkerhet. 2 Normativa hänvisningar Detta dokument hänvisar till följande dokument som är nödvändiga när detta dokument ska tillämpas. För daterade hänvisningar gäller endast den utgåva som anges. För odaterade hänvisningar gäller senaste utgåvan av dokumentet (inklusive alla tillägg). ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27036-1, Information technology Security techniques Information security for supplier relationships Part 1: Overview and concepts 3 Termer och definitioner För tillämpning av detta dokument gäller de termer och definitioner som anges i ISO/IEC 27000 och ISO/IEC 27036-1. 4 Symboler och förkortningar Följande symboler (och förkortningar) används i denna standard: ASP ICT ITT LIS RFP programuthyrare (Application Service Provider) informations- och kommunikationsteknik (Information and Communication Technology) Nationell anmärkning; På svenska förekommer även förkortningen IKT för informations- och kommunikationsteknik, men här har förkortningen ICT valts även på svenska. anbudsförfrågan (Invitation To Tender) ledningssystem för informationssäkerhet begäran om hemställan (Request for Proposal) 5 Strukturen i ISO/IEC 27036-2 I avsnitt 6 specificeras grundläggande och övergripande informationssäkerhetskrav som gäller vid hantering av flera leverantörsrelationer. Någon av processerna i avsnitt 6 kan tillämpas på enskilda leverantörsrelationer när som helst i leverantörsrelationens livscykel. Dessa krav är strukturerade enligt livscykelprocesser som anges i ISO/IEC 15288 [1]. Dessa krav ska tillämpas av beställaren och av leverantören för att säkerställa att respektive organisationer kan hantera informationssäkerhetsrisker som uppstår i leverantörsrelationer. 1
ANM. Avsnitt 6 refererar endast till de livscykelprocesser från ISO/IEC 15288 som är relevanta för informationssäkerhet inom leverantörsrelationer. I avsnitt 7 specificeras grundläggande informationssäkerhetskrav som gäller för en beställare och en leverantör inom ramen för endast en leverantörsrelation. Dessa krav är strukturerade enligt leverantörsrelationers livscykelprocesser: a) Planeringsprocessen för leverantörsrelationer b) Processen för leverantörsurval c) Processen för leverantörsrelation d) Processen för styrning av leverantörsrelation e) Processen för uppsägning av leverantörsrelation Krav i avsnitt 7 ska tillämpas av beställaren och leverantören vilka är inblandade i en leverantörsrelation för att se till att dessa organisationer kan hantera relevanta informationssäkerhetsrisker. Figur 1 beskriver omfattningen av de grundläggande informationssäkerhetskraven i samband med processer som specificeras i avsnitt 6 och avsnitt 7: 2
6.1 Processer för överenskommelser Omfattning 6.1.1 Inköpsprocessen 6.1.2 Leveransprocessen 6.2 Organisatoriska processer för att möjliggöra projekt 6.2.1 Processen för förvaltning av livscykelmodellen 6.2.2 Processen för infrastrukturförvaltning 6.2.3 Processen för styrning av projektportföljen 6.2.4 Processen för personalledning 6.2.5 Processen för kvalitetsledning 6.3 Projektprocesser 6.3.1 Processen för projektplanering 6.3.2 Processen för utvärdering och styrning av projekt 6.3.3 Beslutsprocessen Grundläggande övergripande informationssäkerhetskrav för beställare och leverantörer i en organisationsmodell som allmänt är tillämplig för leverantörsrelationer 6.3.4 Processen för riskhantering 6.3.5 Processen för konfigurationshantering 6.3.6 Processen för informationshantering 6.3.7 Mätningsprocessen 6.4 Tekniska processer 6.4.1 Processen för design och arkitektur 7.1 Planeringsprocessen för leverantörsrelationer 7.4 Processen för styrning av leverantörsrelation 7.2 Processen för leverantörsurval 7.5 Processen för uppsägning av leverantörsrelation 7.3 Processen för leverantörsrelation Grundläggande informationssäkerhetskrav för beställare och leverantörer vid etablering och upprätthållande av leverantörsrelationer. Figur 1 Omfattning av grundläggande informationssäkerhetskrav som anges i avsnitt 6 och avsnitt 7 Text i avsnitt 6.1 till avsnitt 6.4 och avsnitt 7.1 till avsnitt 7.5 är strukturerade som tabeller och måste tolkas enligt följande: 3
Beställare Text som är specifik för beställaren. Leverantör Text som är specifik för leverantören. Beställare Leverantör Text som är specifik för både beställare och leverantör, om inte annat anges. Text som är specifik för beställaren. Text som är specifik för leverantören. Det finns tre informativa bilagor. Bilaga A ger korsreferenser mellan avsnitt i ISO/IEC 15288 som är relevanta för leverantörsrelationer och avsnitten i ISO/IEC 27036-2. Bilaga B ger korsreferenser mellan avsnitt i ISO/IEC 27036-2 och informationssäkerhetsåtgärder som anges i ISO/IEC 27002 [2] och är relevanta i leverantörsrelationer. Bilaga C ger listor över mål som anges i avsnitt 6 och avsnitt 7 för beställaren och leverantören. 6 Informationssäkerhet vid hantering av leverantörsrelationer 6.1 Processer för överenskommelser Organisationer kan gå in i en mängd olika leverantörsrelationer. Lämpliga relationer mellan beställare och leverantörer uppnås med hjälp av överenskommelser som specificerar informationssäkerhetsroller och ansvar när det gäller leverantörsrelationer. Följande processer för överenskommelser stödjer upphandling eller leverans av en produkt eller tjänst från både strategiska perspektiv och informationssäkerhetsperspektiv: a) Inköpsprocessen b) Leveransprocessen 6.1.1 Inköpsprocessen 6.1.1.1 Mål Beställaren ska uppfylla följande mål för framgångsrik hantering av informationssäkerheten inom inköpsprocessen: a) Upprätta en strategi för leverantörsrelationer som: Beställare 1) baseras på beställarens tolerans för informationssäkerhetsrisker, 2) specificerar den grundläggande informationssäkerhet som ska användas vid planering, förberedelse, förvaltning och avslutande av upphandling av en produkt eller tjänst. 4