【英语版】国际标准 ISO/IEC 27036-2:2014 EN Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements 信息技术——安全技术——供应商关系信息安全——第2部分：要求.pdf

ISO/IEC27036-2:2014ENInformationtechnology--Securitytechniques--Informationsecurityforsupplierrelationships--Part2:Requirements是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的信息技术安全技术标准。这个标准主要关注供应商关系中的信息安全，其第二部分详细规定了以下内容：

1.背景和概述：该标准为供应商关系中的信息安全提供了指导，以确保供应链的安全性和稳定性。它强调了供应商参与和合作的重要性，以及建立和维护信息安全实践的必要性。

2.信息安全原则：该标准提出了供应商关系中的信息安全原则，包括保密性、完整性和可用性，这些原则必须被所有参与者遵守。同时，该标准也明确了当原则无法得到保证时应采取的行动。

3.安全控制措施：该标准列出了各种安全控制措施，包括身份验证、授权、访问控制、加密、安全审计和应急响应等，这些都是维护供应链安全所必需的。这些措施应该根据具体情况进行实施，并定期进行评估和更新。

4.信息安全培训和意识：该标准强调了对参与供应商关系的人员进行信息安全培训的重要性，包括培训内容、频率和评估方式等。该标准还要求参与者了解并遵守信息安全政策，并定期进行意识更新。

5.风险管理：该标准提供了风险管理的原则和方法，包括识别、评估、缓解和监控风险等。供应商应该对可能影响信息安全的风险进行识别和评估，并采取适当的措施进行缓解。

6.文档和记录管理：该标准要求对信息安全实践进行文档记录，以便进行审计和评估。这些记录应该包括关键的安全控制措施、培训和意识活动、风险管理策略等。

ISO/IEC27036-2:2014ENInformationtechnology--Securitytechniques--Informationsecurityforsupplierrelationships--Part2:Requirements是为供应商关系中的信息安全提供了一整套的指导原则和控制措施，以确保供应链的安全性和稳定性。这些原则和控制措施涵盖了信息安全管理的各个方面，包括原则、安全控制措施、培训和意识、风险管理以及文档和记录管理等。