【英语版】国际标准 ISO/IEC 27036-1:2014 EN Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts 信息技术——安全技术——供应商关系信息安全——第1部分：概述和概念.pdf

ISO/IEC27036-1:2014，也称为信息技术安全技术供应商关系信息安全第1部分：概述和概念，是一套国际标准，旨在为供应商关系信息安全提供一套全面的信息安全概念和方法。以下是ISO/IEC27036-1:2014的详细解释：

1.定义和背景：ISO/IEC27036-1:2014首先定义了供应商关系信息安全（SupplierRelationshipInformationSecurity，SRIS）的概念，并阐述了其重要性。它强调了供应商与组织之间的合作关系，这种关系涉及到敏感信息和关键业务操作，因此需要采取适当的安全措施来保护这些信息。

2.安全概念：该标准详细阐述了SRIS所需的安全概念，包括身份管理、访问控制、加密、安全审计、备份和恢复、应急响应等。这些概念确保敏感信息在传输、存储和处理过程中得到充分保护。

3.信息安全风险评估：标准强调了信息安全风险评估在SRIS中的重要性，提供了进行风险评估的方法和步骤。它强调了评估所有潜在的风险和威胁，并采取相应的安全措施来降低风险。

4.合作伙伴的选择和监督：该标准提倡在选择合作伙伴之前进行充分的信息安全评估，以确保它们具备必要的安全能力。组织还需要对合作伙伴进行定期监督，以确保它们遵守相关安全政策和实践。

5.信息安全培训和教育：该标准强调了对员工进行信息安全培训和教育的重要性，以增强他们的安全意识和技能。它建议组织定期开展培训课程，以加强员工对SRIS重要性的认识，并传授必要的技能和知识。

6.法规遵从性：ISO/IEC27036-1:2014强调了法规遵从性在SRIS中的重要性。它指出组织需要了解并遵守相关的信息安全法规和标准，以确保其行为符合法律要求。

ISO/IEC27036-1:2014提供了供应商关系信息安全的基本概念和方法，涵盖了安全概念、风险评估、合作伙伴选择和监督、培训和教育以及法规遵从性等方面。这些概念和方法对于确保敏感信息和关键业务操作的安全至关重要。