360该控制措施对应的指南为
Control
Agreements with suppliers should include requirements to address the information security risks associated with information and communica tions technology services and product supply chain.
Implementation guidance
宜考虑下面包含在供应商协议与供应链安全相关的主题:
a)确定除了通用的关于供应商关系信息安全要求之外的,应用于ICT产品与服务获取的信息安全要求;
b)对ia服务而言,如果供应商分包一部分ICT服务,需要他们传导组织的信息安全要求至整个供应链;
c)对ICT产品而言,如果供应商的产品包含了从其他组织购买的组件,需要他们传导合适的信息安全实践至整个供应链; d)应用监视过程和可接受的方法使交付的ia产品与服务合法化并坚持国家安全要求;
e)应用一个识别对获取功能关键的产品与服务组件并因此需要额外的关注和监督的过程,尤其是上游的供应商外包了产品或服务的某些组件给其他供应商;
f)获得关键组件及它们的来源在整个供应中可跟踪的保证;
g)获得交付的ICT产品或功能跟预期一致毫无不期望或不想要的特征的保证;
h)确定在组织与供应商之间分享与供应链和潜在要点以及这种方案相关的信息的规则;
i)实施特定的过程管理ia组件生命周期和可用性以及相关的安全风险。这包括管理由于商业或技术进步供应商不再提供这些组件。 Other information
特定的ICT供应链风险管理实践建立在通用的信息安全、质量、项目管理和系统工程实践之上,而不是替代他们。
建议组织与供应商一起工作以理解ia供应链和对产品与服务有重要影响的任何事件。组织能通过把协议里ICT供应链中其他供应商处理的任何问题界定清晰来影响ICT供应链信息安全实践。
这里处理的ICT供应链包括云计算服务。