ایزو فناوری اطلاعات، فنون امنیتی چیست؟

ISO / IEC 27036 الزامات امنیتی اساسی اطلاعات را برای تعریف، اجرا، عملکرد، نظارت، بررسی، حفظ و بهبود روابط تامین کننده و خریدار تعیین می کند. ین الزامات شامل هر گونه تهیه و عرضه محصولات و خدمات مانند تولید و یا مونتاژ، تهیه فرآیند کسب و کار، اجزای نرم افزاری و سخت افزاری، تهیه پروسه های دانش، خدمات ساخت و مدیریت انتقال و خدمات محاسبات است. این الزامات در نظر گرفته شده است که برای همه سازمان ها، صرف نظر از نوع، اندازه و ماهیت آن ها، قابل اجرا باشد. برای برآورده ساختن این الزامات، سازمان باید در ابتدا تعدادی از فرایندهای بنیادی را به طور داخلی اجرا کند یا به طور فعالانه برنامه ریزی کند. این فرآیندها عبارتند از: مدیریت، مدیریت کسب و کار، مدیریت ریسک، مدیریت عملیات و مدیریت منابع انسانی و امنیت اطلاعات است.
سازمان ها در سراسر جهان با تامین کنندگان برای تامین محصولات و خدمات کار می کنند. بسیاری از سازمان ها روابط تامین کننده را برای پوشش انواع نیازهای تجاری، مانند عملیات و تولید، ایجاد می کنند. برعکس، تامین کنندگان، محصولات و خدمات را برای چندین خریدار فراهم می کنند. روابط بین خریدارها و تامین کنندگان ایجاد شده برای دستیابی به انواع مختلف محصولات و خدمات ممکن است خطرات امنیتی اطلاعات را به خریداران و تامین کنندگان وارد کند. این خطرات ناشی از دسترسی متقابل به دارایی های دیگری مانند اطلاعات سیستم ها است و همچنین با تفاوت در اهداف کسب و کار و رویکردهای امنیتی اطلاعات. این خطرات باید توسط هر دو خریدار و تامین کننده اداره شود.

دامنه و هدف استاندارد فناوری اطلاعات، فنون امنیتی ISO / IEC 27036 چیست؟
ISO / IEC 27036 نیازهای امنیتی اساسی اطلاعات مربوط به روابط تجاری تامین کننده-خریدار را مشخص می کند. هدف این است که به تامین کنندگان و خریدار محصولات مختلف (کالاها و خدمات) کمک کند تا درک مشترکی از خطرات مربوط به اطلاعات به دست آید و با توجه به رضایت متقابل آنها، رفتار کنند. مقدمه به صراحت می گوید که بخش 2 ISO / IEC 27036 برای اهداف صدور گواهینامه در نظر گرفته نمی شود، علیرغم داشتن “الزامات” در عنوان و “باید” در محتوا که دارد. اقدامات کنترل شده توصیه شده در بخش 2 شامل جنبه های مختلف مدیریت کسب و کار (مانند عملیات، مدیریت منابع انسانی، مدیریت فناوری اطلاعات، مدیریت ارتباط با مشتری، معیارها) و همچنین مدیریت امنیت اطلاعات (مانند تجزیه و تحلیل ریسک اطلاعات، مشخصات کنترل، معماری / طراحی ، استراتژی)است. با توجه به پیش فرض ها، سبک، ساختار، عمق، وسعت و الزامات اسناد مندرج در قسمت دوم، به دنبال جزئیات استاندارد، بار سنگینی را در مورد کالاها عرضه می کند، اما ممکن است کاملا مناسب کسانی باشد که پیامدهای امنیتی قوی به عنوان مثال، خرید نظامی و دولتی سیستم های و خدمات طبقه بندی شده در زمینه فناوری اطلاعات و ارتباطات و یا خرید و فروش تجاری سیستم های و فناوری های اطلاعاتی و فناوری اطلاعات ایمنی و یا کسب و کار، از جمله پشتیبانی ابر رایانه برای فرآیندهای کسب و کار اصلی، و همچنین خدمات اطلاعاتی از جمله مشاوره را داشته باشند. با این وجود، استاندارد یک چک لیست مفید یا یادآوری جنبه های امنیتی اطلاعات است که باید در بیشتر یا نه همه روابط تجاری مورد توجه قرار گیرد.
ISO / IEC 27036 در بر گیرنده الزامات زیر می باشد:
1.    الزامات امنیتی اساسی اطلاعات را برای تعریف، اجرای، عملیات، نظارت، بررسی، حفظ و بهبود روابط تامین کننده و خریدار؛
2.    تسهیل درک متقابل رویکرد طرف دیگر به امنیت اطلاعات و تحمل برای خطرات امنیتی اطلاعات؛
3.    نشان دهنده پیچیدگی مدیریت ریسک هایی است که می تواند تأثیرات امنیتی اطلاعات را در تامین کننده داشته باشد و همچنین روابط خریدار؛
4.    در نظر گرفته شده است که توسط هر سازمان ای که مایل به ارزیابی امنیت اطلاعات در فرد تامین کننده است استفاده شود یا روابط با خریدار؛
5.    در نظر گرفته شده است که برای تنظیم تعدادی از اهداف امنیتی تعریف شده قابل اجرا که برای یک مورد استفاده شود تامین کننده و خریدار، رابطه ای که باید بر اساس اطمینان و اعتماد باشد.