Machine Translated by Google

INTERNACIONAL ISO/CEI
ESTÁNDAR 27036-2

Primera edición
2014-08-01

Tecnología de la información — Técnicas

de seguridad — Seguridad de la información
para las relaciones con los proveedores —
Parte 2:
Requisitos
Tecnologías de la información — Técnicas de seguridad — Seguridad
de la información para la relación con el proveedor —
Parte 2: Requisitos

Número de referencia
ISO/CEI 27036-2:2014(E)

© ISO/CEI 2014
Machine Translated by Google

ISO/CEI 27036-2:2014(E)

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

© ISO/IEC 2014 Todos

los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede reproducirse ni utilizarse de ninguna forma ni por ningún medio,
ya sea electrónico o mecánico, incluidas las fotocopias o la publicación en Internet o en una intranet, sin autorización previa por escrito. El permiso se puede solicitar a ISO
en la dirección que se indica a continuación o al organismo miembro de ISO en el país del solicitante.

Oficina de derechos de
autor de ISO Case postale 56 • CH-1211 Ginebra
20 tel. + 41 22 749 01 11 Telefax + 41 22 749 09
47
Correo electrónico copyright@iso.org
Web www.iso.org
Publicado en Suiza

yo © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Contenido Página

Prólogo .................................................. .................................................... .................................................... .................................................... ..................................iv

Introducción .................................................. .................................................... .................................................... .................................................... ..........................v

1 Alcance .................................................. .................................................... .................................................... .................................................... ..........................1

2 Referencias normativas .................................................. .................................................... .................................................... ....................................1

3 Términos y definiciones ............................................ .................................................... .................................................... ................................1

4 Símbolos y términos abreviados ............................................... .................................................... .................................................... .........1

5 Estructura de ISO/IEC 27036-2 .................................. .................................................... .................................................... ..............................2

6 Seguridad de la información en la gestión de las relaciones con los proveedores ............... .................................................... ...........4
6.1 Procesos de acuerdos .................................. .................................................... .................................................... .................................. 4
6.2 Procesos
6.3de habilitación
Procesos de proyectos
del proyecto organizacionales
............................... ... ....................................................
.................................................... ....................................................
............... .............
.................................................... 7
..........................10
Procesos técnicos .................. .................................................... .................................................... ..........................................................14 6.4

7 Seguridad de la información en una instancia de relación con proveedores .................................. ..........................................15 7.1
Proceso deProceso
planificación de la relación
de selección con proveedores
de proveedores . ....................................................
......................... ....................................................
.................................................... .....................15
.................................................... ..........................17
.21 7.3 Proceso
7.2 Proceso
de gestión
de acuerdo
de relaciones
de relación
con proveedores
con proveedores
...........................................
.................. ....................................................
....................................................
....................................................
...........24 7.4 7.5
Proceso de terminación de la relación con el proveedor .................. .................................................... ..........................................27

Anexo A (informativo) Referencias cruzadas entre las cláusulas de ISO/IEC 15288 e ISO/
Cláusulas de IEC 27036-2 ............................................... .................................................... .................................................... ......................................30

Anexo B (informativo) Referencias cruzadas entre las cláusulas de ISO/IEC 27036-2 e ISO/
Controles IEC 27002 ............................................... .................................................... .................................................... ..........................................32

Anexo C (informativo) Objetivos de las Cláusulas 6 y 7 ....................................... .................................................... .......................34

Bibliografía ......................... .................................................... .................................................... .................................................... ...........................................

© ISO/IEC 2014 – Todos los derechos reservados iii

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Prefacio
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la
normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a
través de comités técnicos establecidos por la organización respectiva para tratar campos particulares de actividad técnica. Los comités
técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales,
en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido
un comité técnico conjunto, ISO/IEC JTC 1.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas
ISO/IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de
documentos. Este documento fue redactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC, Parte 2 (ver www.iso.org/
directives).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO
e IEC no serán responsables de identificar ninguno o todos los derechos de patente.
Los detalles de cualquier derecho de patente identificado durante el desarrollo del documento estarán en la Introducción y/o en la lista ISO de
declaraciones de patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en este documento es información proporcionada para la comodidad de los usuarios y no constituye un
respaldo.

Para obtener una explicación sobre el significado de los términos y expresiones específicos de ISO relacionados con la evaluación de la
conformidad, así como información sobre la adhesión de ISO a los principios de la OMC en los obstáculos técnicos al comercio (TBT), consulte
la siguiente URL: Prólogo - Información complementaria

El comité responsable de este documento es ISO/IEC JTC 1, Tecnología de la información, SC 27, Técnicas de seguridad de TI.

ISO/IEC 27036 consta de las siguientes partes, bajo el título general Tecnología de la información. Técnicas de seguridad. Seguridad de la
información para las relaciones con los proveedores:

— Parte 1: Resumen y conceptos

— Parte 2: Requisitos

— Parte 3: Directrices para la seguridad de la cadena de suministro de tecnología de la información y las comunicaciones

La siguiente parte está en preparación:

— Parte 4: Directrices para la seguridad de los servicios en la nube.

IV © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Introducción
Organizaciones de todo el mundo trabajan con proveedores para adquirir productos y servicios. Muchas organizaciones establecen
varias relaciones con proveedores para cubrir una variedad de necesidades comerciales, como operaciones o fabricación. Por el
contrario, los proveedores proporcionan productos y servicios a varios adquirentes.

Las relaciones entre adquirentes y proveedores establecidas con el propósito de adquirir una variedad de productos y servicios
pueden presentar riesgos de seguridad de la información tanto para los adquirentes como para los proveedores. Estos riesgos son
causados por el acceso mutuo a los activos de la otra parte, como la información y los sistemas de información, así como por la
diferencia en los objetivos comerciales y los enfoques de seguridad de la información. Estos riesgos deben ser gestionados tanto por
adquirentes como por proveedores.

ISO/CEI 27036-2:

a) especifica los requisitos fundamentales de seguridad de la información para definir, implementar, operar, monitorear, revisar,
mantener y mejorar las relaciones entre proveedores y adquirentes;

b) facilita la comprensión mutua del enfoque de la otra parte sobre la seguridad de la información y la tolerancia a los riesgos de
seguridad de la información;

c) refleja la complejidad de gestionar los riesgos que pueden tener impactos en la seguridad de la información en las relaciones entre
proveedores y adquirientes;

d) está destinado a ser utilizado por cualquier organización dispuesta a evaluar la seguridad de la información en el proveedor
o relaciones adquirentes;

e) no está destinado a fines de certificación;

f) está destinado a ser utilizado para establecer una serie de objetivos definidos de seguridad de la información aplicables a una
relación de proveedor y adquirente que es una base para fines de aseguramiento.

ISO/IEC 27036-1 proporciona una descripción general y conceptos asociados con la seguridad de la información en las relaciones
con los proveedores.

ISO/IEC 27036-3 proporciona pautas para el adquirente y el proveedor para gestionar los riesgos de seguridad de la información
específicos de la cadena de suministro de productos y servicios de TIC.

ISO/IEC 27036-4 (pendiente de publicación) brinda pautas para el adquirente y el proveedor para administrar los riesgos de seguridad
de la información específicos de los servicios en la nube.

NOTA El usuario de este documento debe interpretar correctamente cada una de las formas de expresión de las disposiciones (por ejemplo, "deberá", "no
deberá", "debería" y "no debería") como requisitos que deben cumplirse o recomendaciones donde es una cierta libertad de elección.

en
© ISO/IEC 2014 – Todos los derechos reservados
Machine Translated by Google
Machine Translated by Google

ESTÁNDAR INTERNACIONAL ISO/CEI 27036-2:2014(E)

Tecnología de la información — Técnicas de seguridad —

Seguridad de la información para las relaciones con los proveedores —

Parte 2:
Requisitos

1 Alcance
Esta parte de ISO/IEC 27036 especifica los requisitos fundamentales de seguridad de la información para definir, implementar, operar,
monitorear, revisar, mantener y mejorar las relaciones entre proveedores y adquirientes.

Estos requisitos cubren cualquier adquisición y suministro de productos y servicios, como la fabricación o el ensamblaje, la adquisición de
procesos comerciales, los componentes de software y hardware, la adquisición de procesos de conocimiento, la construcción, la operación
y la transferencia y los servicios de computación en la nube.

Estos requisitos están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño y
naturaleza.

Para cumplir con estos requisitos, una organización ya debe haber implementado internamente una serie de procesos fundamentales, o
estar planeando activamente hacerlo. Estos procesos incluyen, entre otros, los siguientes: gobernanza, gestión empresarial, gestión de
riesgos, gestión operativa y de recursos humanos y seguridad de la información.

2 Referencias normativas
Los siguientes documentos, en todo o en parte, están referenciados normativamente en este documento y son indispensables para su
aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del
documento de referencia (incluidas las modificaciones).

ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Visión general
y vocabulario.

ISO/IEC 27036-1, Tecnología de la información. Técnicas de seguridad. Seguridad de la información para las relaciones con los
proveedores. Parte 1: Descripción general y conceptos.

3Términos y definiciones

A los efectos de este documento, se aplican los términos y definiciones proporcionados en ISO/IEC 27000 e ISO/IEC 27036-1.

4 Símbolos y términos abreviados

Los siguientes símbolos (y términos abreviados) se utilizan en esta norma:

ÁSPID Proveedor de servicios de aplicaciones

BCP Plan de negocios continuo

administrador de bases de datos Administrador de base de datos

© ISO/IEC 2014 – Todos los derechos reservados 1

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

TIC Tecnología de la información y la comunicación

SGSI Sistema de gestión de seguridad de la información

AQUÍ La invitación a licitar

RFP Solicitud de propuesta

VoIP Voz sobre IP

5 Estructura de ISO/IEC 27036-2

La cláusula 6 define los requisitos de seguridad de la información fundamentales y de alto nivel aplicables a la gestión de varias relaciones con los
proveedores. Cualquiera de los procesos de la Cláusula 6 se puede aplicar a las relaciones con proveedores individuales en cualquier punto del
ciclo de vida de esa relación con el proveedor.

Estos requisitos están estructurados de acuerdo con los procesos del ciclo de vida especificados en ISO/IEC 15288.[1] Estos requisitos deben ser
aplicados por el adquirente y el proveedor para garantizar que estas organizaciones puedan gestionar los riesgos de seguridad de la información
resultantes de las relaciones con los proveedores.

NOTA La cláusula 6 solo hace referencia a los procesos del ciclo de vida de ISO/IEC 15288 que son relevantes para la seguridad de la
información en las relaciones con los proveedores.

La cláusula 7 define los requisitos fundamentales de seguridad de la información aplicables a un adquirente y un proveedor en el contexto de una
única instancia de relación con el proveedor.

Estos requisitos están estructurados según los siguientes procesos del ciclo de vida de la relación con el proveedor:

a) proceso de planificación de la relación con los proveedores;

b) proceso de selección de proveedores;

c) proceso de acuerdo de relación con proveedores;

d) proceso de gestión de relaciones con proveedores;

e) Proceso de terminación de la relación con el proveedor.

Los requisitos de la Cláusula 7 deben ser aplicados por el adquirente y el proveedor involucrado en una relación de proveedor para garantizar que
estas organizaciones puedan gestionar los riesgos de seguridad de la información relevantes.

La Figura 1 describe el alcance de los requisitos fundamentales de seguridad de la información en relación con los procesos definidos en las
Cláusulas 6 y 7:

2 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Alcance

6.1 Procesos de acuerdos

6.1.1 Proceso de 6.1.2 Proceso de suministro

adquisición

6.2 Procesos organizacionales de habilitación de proyectos

6.2.1 Proceso de gestión del 6.2.2 Infraestructura 6.2.3 Proceso de gestión de

modelo de ciclo de vida proceso de gestión la cartera de proyectos

6.2.4 Humano 6.2.5 Proceso de

recurso gestión de la
proceso de gestión calidad Requisitos fundamentales y
de alto nivel de seguridad de la
información para adquirentes y
6.3 Procesos del proyecto proveedores como esquema
organizativo comúnmente aplicable
6.3.1 Proceso de planificación 6.3.2 Proceso de 6.3.3 Decisión a instancias de relación con
del proyecto evaluación y control proceso de gestión proveedores.
de proyectos

6.3.4 Proceso 6.3.5 Proceso de gestión 6.3.6 Proceso de

de gestión de riesgos de la configuración gestión de la información

6.3.7 Medición
proceso

6.4 Procesos técnicos

6.4.1 Proceso de diseño

arquitectónico

7.1 Proceso de 7.2 Proceso de selección de 7.3 Proceso de Requisitos fundamentales de

planificación de relaciones proveedores acuerdo de
seguridad de la información para
con proveedores relación con proveedores
adquirentes y proveedores al
establecer y mantener una
7.4 Proceso de 7.5 Proceso de instancia de relación con el
gestión de terminación de proveedor.
relaciones con proveedores la relación con el proveedor

Figura 1—Alcance de los requisitos fundamentales de seguridad de la información definidos en las Cláusulas 6 y 7

© ISO/IEC 2014 – Todos los derechos reservados 3

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

El texto de las Cláusulas 6.1 a 6.4 y de las Cláusulas 7.1 a 7.5 está estructurado en tablas que deben interpretarse
como sigue:

Adquiriente

Texto específico del adquirente.

Proveedor

Texto específico del proveedor.

Adquiriente Proveedor Texto específico tanto para el adquirente como

para el proveedor, a menos que se indique explícitamente.

Texto específico del adquirente. Texto específico del proveedor.

Hay tres anexos informativos.

El Anexo A proporciona referencias cruzadas entre las cláusulas de ISO/IEC 15288 que son relevantes para las relaciones con los
proveedores y las cláusulas de ISO/IEC 27036-2.

El Anexo B proporciona referencias cruzadas entre las cláusulas de ISO/IEC 27036-2 y los controles de seguridad de la información
enumerados en ISO/IEC 27002[2] y que son relevantes para las relaciones con los proveedores.

El Anexo C proporciona listas de objetivos que se establecen en las Cláusulas 6 y 7 para el adquirente y el proveedor.

6 Seguridad de la información en la gestión de relaciones con proveedores

6.1 Procesos de acuerdos

Las organizaciones pueden entrar en una variedad de relaciones con los proveedores. Las relaciones adecuadas entre adquirentes
y proveedores se logran mediante acuerdos que definen las funciones y responsabilidades de seguridad de la información con
respecto a la relación con el proveedor.

Los siguientes procesos de acuerdos respaldan la adquisición o el suministro de un producto o servicio desde las perspectivas
estratégica y de seguridad de la información:

a) Proceso de adquisición;

b) Proceso de suministro.

6.1.1 Proceso de adquisición

6.1.1.1 Objetivo

El adquirente deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la información dentro del proceso de
adquisición:

Adquiriente

a) Establecer una estrategia de relación con los proveedores que:

1) Se basa en la tolerancia al riesgo de seguridad de la información del adquirente;

2) Define la base de seguridad de la información que se utilizará al planificar, preparar, administrar y

rescindir la adquisición de un producto o servicio.

4 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.1.1.2 Actividades

Las siguientes actividades mínimas serán ejecutadas por el adquirente para cumplir el objetivo definido en
Cláusula 6.1.1.1:

Adquiridor
a) Definir, implementar, mantener y mejorar una estrategia de relación con proveedores que contenga los siguientes
a:
1) Motivos, necesidades y expectativas de la gestión para la adquisición de productos o servicios;

NOTA Estas declaraciones deben expresarse desde las perspectivas comercial, operativa, legal y regulatoria.

2) Compromiso de la gerencia para asignar los recursos necesarios;

3) Un marco de gestión de riesgos de seguridad de la información para evaluar la seguridad de la información
riesgos de seguridad que acompañan a la adquisición de un producto o

servicio; NOTA La cláusula 6.3.4 define los requisitos de seguridad de la información para el establecimiento
de un marco de gestión de riesgos de seguridad de la información.
4) Un marco para usar al definir los requisitos de seguridad de la información durante el proveedor
proceso de planificación de

relaciones; Este marco se definirá siguiendo las pautas y reglas de seguridad de la información, tales como la
política de seguridad de la información y la clasificación de la información, establecidas por el adquirente.

Los requisitos de seguridad de la información definidos en este marco deben personalizarse para cada instancia
de relación con el proveedor, considerando el tipo y la naturaleza del producto o servicio que se adquiere.

Este marco también incluirá lo siguiente: i) Métodos para

que los proveedores proporcionen evidencia del cumplimiento de los requisitos de seguridad de la
información definidos; ii) métodos para que el adquiriente valide el cumplimiento de los proveedores
con los requisitos de seguridad de la información definidos; iii) Procesos para compartir información sobre
cambios, incidentes y

otros eventos relevantes entre el adquirente y los proveedores.

5) Un marco de criterios de selección de proveedores para usar al seleccionar un proveedor y que incluye
lo siguiente: i)
Métodos para evaluar la madurez en seguridad de la información requerida a un proveedor;
Se pueden solicitar los siguientes elementos al proveedor para evaluar su madurez en seguridad de la
información: 1. Desempeño anterior relevante para la seguridad; 2. Evidencia de una gestión proactiva
de la seguridad de la información (p. ej., poseer una certificación ISO/IEC 27001 relevante para el
suministro del producto o servicio); 3. Evidencia de planes de continuidad del negocio y continuidad de
las TIC documentados y probados. ii) Métodos que se utilizarán para evaluar las pruebas
proporcionadas por un proveedor en función de los requisitos de seguridad de la información definidos;
iii) Métodos para evaluar la aceptación del proveedor de lo siguiente:

1. Requisitos de seguridad de la información definidos en el plan de relación con proveedores; 2.

Compromiso de apoyar al adquirente en su control de cumplimiento y ejecución
actividades;

3. Transición del suministro del producto o servicio que pueda contratarse cuando haya sido previamente
fabricado u operado por el adquirente o por otro proveedor;

© ISO/IEC 2014 – Todos los derechos reservados 5

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

4. Terminación del suministro del producto o servicio.

iv) requisitos específicos del proveedor, que se definirán de acuerdo con las expectativas comerciales,
legales, reglamentarias, arquitectónicas, políticas y contractuales del adquirente, tales como: 1.
Fortaleza financiera del proveedor para poder suministrar el producto o servicio; 2. Ubicación del
proveedor y desde donde se suministrará el producto o servicio para reducir especialmente el riesgo de
incumplimientos legales y reglamentarios.
6) Requisitos de seguridad de la información de alto nivel para usar al definir lo siguiente:
i) Plan de transición para transferir un producto o servicio adquirido a un proveedor diferente; ii)
procedimiento de gestión de cambios de seguridad de la información; iii) Procedimiento de gestión de
incidentes de seguridad de la información; iv) Plan de seguimiento y fiscalización del cumplimiento; v)
Plan de rescisión para dar por terminada la contratación de un producto o servicio.

b) Designar a una persona responsable de manejar los aspectos de seguridad de la información de la estrategia de
relaciones con los proveedores y asegurarse de que esta persona reciba capacitación adecuada y regular. c)
Asegurar que la estrategia de relación con los proveedores sea revisada al menos una vez al año y cada vez que ocurran
cambios significativos en los negocios, legales, regulatorios, arquitectónicos, de políticas y contractuales.

NOTA La estrategia de relación con el proveedor también debe revisarse cuando se adquiere un producto o servicio
que puede afectar significativamente al adquirente.

6.1.2 Proceso de suministro

6.1.2.1 Objetivo

El proveedor deberá cumplir con el siguiente objetivo para gestionar con éxito la seguridad de la información dentro del
proceso de suministro:

Proveedor
a) Establecer una estrategia de relación con el adquirente que
1) Se basa en la tolerancia al riesgo de seguridad de la información del proveedor;
2) Define la base de seguridad de la información que se utilizará al planificar, preparar, administrar y
rescindir el suministro de un producto o servicio.

6.1.2.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por el proveedor para cumplir con el objetivo definido en la
Cláusula 6.1.2.1:

Proveedor
a) Definir, implementar, mantener y mejorar una estrategia de relación con el adquirente que contenga lo siguiente
a:
1) Motivos de gestión, necesidades y expectativas de suministro de productos o servicios;

NOTA Estas declaraciones deben expresarse desde una perspectiva comercial, operativa y legal.

2) Compromiso de la gerencia para asignar los recursos necesarios;

3) Un marco de gestión de riesgos de seguridad de la información para evaluar la seguridad de la información
riesgos de propiedad que acompañan al suministro de un producto o un

servicio; NOTA La cláusula 6.3.4 define los requisitos de seguridad de la información para el establecimiento
de un marco de gestión de riesgos de seguridad de la información.

6 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

4) Un marco de gestión de la seguridad de la información mediante:

i) Definir, implementar, mantener y mejorar una gestión de seguridad de la información

ment dentro de la organización; NOTA

Un establecimiento de SGSI basado en ISO/IEC 27001 puede servir para garantizar una gestión adecuada
de la seguridad de la información dentro de la organización y para demostrar su nivel a los adquirentes.

ii) Garantizar que los requisitos de seguridad de la información establecidos en la oferta del adquirente existente
se han identificado documentos y acuerdos de relación con proveedores para garantizar la conformidad de la
seguridad de la información del proveedor con estos requisitos;

Cualquier brecha se abordará para satisfacer los requisitos de seguridad de la información del adquirente de
los acuerdos de relación con proveedores existentes.

iii) Definir un proceso para aceptar, interpretar, aplicar y medir los requisitos de seguridad de la información del
adquirente.

5) Métodos para: i)

Demostrar la capacidad del proveedor para suministrar un producto o servicio de calidad aceptable; ii) Proporcionar

evidencia de cumplimiento de los requisitos de seguridad de la información definidos por

adquirentes

6) Requisitos de seguridad de la información de alto nivel para usar al definir lo siguiente:

i) Plan de transición para apoyar la transferencia de un producto o suministro de servicios cuando haya sido
fabricado u operado previamente por un adquirente o por otro proveedor;

ii) procedimiento de gestión de cambios de seguridad de la información;

iii) Procedimiento de gestión de incidentes de seguridad de la información;

iv) Procesos para compartir información sobre cambios, incidentes y

otros eventos relevantes entre el proveedor y los adquirentes; v)

Proceso para el manejo de acciones correctivas; vi) Plan de terminación para

terminar el suministro de un producto o servicio.

b) Designar a una persona responsable de manejar los aspectos de seguridad de la información de la estrategia de relación
con el adquirente y asegurarse de que esta persona reciba capacitación adecuada y regular. c) Asegurar que la estrategia

de relación con el adquirente se revise al menos una vez al año y cada vez que ocurran cambios comerciales, legales,
regulatorios, arquitectónicos, de políticas y contractuales significativos.

NOTA La estrategia de relación con el adquirente también debe revisarse cuando se establece una relación con el
proveedor que puede afectar significativamente al proveedor.

6.2 Procesos organizacionales de habilitación de proyectos

Los procesos organizacionales de habilitación de proyectos se ocupan de garantizar que se cumplan los recursos, como los
financieros, necesarios para permitir que el proyecto satisfaga las necesidades y expectativas de las partes interesadas de la
organización.

En particular, los siguientes procesos organizativos de habilitación de proyectos respaldan el establecimiento del entorno en el que
se llevan a cabo o planifican las relaciones con los proveedores:

a) Proceso de gestión del modelo de ciclo de vida;

b) Proceso de gestión de la infraestructura;

c) proceso de gestión de cartera de proyectos;

d) Proceso de gestión de recursos humanos;

e) Proceso de gestión de la calidad.

© ISO/IEC 2014 – Todos los derechos reservados 7

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.2.1 Proceso de gestión del modelo de ciclo de vida

Adquiriente Proveedor

a) El adquirente y el proveedor establecerán el proceso de gestión del modelo de ciclo de vida cuando man
envejecimiento de la seguridad de la información en las relaciones con los proveedores.

NOTA El propósito de este proceso es definir, mantener y asegurar la disponibilidad de políticas, procesos de ciclo
de vida, modelos de ciclo de vida y procedimientos para uso de la organización. No existen requisitos y
recomendaciones específicos de seguridad de la información que los adquirentes o proveedores deban considerar al
establecer internamente este proceso.

6.2.2 Proceso de gestión de la infraestructura

6.2.2.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de gestión de la infraestructura:

Adquiridor Proveedor

a) Proporcionar la infraestructura habilitadora para apoyar a la organización en la gestión de la seguridad de la información.

ridad dentro de las relaciones con los proveedores.

6.2.2.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con el
objetivo definido en la Cláusula 6.2.2.1:

Adquiriente Proveedor a) Definir, implementar, mantener y mejorar las

capacidades de infraestructura de seguridad física y lógica para proteger los activos del adquirente o proveedor, tales como
información y sistemas de información; y b) Definir, implementar, mantener y mejorar los arreglos de contingencia para
asegurar que la adquisición o el suministro de un producto o servicio pueda continuar en caso de interrupción causada por
causas naturales o antrópicas.

Estos arreglos deben basarse en evaluaciones de riesgos de seguridad de la información y planes de tratamiento
asociados resultantes de la adquisición o el suministro de un producto o servicio, e incluyen:

1) La provisión de instalaciones alternativas y seguras para que continúe el suministro del producto o servicio;
2) Custodia de información y tecnologías patentadas, como el código fuente de la aplicación y
claves criptográficas, utilizando un tercero de confianza;
3) Arreglos de recuperación para asegurar la disponibilidad continua de la información almacenada en el subcontrato
para locales; y

NOTA Estos arreglos solo deben considerarse cuando el proveedor proporciona servicios a un adquirente.

4) Alineación con las restricciones de continuidad del negocio expresadas por un adquirente o proveedor.

NOTA Las siguientes Normas Internacionales proporcionan requisitos y directrices sobre arreglos de contingencia:
1. ISO/IEC 27031[3]

2.ISO 22313[4]

3.ISO 22301[5]

8 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.2.3 Proceso de gestión de la cartera de proyectos

6.2.3.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de gestión de la cartera de proyectos:

Adquiridor Proveedor

a) Establecer un proceso para considerar la seguridad de la información y las implicaciones y dependencias generales de
la misión comercial para cada proyecto individual para aquellos proyectos en los que estén involucrados proveedores
o adquirentes.

6.2.3.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con el
objetivo definido en la Cláusula 6.2.3.1:

Adquiriente Proveedor

a) Definir, implementar, mantener y mejorar un proceso para identificar y categorizar proveedores o adquirentes con base en
la sensibilidad de la información compartida con ellos y en el nivel de acceso que se les otorga a los activos del adquirente
o proveedor, tales como información y sistemas de información; NOTA Un proveedor que tenga un acceso muy limitado

a los activos del adquirente, como la información y los sistemas de información, puede clasificarse como no crítico,
mientras que un proveedor que desarrolla software comercial crítico para el adquirente puede clasificarse como crítico.

b) Definir, implementar, mantener y mejorar un proceso

para garantizar que las consideraciones de seguridad
de la información se integren en la evaluación del
desempeño del proveedor como parte de cada proyecto
individual; y

c) Asegurar que el cierre del proyecto que involucre a un proveedor o adquirente integre las actividades de seguridad de
la información documentadas en un plan de terminación.

6.2.4 Proceso de gestión de recursos humanos

6.2.4.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de gestión de recursos humanos:

Adquiridor Proveedor

a) Asegurar que el adquirente y el proveedor cuenten con los recursos humanos necesarios que tengan
competencias mantenidas regularmente y consistentes con las necesidades de seguridad de la información en las relaciones
con los proveedores.

6.2.4.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con el
objetivo definido en la Cláusula 6.2.4.1:

Adquiriente Proveedor

a) Considerar lo siguiente en el programa de capacitación y concientización sobre seguridad de la información como parte del
proceso de gestión de recursos humanos:

© ISO/IEC 2014 – Todos los derechos reservados 9

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

1) Directrices y normas de seguridad de la información, como la política de seguridad de la información y la clasificación de la

información, en particular para el personal que se ocupa de las relaciones con los proveedores;

2) Requisitos de seguridad de la información

definido generalmente en un acuerdo de relación
con el proveedor, para demostrar la existencia de
dichos requisitos que satisfacen las necesidades y
expectativas del adquirente;

3) Desempeño pasado de los proveedores con respecto a su

nivel de conformidad con los requisitos de seguridad de
la información del adquirente, para demostrar la falta
potencial de cumplimiento.
ance

b) Identificar y evaluar al personal con respecto a su acceso y capacidad para divulgar o modificar
información dentro de una relación con un proveedor, como información confidencial o propiedad intelectual que no debe divulgarse
ni modificarse;

c) Asegurar que el personal identificado, especialmente el que se dedica a la seguridad de la información oa la decisión de la contratación
o suministro de un producto o servicio, cuente con las competencias y calificaciones adecuadas.

d) Capacitar a este personal en aspectos de seguridad de la información de las relaciones con los proveedores para
asegurarse de que el manejo de la información sensible se comprenda correctamente;

e) Asegurarse de que se hayan realizado controles penales y de antecedentes penales detallados para el personal asumido.
ocupar puestos clave en las relaciones con los proveedores, cuando lo permita la ley; y

f) Designar puntos de contacto y sus respaldos para los aspectos críticos de cada relación con el proveedor, incluidas las
operaciones y el mantenimiento, para garantizar un impacto mínimo cuando el personal deja la organización.

6.2.5 Proceso de gestión de la calidad

Adquiridor Proveedor

a) El adquirente y el proveedor establecerán un proceso de gestión de la calidad al gestionar

seguridad de la información en las relaciones con los proveedores.

NOTA El propósito de este proceso es asegurar que los productos y servicios cumplan con los objetivos de calidad de la
organización y logren la satisfacción del cliente. No existen requisitos y recomendaciones específicos de seguridad de la información
que los adquirentes y proveedores deban considerar al establecer internamente este proceso.

6.3 Procesos del proyecto

Los procesos de proyecto se ocupan de la gestión y el apoyo rigurosos del proyecto, cubriendo uno o más proveedores.

En particular, los siguientes procesos del proyecto respaldan el establecimiento del entorno en el que se llevan a cabo o planifican las
instancias de relación con los proveedores:

a) Proceso de planificación del proyecto;

b) Proceso de evaluación y control de proyectos;

c) proceso de gestión de decisiones;

d) Proceso de gestión de riesgos;

e) proceso de gestión de la configuración;

f) proceso de gestión de la información;

10 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

g) Proceso de medición.

6.3.1 Proceso de planificación del proyecto

6.3.1.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la información
dentro del proceso de planificación del proyecto:

Adquiriente Proveedor a) Establecer un proceso de planificación de proyectos

que aborde la seguridad de la información de las relaciones con los proveedores.

6.3.1.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con el objetivo
definido en la Cláusula 6.3.1.1:

Adquiridor Proveedor

a) Incluir lo siguiente como parte del proceso de planificación del proyecto:

1) Impactos en los costos del proyecto, planes y cronograma de los requisitos de seguridad de la información definidos para los
activos utilizados en la adquisición o suministro de un producto o servicio;

2) Integración de la seguridad de la información en las funciones, responsabilidades, responsabilidades y autoridades pertinentes

del proyecto;

3) Asegurar la información interna confidencial que puede verse afectada por las relaciones con los proveedores, como información
financiera, de propiedad intelectual, de clientes o del personal; y 4) Recursos, como los financieros, que se requieren para

garantizar la protección de los activos.

6.3.2 Proceso de evaluación y control de proyectos

Adquiriente Proveedor

a) El adquirente y el proveedor establecerán un proceso de evaluación y control del proyecto cuando el hombre
envejecimiento de la seguridad de la información en las relaciones con los proveedores.

NOTA: El propósito de este proceso es determinar el estado del proyecto y dirigir la ejecución del plan del proyecto para
garantizar que el proyecto se realice de acuerdo con los planes y cronogramas, dentro de los presupuestos proyectados, para
satisfacer los objetivos técnicos. No existen requisitos ni recomendaciones de seguridad de la información específicos que los
adquirentes o proveedores deban considerar al establecer internamente este proceso (adaptado de ISO/IEC 15288).

6.3.3 Proceso de gestión de decisiones

Adquiridor Proveedor

a) El adquirente y el proveedor establecerán un proceso de gestión de decisiones al gestionar

seguridad de la información en las relaciones con los proveedores.

NOTA: El propósito de este proceso es seleccionar el curso de acción del proyecto más beneficioso donde existen alternativas. No
existen requisitos y recomendaciones específicos de seguridad de la información que los adquirentes o proveedores deban
considerar al establecer internamente este proceso (adaptado de ISO/IEC 15288).

© ISO/IEC 2014 – Todos los derechos reservados 11

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.3.4 Proceso de gestión de riesgos

6.3.4.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de gestión de riesgos:

Adquiriente Proveedor a) Abordar continuamente los riesgos de seguridad

de la información en las relaciones con los proveedores y a lo largo de su ciclo de vida, lo que incluye volver a examinarlos
periódicamente o cuando se produzcan cambios comerciales, legales, reglamentarios, arquitectónicos, de políticas y
contractuales significativos.

6.3.4.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con el
objetivo definido en la Cláusula 6.3.4.1:

Adquiriente a) Definir, implementar, mantener y mejorar un marcoProveedor

de gestión

de riesgos de seguridad de la información que defina la tolerancia al riesgo de la organización y que pueda usarse para
identificar, evaluar y tratar los riesgos de seguridad de la información que acompañan: 1) Instancias existentes de
adquisición o suministro de producto o servicio; 2) Proveedores o adquirentes involucrados en estos casos; 3) La

adquisición o suministro de un producto o servicio.

NOTA: ISO/IEC 27005,[6] ISO 31000[7] e ISO/IEC 15288 brindan orientación sobre la gestión de riesgos
mento

Se debe tener cuidado para asegurar que este marco esté definido:

1) Seguir el negocio o la misión de la organización y considerar los requisitos legales, reglamentarios, arquitectónicos, de
política y contractuales aplicables a la organización.

2) Considerar la evaluación de los proveedores en 2) Considerando la evaluación de los adquirentes en

términos de: términos de:

i) Historia pasada, como anterior y i) Historia pasada, como anterior y

arreglos comerciales actuales e información arreglos comerciales actuales e información
sobre disputas; sobre disputas; ii) Acuerdos contractuales,

ii) Acuerdos contractuales, tales como acuerdos tales como acuerdos de relación con proveedores y
de relación con proveedores y acuerdos acuerdos de confidencialidad; iii) Implicaciones
de confidencialidad; iii) implicaciones de de seguridad de la información del suministro

seguridad de la información de la adquisición del del producto o servicio, incluyendo: 1. requisitos de

producto o servicio, incluidos los activos del seguridad de la información
adquirente manejados, la infraestructura
tecnológica subyacente, la dependencia
comercial y los subcontratistas utilizados;
mentos dados en el documento de
licitación o acuerdo de relación con el
proveedor;

12 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

iv) Capacidad del proveedor para demostrar 2. riesgos de seguridad de la información del
su madurez en seguridad de la información. proveedor que surgen del acceso del
adquirente a la información del proveedor
3) Considerar lo siguiente al definir el método para
en el caso, por ejemplo, el adquirente
evaluar a los proveedores: i) El tipo de evaluación
aplica un nivel de control en el proceso
a aplicar a los proveedores, como una de producción del proveedor con acceso
autoevaluación o una evaluación a la información sensible del proveedor.
independiente realizada por un tercero;

ii) El nivel de detalle de la evaluación

ment y su frecuencia de ejecución. b) Aplicar
este marco de gestión de riesgos de seguridad de la información:
1) Clasificar las instancias existentes de contratación o suministro de producto o servicio;
2) Clasificar a los proveedores o adquirentes involucrados en estos casos;
3) Cuando:

i) Definir la estrategia de relación proveedor o adquirente; ii) Planificación

para adquirir o suministrar un producto o servicio.
NOTA: En caso de que la organización posea una certificación ISO/IEC 27001[8] , se recomienda incluir los activos
resultantes de la adquisición o suministro de un producto o servicio en el inventario de activos del SGSI para garantizar una
evaluación y tratamiento continuos de los riesgos de seguridad de la información. .

6.3.5 Proceso de gestión de la configuración

Adquiridor Proveedor

a) En su caso, el adquirente y el proveedor establecerán un proceso de gestión de la configuración

en la gestión de la seguridad de la información en las relaciones con los proveedores.

NOTA 1: El propósito de este proceso es establecer y mantener la integridad de todos los resultados identificados
de un proyecto o proceso y ponerlos a disposición de las partes interesadas. No existen requisitos y recomendaciones
de seguridad de la información específicos a considerar por cada una de estas organizaciones al establecer
internamente este proceso (adaptado de ISO/IEC 15288).

NOTA 2: Al implementar el proceso de gestión de la configuración, se recomienda considerar la norma ISO/IEC 27002
que brinda orientación en la gestión de cambios y los procedimientos de control de cambios.

6.3.6 Proceso de gestión de la información

Adquiriente Proveedor

a) El adquirente y el proveedor deberán establecer un proceso de gestión de la información considerando la sensibilidad

de la información que se puede intercambiar durante las relaciones con el proveedor.

NOTA 1: El propósito de este proceso es proporcionar información relevante, oportuna, completa, válida y, si
se requiere, confidencial a las partes designadas. No existen requisitos y recomendaciones de seguridad de la
información específicos a considerar por cada una de estas organizaciones al establecer internamente este proceso
(adaptado de ISO/IEC 15288).

NOTA 2: Establecer un SGSI basado en ISO/IEC 27001 puede servir como base para aplicar una adecuada
seguridad de la información de los intercambios de información, en particular en caso de cambios en la seguridad
de la información e incidentes que ocurran durante las relaciones con los proveedores.

© ISO/IEC 2014 – Todos los derechos reservados 13

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.3.7 Proceso de medición

6.3.7.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de medición:

Adquiriente Proveedor
a) Recopilar, analizar e informar medidas de seguridad de la información relacionadas con la adquisición o el suministro
de un producto o servicio para demostrar la madurez de la seguridad de la información en las relaciones con los
proveedores y para respaldar la gestión eficaz de los procesos.

6.3.7.2 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con
el objetivo definido en la Cláusula 6.3.7.1:

Adquiriente Proveedor
a) Definir, implementar, mantener y mejorar un marco de medición de la seguridad de la información que
puede utilizarse para evaluar la adquisición o el suministro de un producto o servicio.

NOTA: ISO/IEC 27004[9] proporciona orientación sobre la medición de la seguridad de la información que se puede
aplicar para desarrollar e implementar medidas específicas relacionadas con la seguridad de la información en las relaciones
con los proveedores.

Se debe tener cuidado para garantizar que este marco se defina siguiendo el negocio o la misión de la organización
y considerando los requisitos legales, reglamentarios, arquitectónicos, de políticas y contractuales aplicables a la
organización.
b) Aplicar este marco de medición de la seguridad de la información al preparar una instancia de relación con el proveedor
para acordar con la otra parte qué se medirá, cómo se informarán las medidas, la frecuencia de los informes y las
acciones que se emprenderán si las medidas no cumplen. cumplir con los criterios especificados.

6.4 Procesos técnicos

Los procesos técnicos generalmente son utilizados por un proveedor para los siguientes propósitos:

a) Definir requisitos para un producto o servicio;

b) Transformar estos requisitos en un producto o servicio efectivo;

c) Sostener la prestación del producto o servicio adquirido o suministrado;

d) Permitir la reproducción consistente y de calidad del producto o servicio adquirido o suministrado cuando
necesario; y

e) Disponer del producto o servicio cuando se haya decidido retirarlo.

NOTA ISO/IEC 27036-3 proporciona orientación sobre otros procesos técnicos además del definido aquí.

14 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.4.1 Proceso de diseño arquitectónico

6.4.1.1 Objetivo

Cada una de las siguientes organizaciones debe cumplir el siguiente objetivo para gestionar con éxito la seguridad de la
información dentro del proceso de diseño arquitectónico:

Adquiridor Proveedor
a) Establecer un marco técnico para la adquisición sostenida de productos o servicios que satisfagan
propósito de las relaciones con los proveedores.

6.4.1.2 Actividad

La siguiente actividad mínima deberá ser ejecutada por cada una de las siguientes organizaciones para cumplir con el
objetivo definido en la Cláusula 6.4.1.1:

Adquiridor Proveedor
a) Establecer un proceso para definir, implementar, mantener y mejorar los requisitos del producto o servicio que
puede adquirir o suministrar para facilitar su selección y migración.

7 Seguridad de la información en una instancia de relación con proveedores

7.1 Proceso de planificación de relaciones con proveedores

7.1.1 Objetivo

El adquirente deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la información dentro del proceso
de planificación de la relación con el proveedor:

Adquiridor
a) Establecer un plan de relación con proveedores que documente la decisión adoptada por la dirección de iniciar la
contratación de un producto o servicio, así como las consideraciones de seguridad de la información relacionadas
con esta contratación.

7.1.2 Entradas

El adquirente deberá considerar las siguientes entradas mínimas al ejecutar actividades de seguridad de la información
relacionadas con el proceso de planificación de relaciones con proveedores:

Adquiridor
a) estrategia de relación con proveedores;
b) Motivos de gestión, necesidades y expectativas derivadas de la adquisición del producto o servicio; c) Alcance
previsto del producto o servicio que se prevé adquirir.
Si corresponde:
d) Documentación existente de gestión de relaciones con proveedores, como planes de relaciones con proveedores.
y acuerdos.

© ISO/IEC 2014 – Todos los derechos reservados 15

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

7.1.3 Actividades

Las siguientes actividades mínimas serán ejecutadas por el adquirente para cumplir el objetivo definido en
Cláusula 7.1.1:

Adquiridor

a) Identificar y evaluar los riesgos de seguridad de la información que acompañan a la adquisición potencial del producto o
servicio con base en el marco de gestión de riesgos de seguridad de la información que se ha definido en la estrategia de
relación con proveedores; El adquirente deberá garantizar que esta evaluación de riesgos de seguridad de la información:

1) Es proporcional a la criticidad del producto o servicio que se planea adquirir; 2) Cubre las restricciones legales y

reglamentarias que afectan el producto o servicio que se planea adquirir para garantizar que se hayan obtenido los

permisos y licencias formales antes de iniciar la relación con el proveedor.

Se debe tener cuidado para considerar los posibles impactos en la seguridad de la información del producto o
servicio que se adquirirá con respecto a los riesgos de seguridad de la información asociados con las relaciones
existentes con los proveedores, particularmente si existe una alta dependencia de los proveedores.

b) Identificar el nivel aceptable de riesgos aplicados a la relación con el potencial proveedor; c) Identificar y

evaluar opciones para el tratamiento de los riesgos identificados y evaluados; d) Definir e implementar un plan

de tratamiento de riesgos de seguridad de la información para los

riesgos a ser mitigados al nivel aceptable de riesgo;

e) Asesorar al negocio del plan de evaluación y tratamiento de riesgos de seguridad de la información como insumo para
las negociaciones del acuerdo de relación con los proveedores;

NOTA: Esta adquisición no debe tener lugar cuando los riesgos de seguridad de la información identificados no pueden
reducirse al nivel aceptable de riesgos.

f) Definir un plan de relación con proveedores del producto o servicio que se prevé adquirir y que siga la estrategia de relación
con proveedores.

En particular, el plan de relación con proveedores deberá contener lo siguiente: 1)

Especificaciones del producto o servicio que se prevé contratar, en particular su alcance, audi
encia, tipo y naturaleza;

2) Activos, tales como servidores, bases de datos, aplicaciones, infraestructura de red, que tengan relevancia para la
seguridad de la información en el uso del producto o servicio, y sus propietarios asociados;

3) Entradas de clasificación de información del adquirente a la clasificación de información del proveedor y otros controles
de seguridad de la información;

4) Requisitos legales y regulatorios de la jurisdicción del adquirente, y áreas de leyes y

normas vinculantes para el potencial proveedor que deben ser revisadas durante el proceso de selección de
proveedores, a saber: i) Control de exportaciones; ii) legislación de protección de datos personales y leyes laborales;

iii) propiedad intelectual de terceros; y iv) Otros requisitos legales y reglamentarios, como leyes fiscales, responsabilidad

por productos defectuosos, investigación

poderes conservadores.

Si se requieren autorizaciones o licencias de autoridades internas o externas para el cumplimiento legal y

reglamentario, estas deberán obtenerse antes de celebrar cualquier acuerdo de relación de proveedores con el
proveedor.

5) Roles y responsabilidades de seguridad de la información asignados dentro de la organización del adquirente y

específicos del producto o servicio que se puede adquirir;

dieciséis
© ISO/IEC 2014 – Todos los derechos reservados
Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6) Información del adquirente que puede ser compartida con proveedores potenciales del producto o servicio que
se puede adquirir; NOTA: La información del adquirente debe tener un propietario designado, responsable
de su difusión y de garantizar que las reglas de manejo relacionadas se apliquen correctamente.

7) Requisitos mínimos de seguridad de la información que se acordarán con el proveedor seleccionado

para la adquisición del producto o servicio.
Estos requisitos deben derivarse directamente del plan de evaluación y tratamiento de riesgos de seguridad
de la información y del marco de requisitos de seguridad de la información definido en la estrategia de relación
con el proveedor.
Estos requisitos también deberán definirse considerando la criticidad del producto o servicio que se pueda
contratar y lo siguiente: i) Clasificación de la información realizada por el adquirente; ii) Los requisitos de
seguridad de la información definidos en los planes de relación con proveedores existentes y

acuerdos.
Todos los requisitos definidos se clasificarán con "DEBERÁN" para diferenciarlos de las recomendaciones.

7.1.4 Salidas

El adquiriente debe producir los siguientes resultados mínimos al ejecutar actividades de seguridad de la información
relacionadas con el proceso de planificación de relaciones con proveedores:

Adquiridor
a) Plan de evaluación y tratamiento de riesgos de seguridad de la información asociados al producto o servicio que se
contrate;
b) Decisión de gestión documentada que indique la aprobación del plan de evaluación y tratamiento de riesgos de
seguridad de la información y que se puede iniciar la adquisición del producto o servicio; La decisión de no adquirir
un producto o servicio también deberá documentarse con las razones de seguridad de la información que la hayan
motivado.
c) Plan de relación con proveedores.

7.2 Proceso de selección de proveedores

7.2.1 Objetivos

Cada una de las siguientes organizaciones deberá cumplir los siguientes objetivos para gestionar con éxito la seguridad
de la información dentro del proceso de selección de proveedores:

Adquiriente Proveedor
a) Seleccionar un proveedor que brinde la seguridad de a) Responder al documento de licitación del adquirente
información adecuada para el producto o servicio que considerando los riesgos de seguridad de la
se pretende adquirir. información asociados con el producto o servicio a
suministrar y los requisitos de seguridad de la
información definidos en el documento de licitación
del adquirente (por ejemplo, ITT, RFP).

© ISO/IEC 2014 – Todos los derechos reservados 17

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

7.2.2 Entradas

Los siguientes insumos mínimos deberán ser considerados por cada una de las siguientes organizaciones al ejecutar actividades de
seguridad de la información relacionadas con el proceso de selección de proveedores:

Adquiridor Proveedor

a) estrategia de relación con proveedores; b) a) Estrategia de relación con el adquirente; b)

Plan de relación con proveedores. Acuerdo de confidencialidad del adquirente; c)

Si corresponde: Documento de oferta del adquirente.

c) Criterios de selección de proveedores existentes definidos para

otros productos o servicios adquiridos;

d) Acuerdos de confidencialidad existentes definidos para otros

productos o servicios adquiridos.

7.2.3 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con los
objetivos definidos en la Cláusula 7.2.1:

Adquiridor Proveedor

a) Definir e implementar criterios de selección de proveedores a) Revisar el acuerdo de confidencialidad para

con base en el plan de relación con proveedores que garantizar que protege los activos del proveedor, como
contiene las especificaciones del producto o servicio que la información y los sistemas de información, transmitidos
se puede contratar y en el marco de criterios de selección durante el proceso de selección de proveedores; NOTA 1:
de proveedores definido en la estrategia de relación con
En ausencia de un acuerdo de confidencialidad propuesto
proveedores;
por el adquirente, el proveedor debe presentar su propio
Los criterios de selección de proveedores cubrirán lo acuerdo de confidencialidad al adquirente antes de
siguiente: cualquier otro intercambio de activos que pueda afectar el
producto o servicio que se puede suministrar.
1) Aceptación por parte del proveedor de los requisitos de
seguridad de la información definidos en el pliego de
condiciones; NOTA 2: Los acuerdos de confidencialidad existentes
deben utilizarse como soporte para la elaboración del
2) Madurez del proveedor en seguridad de la información
acuerdo de confidencialidad del producto o servicio que se
ridad;
vaya a suministrar. b) Aceptar y firmar el acuerdo de
Esta madurez se puede definir solicitando al
confidencialidad del adquirente; c) Recibir el documento de oferta
proveedor que posea una certificación ISO/IEC 27001
del adquirente; d) Validar que el desarrollo y suministro del
o que proporcione documentación de seguridad de la
información, como planes de continuidad del negocio producto o servicio se ajuste a estándares comerciales y técnicos
documentados y probados para garantizar su
comúnmente aceptados, y buenas prácticas;
capacidad para respaldar activaciones simultáneas
por parte de adquirentes de planes de recuperación y
gestión de incidentes.

3) Términos bajo los cuales el proveedor permite ser e) Identificar y evaluar la seguridad de la información
auditado por el adquirente o por un tercero los riesgos que acompañan al suministro potencial del
autorizado para verificar el cumplimiento de los producto o servicio con base en el marco de gestión de
requisitos de seguridad de la información definidos; riesgos de seguridad de la información definido en la
estrategia de relación con el adquirente;

18 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

4) Aceptación transitoria cuando el producto o servicio El proveedor debe tener cuidado para garantizar
a contratar haya sido previamente explotado o que el suministro potencial de un producto o servicio
fabricado por el adquirente o por otro proveedor; tampoco aumente los riesgos de seguridad de la
información relacionados con las actividades comerciales
existentes y las relaciones con los proveedores. f)
Identificar el nivel de riesgo aceptable para el suministro del
producto o servicio;
5) Aceptación de terminación para mantener g) Identificar y evaluar opciones para el tratamiento de
seguridad de la información en caso de los riesgos identificados y evaluados;
terminación del contrato de relación con proveedores;
6) Gestión de la capacidad del proveedor para h) Definir e implementar un sistema de seguridad de la información.
suministrar el producto o servicio que se contrate, plan de tratamiento de riesgos de propiedad para los
riesgos identificados y evaluados que han sido
seleccionados para ser mitigados al nivel de riesgo

aceptable; NOTA: Este suministro no debe realizarse

cuando los riesgos de seguridad de la información
identificados no puedan reducirse al nivel aceptable.

7) Fortaleza financiera del proveedor que pueda i) Revisar los requisitos de seguridad de la información
suministrar el producto o servicio; y mentos definidos en el pliego de condiciones para:

8) La ubicación del proveedor y de 1) Asegurar la conformidad con estos requisitos;

que se suministrará el producto o servicio.

Se debe tener especial cuidado para identificar 2) Determinar si será necesario implementar
esta ubicación con el fin de: controles adicionales de seguridad de la
información para abordarlos.

Los recursos necesarios, como los

financieros, para implementar estos
es necesario evaluar los controles para
garantizar que el proveedor esté dispuesto a
responder al documento de licitación.

i) Identificar cualquier riesgo legal y regulatorio j) Revisar los términos en que se realizarán auditorías por
potencial causado por la diferencia en las parte del adquirente o de un tercero autorizado para
leyes y regulaciones entre el adquirente y el verificar el cumplimiento de los requisitos de seguridad
proveedor; NOTA: Las investigaciones de la información definidos por el adquirente;

relacionadas con la legislación extranjera

deben realizarse en el caso de contratación
transjurisdiccional. ii) Garantizar que las
normas legales y reglamentarias
k) Decidir responder o no al pliego de condiciones con base
las obligaciones que se aplican al proveedor en lo siguiente:
no pueden afectar negativamente el acuerdo
de relación con el proveedor en términos de
seguridad de la información; y
iii) Evaluar las amenazas ambientales, como 1) Riesgo de seguridad de la información del proveedor
las tasas de criminalidad local o los evaluación y plan de tratamiento relacionado
problemas geopolíticos, y sus impactos con la oferta potencial del producto o servicio;
potenciales.

© ISO/IEC 2014 – Todos los derechos reservados 19

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

NOTA: Los criterios de selección de proveedores 2) La brecha a ser abordada para satisfacer
existentes definidos para otros productos o servicios los requisitos de seguridad de la información del
adquiridos también se pueden utilizar al definir e adquirente definidos en el documento de licitación.
implementar los criterios de selección de proveedores del
producto o servicio que se puede suministrar. b) Preparar

un acuerdo de confidencialidad para ser l) Asignar a una persona responsable de integrar el

firmado por el potencial para proteger los activos del lenguaje de seguridad de la información apropiado
adquirente, como la información y los sistemas de que aborde los requisitos y criterios de seguridad de la
información, transmitidos durante el proceso de información en el documento de respuesta.
selección de proveedores; NOTA 1: Si corresponde,

este acuerdo de confidencialidad debe ser firmado por

el adquirente y el proveedor potencial antes de cualquier
intercambio de información que se relacione con el
producto o servicio que se pueda adquirir.

NOTA 2: Los acuerdos de confidencialidad existentes

deben utilizarse como soporte para la elaboración del
acuerdo de confidencialidad del producto o servicio que
se vaya a adquirir. c) Preparar y proporcionar un

documento de licitación, como una ITT o una RFP, al proveedor

potencial; El pliego de condiciones se elaborará sobre la

base del plan de relación con el proveedor y contendrá la

información suficiente para que el proveedor pueda
preparar su propuesta con fundamento.

En particular, el documento de licitación deberá contener

lo siguiente: 1) Especificaciones (p. ej., alcance,

audiencia, tipo y naturaleza) del producto o servicio a

contratar; 2) Requisitos de seguridad de la
información que el proveedor deberá seguir

mientras suministre el producto o servicio; 3) Niveles de

servicio o indicadores clave de desempeño a seguir
durante el suministro del producto o servicio; y

4) Potenciales sanciones que pueden imponerse

por el adquirente en caso de incumplimiento de los
requisitos de seguridad de la información.

NOTA: En la medida de lo posible, el pliego de

condiciones sólo debe contener información pública o
desclasificada. Dicho documento solo debe contener la
información necesaria para permitir que el proveedor
responda de manera razonada.
La información altamente sensible nunca debe
incluirse en un documento de licitación bajo ninguna
circunstancia.

20 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

d) Recoger los documentos de respuesta que hayan

sido transmitidos por proveedores potenciales en
respuesta al documento de licitación y evaluarlos en base a
criterios de selección de proveedores; y NOTA: Para la

adquisición de servicios no personalizados (por ejemplo,

servicios ASP), el adquirente debe validar que la gestión de
la seguridad de la información, los controles, la implementación
y los niveles de servicio proporcionados por el proveedor
cumplen con los criterios de selección del proveedor. e)
Seleccionar un proveedor basado en la evaluación de estos

documentos de respuesta.

NOTA: Los adquirentes deben preferir un proveedor que

brinde una mayor transparencia a lo largo de la cadena de
suministro del producto o servicio y garantías de que se
cumplirán los requisitos de seguridad de la información del
adquirente definidos en el documento de licitación.

7.2.4 Salidas

Cada una de las siguientes organizaciones debe producir los siguientes resultados mínimos al ejecutar actividades de seguridad de la
información relacionadas con el proceso de selección de proveedores:

Adquiriente Proveedor

a) Criterios de selección de proveedores; a) En su caso, contrato de confidencialidad del adquirente

firmado; b) Evaluación de riesgos de seguridad de la

b) Acuerdo de confidencialidad; información y

plan de tratamiento asociado al producto o servicio que se
pueda suministrar; c) Escrito de respuesta al pliego de

c) Documento de licitación; condiciones del adquirente.

d) Resultados de la evaluación de los documentos de respuesta;

e) Selección por parte del adquirente del proveedor potencial que

haya cumplido con los criterios de selección de proveedores.

7.3 Proceso de acuerdo de relación con proveedores

7.3.1 Objetivo

Cada una de las siguientes organizaciones deberá cumplir el siguiente objetivo para gestionar con éxito la seguridad de la información
dentro del proceso de acuerdo de relación con el proveedor:

Adquiridor Proveedor

a) Establecer y acordar un contrato de relación de proveedores que aborde lo siguiente:

1) Roles y responsabilidades de seguridad de la información del adquirente y el proveedor;

2) Proceso de transición cuando el producto o servicio ha sido previamente operado o fabricado por un tercero diferente al
proveedor;

3) Gestión de cambios de seguridad de la información;

4) Gestión de incidentes de seguridad de la información;

© ISO/IEC 2014 – Todos los derechos reservados 21

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

5) Vigilancia y aplicación del cumplimiento; 6) Proceso

de terminación.

7.3.2 Entradas

Cada una de las siguientes organizaciones deberá considerar los siguientes insumos mínimos al ejecutar actividades de
seguridad de la información relacionadas con el proceso de acuerdo de relación con el proveedor:

Adquiridor Proveedor
a) estrategia de relación con proveedores; a) Estrategia de relación con el adquirente.
b) Documento de oferta del adquirente; c)
Documento de respuesta del proveedor.

7.3.3 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con
el objetivo definido en la Cláusula 7.3.1:

Adquiridor Proveedor

a) Definir con la otra parte el acuerdo de relación con el proveedor específico para el suministro previsto del producto
o servicio;

Este contrato deberá: 1) ser

conforme al documento de oferta del adquirente y al documento de respuesta del proveedor; Es decir, dicho contrato

deberá contener en particular lo siguiente: i) Los requisitos de seguridad de la información que deberá cumplir el

proveedor; ii) Los niveles de servicio o indicadores clave de desempeño a seguir durante la entrega del producto o

servicio.

NOTA: El contenido del acuerdo de relación con el proveedor puede derivarse del documento de licitación o del documento de respuesta, en
el caso de servicios no personalizables (por ejemplo, servicio ASP).

2) Abordar las funciones y responsabilidades de seguridad de la información tanto del adquirente como del proveedor dentro del alcance del suministro
del producto o servicio; NOTA: Deben asignarse roles y responsabilidades definidos a personas competentes dentro del adquiriente o proveedor

que estén capacitadas correcta y regularmente en seguridad de la información.

3) Abordar los aspectos de seguridad de la información de los arreglos de subcontratación del proveedor que impactan el
suministro de productos o servicios;

4) Atender la transición del suministro del producto o servicio cuando haya sido previamente fabricado u operado por el adquirente o por otro
proveedor para asegurar su continuidad; Se debe definir un plan de transición especificando los requisitos de seguridad de la información

que deben seguir tanto el adquirente como el proveedor durante la transición del suministro del producto o servicio.

La definición de este plan se ajustará a los requisitos de seguridad de la información de alto nivel asociados definidos en las estrategias
de relación con el adquirente y el proveedor.

El plan de transición deberá ser acordado tanto por el adquirente como por el proveedor, y documentado en el acuerdo de relación con el
proveedor.

5) Atender el manejo de cambios e incidentes, brechas u otros eventos que puedan impactar la seguridad de la información del adquirente y del
proveedor, y que estén dentro del alcance del suministro del producto o servicio;

En particular: i)

Se debe definir un procedimiento de gestión de cambios de seguridad de la información, acordado tanto por el adquirente como por el
proveedor, y documentado en el acuerdo de relación con el proveedor para asegurar que los cambios requeridos que afectan la
seguridad de la información sean aprobados oportunamente por el adquirente y aplicados por el proveedor;

22 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

ii) Se debe definir un procedimiento de gestión de incidentes de seguridad de la información, acordado por el adquirente y el
proveedor, y documentado en el acuerdo de relación con el proveedor para asegurar que los incidentes de seguridad de la
información que surjan durante el suministro del producto o servicio se identifiquen, se informen e investiguen de inmediato,
considerando consideraciones y requisitos legales, reglamentarios y contractuales.

NOTA: ISO/IEC 27035[10] proporciona orientación sobre la gestión de incidentes de seguridad de la información.

La definición de ambos procedimientos se ajustará a los requisitos de seguridad de la información de alto nivel
asociados definidos en las estrategias de relación con el adquirente y el proveedor.

6) Indique cómo:

1) El adquirente controlará y hará cumplir el cumplimiento del proveedor con respecto a los requisitos de seguridad de la
información definidos; y

2) El proveedor se comprometerá con los requisitos de cumplimiento.

En particular, los siguientes elementos deben ser definidos e implementados por cada una de las siguientes organizaciones, y
documentados en el acuerdo de relación con el proveedor: i) Por parte del adquirente: 1. Un plan específico para el control del

cumplimiento y la ejecución que cumpla con los altos estándares asociados. nivel de requisitos de seguridad de la

información definidos en la estrategia de relación con proveedores y que describe: a. Los tipos de actividades de
monitoreo, tales como análisis y auditoría de riesgos de seguridad de la información, su frecuencia de ejecución y
cómo se informarán sus resultados; y B. La gestión y seguimiento de las acciones correctivas iniciadas por el

proveedor. ii) Del lado del proveedor: 1. Un proceso para identificar, iniciar, gestionar, registrar, informar y cerrar las
acciones correctivas resultantes de los resultados de las actividades de supervisión y ejecución del adquirente.

Este proceso deberá cumplir con los requisitos de seguridad de la información de alto nivel asociados definidos en
la estrategia de relación con el adquirente.

7) Abordar la titularidad de la propiedad intelectual del producto o servicio que pueda ser suministrado y los activos asociados que serán
creados tanto por el adquirente como por el proveedor;

8) Condiciones de dirección bajo las cuales el adquirente o proveedor tiene derecho a rescindir este acuerdo
durante su período de ejecución, tales como la incapacidad del proveedor para cumplir con los requisitos de seguridad de la
información definidos en el contrato de relación con el proveedor;

9) Abordar las sanciones impuestas al adquirente o proveedor en caso de incumplimiento de los requisitos de seguridad de la información
definidos en el contrato de relación con el proveedor; y

10) Definir las obligaciones de seguridad de la información y los requisitos de continuidad del servicio con respecto al proveedor
ejecución de terminación de relación; Se

debe definir un plan de terminación, acordado por el adquirente y el proveedor y documentado en el acuerdo de relación con el
proveedor.

La definición del plan de terminación se ajustará a los requisitos de seguridad de la información de alto nivel asociados
definidos en las estrategias de relación con el adquirente y el proveedor.

En particular, el plan de terminación deberá cubrir lo siguiente: i) Definición

de los requisitos de seguridad de la información que deben seguir tanto el adquirente como el proveedor si
se ha decidido transferir el suministro del producto o servicio del proveedor al adquirente oa otro proveedor;

ii) Identificación de los activos (por ejemplo, información y sistemas de información del adquirente, información y sistemas de
información del proveedor, registros) que se utilizan dentro del suministro del producto o servicio para seleccionar aquellos
que serán:

1. Devuelto al adquirente o enviado a otro proveedor; 2. Devuelto al proveedor;

3. Destruido o retenido por el adquirente o proveedor.

iii) Mecanismos de transmisión a aplicar a los bienes que hayan sido identificados para ser devueltos al adquirente o reenviados
a otro proveedor, o devueltos al proveedor;

© ISO/IEC 2014 – Todos los derechos reservados 23

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

iv) Mecanismos de destrucción a aplicar a los bienes que se hayan identificado para ser destruidos;

NOTA: La destrucción puede requerirse en los plazos acordados tanto por el adquirente como por el proveedor o establecidos
por legislación o regulación. Puede hacerse cumplir mediante los mecanismos de protección de seguridad definidos y acordados
tanto por el adquirente como por el proveedor y que se aplican a los activos retenidos. El adquirente y el proveedor también
pueden definir y acordar un acuerdo de confidencialidad específico para garantizar la protección de los activos retenidos después
de la terminación de la relación con el proveedor.

v) Capacidades de aseguramiento que demuestren que se ha producido la destrucción de los activos seleccionados.
La garantía debe estar respaldada por un certificado de destrucción;

NOTA: Tanto el adquirente como el proveedor también pueden exigir una verificación independiente de que los activos se hayan
destruido correctamente.

vi) Un período de entrega con capacitación asociada que se aplicará en caso de que se tome la decisión de transferir el suministro
del producto o servicio al adquirente o enviarlo a otro proveedor;

vii) Compromiso de no divulgar información sensible durante un período de tiempo posterior a la terminación de
el contrato de relación con el proveedor;

viii) El plazo de ejecución del procedimiento de terminación.

NOTA: En las negociaciones del acuerdo de relación con el proveedor deben participar varias áreas comerciales diferentes que representan
actividades comerciales, técnicas y de adquisiciones, debido a los impactos relacionados con la seguridad en todas las organizaciones. Su
participación debe garantizar que este acuerdo considere los intereses de un número máximo de unidades organizacionales afectadas por el
producto o servicio suministrado y sea más integral en términos de abordar los riesgos y preocupaciones de seguridad de la información.

b) Aprobar con la otra parte el contrato de relación proveedor definido.

7.3.4 Salidas

Cada una de las siguientes organizaciones debe producir los siguientes resultados mínimos al ejecutar actividades de
seguridad de la información relacionadas con el proceso de acuerdo de relación con el proveedor:

Adquiridor Proveedor
a) Contrato de relación con proveedores firmado;
NOTA: El acuerdo de relación con el proveedor firmado debe almacenarse de tal manera que se proteja su
trazabilidad e integridad, así como su disponibilidad y confidencialidad. b) procedimiento de gestión de
cambios de seguridad de la información; c) Procedimiento de gestión de incidentes de seguridad de la información;
d) Plan de terminación.

En su caso:
e) Plan de transición.
NOTA: También deben establecerse métodos comunes de intercambio de información (p. ej., conectividad de
red, mensajes y formatos de archivos, versiones de software, estándares criptográficos) para permitir las
comunicaciones entre el adquirente y el proveedor con la confidencialidad, integridad y disponibilidad adecuadas.
f) El plan y los procedimientos de seguimiento y aplicación del
f) Aceptación
cumplimiento
del del
planadquirente.
de control y fiscalización del
cumplimiento;
g) Proceso de manejo de acciones correctivas.

7.4 Proceso de gestión de relaciones con proveedores

7.4.1 Objetivos

Cada una de las siguientes organizaciones deberá cumplir los siguientes objetivos para gestionar con éxito la seguridad
de la información dentro del proceso de gestión de relaciones con los proveedores:

24 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Adquiriente Proveedor

a) Mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor de acuerdo con el
contrato de relación con el proveedor y considerando particularmente lo siguiente:

1) Transición del suministro del producto o servicio 1) Apoyar al adquirente en la transición cuando haya
sido previamente operado o fabricado por el adquirente o por un proveedor
del suministro
diferente;
del producto o servicio cuando haya
sido previamente explotado o fabricado por el
adquirente o por un proveedor diferente;

2) Capacitar al personal afectado por los requisitos de seguridad de la información definidos en el proveedor
acuerdo de relación;

3) Gestionar cambios e incidentes que puedan tener impactos en la seguridad de la información del producto o
suministro de servicios;

4) Vigilar y hacer cumplir el cumplimiento de las 4) Apoyar al adquirente en las actividades de control y
proveedor con disposiciones de seguridad de la aplicación del cumplimiento.
información definidas en el acuerdo de relación con
el proveedor.

7.4.2 Entradas

Los productos enumerados en la Cláusula 7.3.4 deben ser considerados por el adquirente y el proveedor como insumos mínimos al
ejecutar actividades de seguridad de la información relacionadas con el proceso de gestión de relaciones con proveedores.

También se recomienda que cada una de las siguientes organizaciones considere los siguientes aportes:

Adquiriente Proveedor

a) Decisión sobre quién realizará la a) Resultados previos de monitoreo de cumplimiento

actividades de supervisión y aplicación del cumplimiento por y hacer cumplir las actividades realizadas por los
parte del proveedor; b) Los resultados anteriores de las adquirentes de los productos o servicios suministrados.

actividades de seguimiento y aplicación del cumplimiento de los

proveedores y las tendencias a lo largo del tiempo.

7.4.3 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con los
objetivos definidos en la Cláusula 7.4.1:

Adquiridor Proveedor

a) Asegurarse de que la otra parte haya recibido el contrato de relación con el proveedor y comprenda completamente los
aspectos de seguridad de la información contenidos en el mismo; b) Operar la transición del producto o servicio de

acuerdo con el plan de transición acordado y

notificar a la otra parte de manera oportuna en caso de que ocurran eventos inesperados durante esta actividad;

c) Gestionar los cambios e incidentes de seguridad de la información de acuerdo con los procedimientos acordados; d) Capacitar

periódicamente al personal que pueda estar involucrado en la ejecución del plan de terminación; e) Gestionar otros cambios,

como los siguientes, cuando sean notificados por la otra parte, que no estén amparados por el procedimiento de gestión de
cambios de seguridad de la información y que puedan impactar en el suministro del producto o servicio contratado:

1) Cambio en el negocio, la misión o el entorno de la organización;

2) Cambio relacionado con la solidez financiera de la organización;

3) Cambio de propiedad de la organización, o creación de empresas conjuntas;

© ISO/IEC 2014 – Todos los derechos reservados 25

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

4) Cambio de ubicación desde donde se adquiere o suministra el producto o servicio;

5) Cambio en el nivel de seguridad de la información de la organización, como el logro o la pérdida de un
certificación ISO/IEC 27001;
6) Cambio en la capacidad de soportar las capacidades requeridas de continuidad del negocio; y 7)
Cambio en los requisitos legales, reglamentarios y contractuales aplicables a la organización.
La gestión de estos cambios requerirá que la parte notificada haga lo siguiente: 1) Asegurarse de que los
riesgos de seguridad de la información asociados a este cambio han sido identificados y
evaluados, junto con las opciones para su respectivo tratamiento;
2) Asegurar que se haya definido, acordado por las partes involucradas e implementado un plan de tratamiento de
riesgos para mitigar los riesgos de seguridad de la información identificados y evaluados; NOTA: La adquisición o

el suministro de un producto o servicio debe darse por terminado cuando los riesgos de seguridad de la
información identificados no puedan reducirse al nivel aceptable.
3) Acordar con la otra parte los cambios al contrato de relación con el proveedor, que
incluye lo siguiente: i)
Procedimiento de gestión de cambios de seguridad de la información;
ii) Procedimiento de gestión de incidentes de seguridad de la información; y
iii) Plan de terminación.
4) Aprobar el contrato de relación con proveedores actualizado.
f) Garantizar que las actividades de seguimiento y f) Apoyar el seguimiento del cumplimiento del adquirente
aplicación del cumplimiento cumplan con el plan y actividades de cumplimiento de acuerdo con el plan
asociado y el proceso de manejo de acciones correctivas. asociado y el proceso de manejo de acciones correctivas.

En caso de cambios en los riesgos de seguridad de

la información o de no conformidades de auditoría, el Significa en particular que el proveedor deberá:
adquirente con el apoyo del proveedor deberá: 1)
Identificar y evaluar los impactos en la seguridad de la 1) Aprobar la selección del adquirente
información resultantes de estos cambios o no personal o del tercero que realizará la evaluación
conformidades de auditoría; de riesgos de seguridad de la información o la
auditoría para verificar el cumplimiento del
proveedor con el contrato de relación con el
proveedor;
2) Determinar si la seguridad de la información NOTA: El proveedor puede rechazar al
se reconsiderarán los aspectos definidos en el candidato propuesto por el adquirente para
contrato de relación con el proveedor; realizar la evaluación o auditoría de riesgos de
seguridad de la información solo por razones válidas.
razones.

3) Determinar qué acciones correctivas 2) Ayudar al adquirente a realizar las siguientes

debe implementarse dentro de una escala de actividades como resultado de cambios en los
tiempo definida y acordada para recuperar un riesgos de seguridad de la información o de no
nivel aceptable de seguridad de la información conformidades de auditoría:
dentro del alcance del producto o servicio adquirido;

4) Acordar con el proveedor: i) Reconsiderar la seguridad de la información

aspectos definidos en el contrato de
relación con el proveedor; y

26 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

i) Los cambios a realizar en los aspectos de ii) Definir las acciones correctivas que deben
seguridad de la información definidos en el implementarse dentro de una escala de tiempo
contrato de relación con el proveedor; y definida para continuar brindando una seguridad
de la información aceptable para la información
y los sistemas de información del adquirente.

ii) La implementación de acciones correctivas; El manejo de estas acciones correctivas

se ajustará al proceso de manejo de acciones
correctivas.

5) Aprobar el contrato de relación de proveedores 3) Acordar con el adquirente:

actualizado.

i) Los cambios a realizar en los aspectos de

seguridad de la información definidos en el
contrato de relación con el proveedor; y

ii) La implementación de acciones correctivas;

4) Aprobar el contrato de relación de proveedores

actualizado.

7.4.4 Salidas

Cada una de las siguientes organizaciones debe producir los siguientes resultados mínimos al ejecutar actividades de seguridad de la
información relacionadas con el proceso de gestión de relaciones con proveedores:

Adquiriente Proveedor

a) Evaluación de riesgos de seguridad de la información y

informes de auditoría relacionados con el control del
cumplimiento y las actividades de ejecución.

Si corresponde:

b) evaluación de riesgos de seguridad de la información relacionados con cambios que no están cubiertos por el procedimiento
de gestión de cambios de seguridad de la información;

c) Informe de ejecución del plan de transición;

d) Historial de cambios de seguridad de la información e informes asociados; e)

Historial de incidentes de seguridad de la información e informes asociados; f) Acuerdo

de relación con proveedores actualizado y aprobado; NOTA: El acuerdo de relación

con el proveedor actualizado y aprobado debe protegerse para mantener su trazabilidad e integridad, así como su
disponibilidad y confidencialidad, cuando se almacene.

g) Lista de acciones correctivas que se han acordado y el estado actual (por ejemplo, abierto, retirado o
implementado).

7.5 Proceso de terminación de la relación con el proveedor

7.5.1 Objetivos

Cada una de las siguientes organizaciones deberá cumplir los siguientes objetivos para gestionar con éxito la seguridad de la
información dentro del proceso de finalización de la relación con el proveedor:

© ISO/IEC 2014 – Todos los derechos reservados 27

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Adquiridor Proveedor

a) Proteger el suministro del producto o servicio durante su terminación para evitar cualquier impacto legal, regulatorio y de
seguridad de la información después de la notificación de terminación;

b) Terminar el suministro del producto o servicio de acuerdo con el plan de terminación.

7.5.2 Entradas

Cada una de las siguientes organizaciones deberá considerar los siguientes insumos mínimos al ejecutar actividades de seguridad de
la información relacionadas con el proceso de terminación de la relación con el proveedor:

Adquiridor Proveedor

a) Decisión de la dirección del adquirente o proveedor de dar por terminado el suministro del producto o servicio; b) Última

versión disponible del contrato de relación con el proveedor, que deberá contener una terminación
plan.

En su caso: c)

Acuerdos de confidencialidad existentes establecidos.

lizado con los proveedores.

7.5.3 Actividades

Las siguientes actividades mínimas deberán ser ejecutadas por cada una de las siguientes organizaciones para cumplir con los
objetivos definidos en la Cláusula 7.5.1:

Adquiriente Proveedor

a) Aclarar con la parte que haya decidido dar por terminado el suministro del producto o servicio si existen
motivos de seguridad de la información detrás de esta decisión;

En su caso, la parte notificada de la terminación del suministro del producto o servicio deberá hacer lo siguiente:

1) Identificar y evaluar los riesgos de seguridad de la información asociados a un motivo dado de seguridad de la información.
vaciones, junto con las opciones para su respectivo tratamiento;

2) Asegurar que se haya definido e implementado un plan de tratamiento de riesgos para mitigar los riesgos identificados y
evaluados.

NOTA: Si se requiere una terminación repentina, se debe activar el BCP del adquirente dependiendo de la importancia del
suministro del producto o servicio para el cual se ha tomado la decisión de terminarlo.

b) Decidir con el proveedor si el suministro del producto o

servicio debe ser cancelado o transferido de nuevo al
adquirente oa otro proveedor;

c) Definir e implementar un plan de comunicación para informar al personal interno y a terceros

impactado por el suministro del producto o servicio sobre su terminación;

d) Designar a una persona responsable de manejar la terminación del suministro del producto o servicio de acuerdo con el
plan de terminación;

e) Asegurar un inventario actualizado de los activos que se utilizan dentro del suministro del producto o servicio
existe;

f) Seleccionar y acordar con la otra parte los bienes que serán: 1) Devueltos al

adquirente o remitidos a otro proveedor; 2) Devuelto al proveedor; 3) Destruidos o

retenidos por el adquirente o el proveedor.

28 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

g) Ejecutar la terminación del suministro del producto o servicio de conformidad con la terminación
plan;
h) Asegurar que los derechos de acceso lógico y físico otorgados a la otra parte para acceder y manejar
Los activos internos necesarios para el suministro del producto o servicio se retiran en tiempo y forma; y

i) Acordar con la otra parte la consecución del producto suministrado o la terminación del servicio.

7.5.4 Salidas

Cada una de las siguientes organizaciones debe producir los siguientes resultados mínimos al ejecutar actividades de
seguridad de la información relacionadas con el proceso de terminación de la relación con el proveedor:

Adquiridor Proveedor
a) Plan de comunicación relacionado con la terminación del suministro del producto o servicio; b)
Designación de un responsable por la terminación del suministro del producto o servicio; c) Inventario actualizado
de los bienes que se utilizan dentro de la oferta del producto o servicio; d) Informe de ejecución del plan de extinción.

En su caso: e)
Plan de evaluación y tratamiento de riesgos de seguridad de la información asociados a la seguridad de la información
motivaciones dadas para terminar el suministro del producto o servicio;
f) Informe de ejecución del plan de transición;
g) Certificados de destrucción de bienes; h)
Informe sobre la ejecución de la eliminación de los derechos de acceso lógico y físico.

© ISO/IEC 2014 – Todos los derechos reservados 29

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Anexo A
(informativo)

Referencias cruzadas entre las cláusulas de ISO/IEC 15288 y

Cláusulas ISO/IEC 27036-2

Cláusulas ISO/IEC 15288 ISO/IEC 27036-2 cláusulas 6.1

6.1 Procesos de Acuerdo 6.1.1 Procesos de acuerdos 6.1.1 Proceso de adquisición

Proceso de Adquisición
––
7.1 Proceso de planificación de relaciones con proveedores
––
7.2 Proceso de selección de proveedores 7.3 Proceso de
––
acuerdo de relaciones con proveedores 7.4 Proceso de
––
gestión de relaciones con proveedores 7.5 Proceso de
––
finalización de relaciones con proveedores 6.1.2 Proceso de

6.1.2 Proceso de suministro suministro 7.2 Proceso de selección de proveedores 7.3

––
Proceso de acuerdo de relaciones con proveedores 7.4 Proceso
––
de gestión de relaciones con proveedores 7.5 Proceso de
––
finalización de relaciones con proveedores 6.2 Organización
––
Procesos de Habilitación de Proyectos 6.2.1 Modelo de Ciclo

6.2 Procesos organizativos de habilitación de proyectos 6.2.1 de Vida Proceso de Gestión 6.2.2 Proceso de Gestión de

Proceso de gestión del modelo de ciclo de vida 6.2.2 Proceso Infraestructura 6.2.3 Proceso de Gestión de Cartera de

de gestión de la infraestructura 6.2.3 Proceso de gestión de la Proyectos 6.2.4 Proceso de Gestión de Recursos Humanos

cartera de proyectos 6.2.4 Proceso de gestión de recursos 6.2.5 Proceso de Gestión de Calidad 6.3 Procesos de Proyecto

humanos 6.2.5 Proceso de gestión de la calidad 6.3 Procesos 6.3.1 Proceso de Planificación de Proyecto 6.3.2 Proceso de

del proyecto 6.3.1 Proceso de planificación del proyecto 6.3 .2 Evaluación y Control de Proyectos

Proceso de evaluación y control de proyectos 6.3.3 Proceso de

gestión de decisiones 6.3.4 Proceso de gestión de riesgos 6.3.5

Proceso de gestión de la configuración

6.3.3 Proceso de gestión de decisiones

6.3.4 Proceso de gestión de riesgos 6.3.5

Proceso de gestión de la configuración

30 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Cláusulas ISO/IEC 15288 Cláusulas ISO/IEC 27036-2

6.3.6 Proceso de gestión de la información 6.3.6 Proceso de gestión de la información

6.3.7 Proceso de medición 6.3.7 Proceso de medición

6.4 Procesos Técnicos 6.4 Procesos Técnicos

––
6.4.1 Proceso de definición de requisitos de las partes interesadas
––
6.4.2 Proceso de análisis de requisitos 6.4.3 Proceso de diseño

arquitectónico 6.4.4 Proceso de implementación 6.4.5 Proceso 6.4.1 Proceso de diseño arquitectónico
––
de integración
––

6.4.6 Proceso de verificación ––

6.4.7 Proceso de Transición ––

6.4.8 Proceso de Validación ––

––
6.4.9 Proceso de operación
6.4.10 Proceso de mantenimiento ––

––
6.4.11 Proceso de eliminación

© ISO/IEC 2014 – Todos los derechos reservados 31

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Anexo B
(informativo)

Referencias cruzadas entre las cláusulas de ISO/IEC 27036-2 y

Controles ISO/IEC 27002

Cláusulas ISO/IEC 27036-2 Controles ISO/IEC 27002

6.1 Procesos de Acuerdo 5 Políticas de seguridad de la

información 6 Organización de la seguridad de

la información 15.1 Seguridad de la información en las relaciones

con los proveedores 18 Cumplimiento Ver 6.1 Mapeo Ver 6.1

6.1.1 Proceso de adquisición Mapeo

6.1.2 Proceso de suministro

6.2 Procesos organizativos de habilitación de proyectos Ver procesos individuales para un mapeo específico 6.2.1

Proceso de gestión del modelo de ciclo de vida 6.2.2 ProcesoNinguna

de gestión de infraestructura

8 Gestión de activos
9 Control de acceso

10 Criptografía 11

Seguridad física y ambiental 12 Seguridad de las

operaciones 13 Seguridad de las comunicaciones

14 Adquisición, desarrollo y mantenimiento de

sistemas 16 Gestión de incidentes de seguridad de la información

17 Aspectos de seguridad de la información de la gestión de la

continuidad del negocio 6.2.3 Proceso de gestión de la cartera de

proyectos Ninguno 6.2.4 Proceso de gestión de recursos humanos

6.2 .5 Proceso de gestión de la calidad

7 Seguridad del Recurso Humano

14.2 Seguridad en los Procesos de Desarrollo y Soporte

14.3 Datos de prueba

6.3 Procesos del proyecto Ver procesos individuales para un mapeo específico

6.3.1 Proceso de planificación del Ninguna

proyecto 6.3.2 Proceso de evaluación y control del proyecto Ninguno

Ninguna
6.3.3 Proceso de gestión de decisiones 6.3.4 Proceso de gestión

de riesgos 6.3.5 Proceso de gestión de la configuración Ninguna

12.1.2 Gestión de cambios 14.2.2

Procedimientos de control de cambios del sistema

32 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Cláusulas ISO/IEC 27036-2 Controles ISO/IEC 27002

6.3.6 Proceso de gestión de la información 8.2 Clasificación de la información

9.1 Requisitos comerciales de control de acceso 10 Criptografía

12.3 Copia de seguridad

13.2.1 Políticas y procedimientos de transferencia de información

6.3.7 Proceso de medición Ninguna

6.4 Procesos Técnicos Ver procesos individuales para un mapeo específico

6.4.1 Proceso de diseño arquitectónico 7.1 Ninguna

Proceso de planificación de relaciones con proveedores 15.1 Relaciones con proveedores

7.2 Proceso de selección de proveedores 7.3 Proceso de Ninguna

acuerdo de relaciones con proveedores 7.4 Proceso de 15.1 Seguridad de la información en las relaciones con los proveedores

gestión de relaciones con proveedores 15.2 Gestión de prestación de servicios con proveedores 7.5 Proceso de terminación de

relaciones con proveedores Ninguno

© ISO/IEC 2014 – Todos los derechos reservados 33

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Anexo
C (informativo)

Objetivos de las Cláusulas 6 y 7

Adquiridor

6.1.1 Proceso de Adquisición a)

Establecer una estrategia de relación con proveedores que:

1) Se basa en la tolerancia al riesgo de seguridad de la información del adquirente;

2) Define la base de seguridad de la información que se utilizará al planificar, preparar, administrar y

rescindir la adquisición de un producto o servicio.

6.1.2 Proceso de suministro

Ninguna

6.2.1 Proceso de gestión del modelo de ciclo de vida a) Establecer

un proceso de gestión del modelo de ciclo de vida al gestionar la seguridad de la información en el proveedor
6.2.2 Proceso de

gestión de la infraestructura a) Proporcionar la infraestructura

habilitadora para apoyar a la organización en la gestión de la seguridad de la información.

ridad dentro de las relaciones con los proveedores.

6.2.3 Proceso de gestión de la cartera de proyectos a) Establecer

un proceso para considerar la seguridad de la información y las implicaciones y dependencias generales de la misión comercial para cada
proyecto individual para aquellos proyectos en los que estén involucrados proveedores o adquirentes.

6.2.4 Proceso de gestión de recursos humanos a) Garantizar que

el adquirente y el proveedor cuenten con los recursos humanos necesarios que tengan
competencias mantenidas regularmente y consistentes con las necesidades de seguridad de la información en las relaciones con los
proveedores.

6.2.5 Proceso de gestión de la calidad a) El

adquirente y el proveedor deben establecer un proceso de gestión de la calidad al gestionar

seguridad de la información en las relaciones con los proveedores.

6.3.1 Proceso de planificación de proyectos

a) Establecer un proceso de planificación de proyectos que aborde la seguridad de la información de las relaciones con los proveedores.

6.3.2 Proceso de Evaluación y Control de Proyectos a) Establecer

un proceso de evaluación y control de proyectos en la gestión de la seguridad de la información en sup.

relaciones de pinzas.

6.3.3 Proceso de gestión de decisiones a) Establecer

un proceso de gestión de decisiones al gestionar la seguridad de la información en relación con el proveedor.

naciones

6.3.4 Proceso de gestión de riesgos a) Abordar

continuamente los riesgos de seguridad de la información en las relaciones con los proveedores y a lo largo de su ciclo de vida, lo que incluye
volver a examinarlos periódicamente o cuando se produzcan cambios comerciales, legales, reglamentarios, arquitectónicos, de políticas
y contractuales significativos.

34 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.3.5 Proceso de gestión de la configuración a)

Establecer un proceso de gestión de la configuración al gestionar la seguridad de la información en el proveedor
relaciones
6.3.6 Proceso de gestión de la información a)
Establecer un proceso de gestión de la información considerando la sensibilidad de la información que se puede intercambiar
durante las relaciones con los proveedores.
6.3.7 Proceso de medición

a) Recopilar, analizar y reportar medidas de seguridad de la información relacionadas con la adquisición o suministro de un
producto o servicio para demostrar la madurez de la seguridad de la información en las relaciones con los proveedores
y para respaldar la gestión eficaz de los procesos.
6.4.1 Proceso de Diseño Arquitectónico a)
Establecer un marco técnico para la adquisición sostenida de productos o servicios que satisfagan
propósito de las relaciones con los proveedores.

7.1 Proceso de Planificación de Relación con

Proveedores a) Establecer un plan de relación con proveedores que documente la decisión adoptada por la dirección de
iniciar la contratación de un producto o servicio, así como las consideraciones de seguridad de la información
relacionadas con esta contratación.
7.2 Proceso de selección de
proveedores a) Seleccionar un proveedor que brinde seguridad de información adecuada para el producto o servicio que
ser adquirido.
7.3 Proceso de Acuerdo de relación con el proveedor
a) Establecer y acordar un acuerdo de relación con el proveedor que aborde lo siguiente: 1) Funciones y
responsabilidades de seguridad de la información del adquirente y del proveedor; 2) Proceso de
transición cuando el producto o servicio ha sido previamente operado o fabricado.
turado por una parte diferente del proveedor;
3) Gestión de cambios de seguridad de la información; 4)
Gestión de incidentes de seguridad de la información; 5)
Vigilancia y aplicación del cumplimiento; 6) Proceso de
terminación.
7.4 Proceso de Gestión de la Relación con el Proveedor
a) Mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor de acuerdo con
el contrato de relación con el proveedor y considerando particularmente lo siguiente: 1) Transición del suministro del
producto o servicio cuando haya sido previamente operado o fabricado.
por el adquirente o por un proveedor diferente;
2) Capacitar al personal afectado por los requisitos de seguridad de la información definidos en el acuerdo de relación
con el proveedor;
3) Gestionar cambios e incidentes que puedan tener impactos en la seguridad de la información del producto o
suministro de servicios;

4) Supervisar y hacer cumplir el cumplimiento del proveedor con las disposiciones de seguridad de la información
definidas en el acuerdo de relación con el proveedor.
7.5 Proceso de terminación de la relación con el
proveedor a) Proteger el suministro del producto o servicio durante su terminación para evitar cualquier impacto legal,
reglamentario y de seguridad de la información después de la notificación de terminación;

© ISO/IEC 2014 – Todos los derechos reservados 35

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

b) Terminar el suministro del producto o servicio de acuerdo con el plan de terminación.

Proveedor

6.1.1 Proceso de Adquisición

Ninguna

6.1.2 Proceso de

Abastecimiento a) Establecer una estrategia de relación con proveedores que:

1) Se basa en la tolerancia al riesgo de seguridad de la información del proveedor;

2) Define la base de seguridad de la información que se utilizará al planificar, preparar, administrar y

rescindir la adquisición de un producto o servicio.

6.2.1 Proceso de Gestión del Modelo de Ciclo de Vida a)

Establecer el proceso de gestión del modelo de ciclo de vida al gestionar la seguridad de la información en sup.
6.2.2 Proceso de

gestión de la infraestructura a) Proporcionar la infraestructura

habilitadora para apoyar a la organización en la gestión de la seguridad de la información.

ridad dentro de las relaciones con los proveedores.

6.2.3 Proceso de gestión de la cartera de proyectos a)

Establecer un proceso para considerar la seguridad de la información y las implicaciones y dependencias generales de la misión
comercial para cada proyecto individual para aquellos proyectos en los que estén involucrados proveedores o adquirentes.

6.2.4 Proceso de gestión de recursos humanos a) Garantizar

que el adquirente y el proveedor cuenten con los recursos humanos necesarios que tengan
competencias mantenidas regularmente y consistentes con las necesidades de seguridad de la información en las relaciones con
los proveedores.

6.2.5 Proceso de gestión de la calidad a) El

adquirente y el proveedor deben establecer un proceso de gestión de la calidad al gestionar

seguridad de la información en las relaciones con los proveedores.

6.3.1 Proceso de planificación de

proyectos a) Establecer un proceso de planificación de proyectos que aborde la seguridad de la información de las relaciones con los proveedores.

6.3.2 Proceso de Evaluación y Control de Proyectos a)

Establecer un proceso de evaluación y control de proyectos en la gestión de la seguridad de la información en sup.

relaciones de pinzas.

6.3.3 Proceso de gestión de decisiones a)

Establecer un proceso de gestión de decisiones al gestionar la seguridad de la información en relación con el proveedor.
naciones

6.3.4 Proceso de gestión de riesgos a)

Abordar continuamente los riesgos de seguridad de la información en las relaciones con los proveedores y a lo largo de su ciclo de vida,
lo que incluye volver a examinarlos periódicamente o cuando se produzcan cambios comerciales, legales, reglamentarios,
arquitectónicos, de políticas y contractuales significativos.

6.3.5 Proceso de gestión de la configuración a) Establecer

un proceso de gestión de la configuración al gestionar la seguridad de la información en el proveedor

relaciones

6.3.6 Proceso de gestión de la información a) El

proveedor deberá establecer un proceso de gestión de la información considerando la sensibilidad de

información que se puede intercambiar durante las relaciones con los proveedores.

36 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

6.3.7 Proceso de medición

a) Recopilar, analizar y reportar medidas de seguridad de la información relacionadas con la adquisición o suministro de un
producto o servicio para demostrar la madurez de la seguridad de la información en las relaciones con los proveedores y
para respaldar la gestión eficaz de los procesos.

6.4.1 Proceso de Diseño Arquitectónico a)

Establecer un marco técnico para la adquisición sostenida de productos o servicios que satisfagan
propósito de las relaciones con los proveedores.

7.1 Proceso de planificación de relaciones con proveedores

Ninguna

7.2 Proceso de selección de

proveedores a) Responder al documento de licitación del adquirente considerando los riesgos de seguridad de la información
asociados con el producto o servicio a suministrar y los requisitos de seguridad de la información definidos en el documento
de licitación del adquirente (por ejemplo, ITT, RFP).

7.3 Proceso de Acuerdo de relación con el proveedor a)

Establecer y acordar un acuerdo de relación con el proveedor que aborde lo siguiente: 1) Funciones y

responsabilidades de seguridad de la información del adquirente y del proveedor; 2) Proceso de transición

cuando el producto o servicio ha sido previamente operado o fabricado.

turado por una parte diferente del proveedor;

3) Gestión de cambios de seguridad de la información; 4)

Gestión de incidentes de seguridad de la información; 5)

Vigilancia y aplicación del cumplimiento; 6) Proceso de

terminación.

7.4 Proceso de Gestión de la Relación con Proveedores a)

Mantener la seguridad de la información durante el período de ejecución de la relación con el proveedor de acuerdo con el contrato
de relación con el proveedor y considerando particularmente lo siguiente: 1) Apoyar al adquirente en la transición del

suministro del producto o servicio cuando tenga sido previamente operado o fabricado por el adquirente o por un proveedor
diferente; 2) Capacitar al personal afectado por los requisitos de seguridad de la información definidos en el proveedor

acuerdo de relación;

3) Gestionar cambios e incidentes que puedan tener impactos en la seguridad de la información del producto o
suministro de servicios;

4) Apoyar al adquirente en las actividades de control y aplicación del cumplimiento.

7.5 Proceso de terminación de la relación con el proveedor

a) Proteger el suministro del producto o servicio durante su terminación para evitar cualquier impacto legal, reglamentario y de
seguridad de la información después de la notificación de terminación;

b) Terminar el suministro del producto o servicio de acuerdo con el plan de terminación.

© ISO/IEC 2014 – Todos los derechos reservados 37

Machine Translated by Google

ISO/CEI 27036-2:2014(E)

Bibliografía

[1] ISO/IEC 15288, Ingeniería de sistemas y software. Procesos del ciclo de vida del sistema.

[2] ISO/IEC 27002, Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de
seguridad de la información.

[3] ISO/IEC 27031, Tecnología de la información. Técnicas de seguridad. Directrices para la preparación de la tecnología
de la información y la comunicación para la continuidad del negocio.

[4] ISO 22313, Seguridad social. Sistemas de gestión de la continuidad del negocio. Orientación.

[5] ISO 22301 Seguridad social — Sistemas de gestión de la continuidad del negocio --- Requisitos

[6] ISO/IEC 27005, Tecnología de la información. Técnicas de seguridad. Gestión de riesgos de seguridad de la información.

[7] ISO 31000, Gestión de riesgos — Principios y directrices

[8] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Requisitos.

[9] ISO/IEC 27004, Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información.
Medición.

[10] ISO/IEC 27035, Tecnología de la información. Técnicas de seguridad. Incidente de seguridad de la información.
administración

38 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google
Machine Translated by Google

ISO/CEI 27036-2:2014(E)

ICS 35.040
Precio basado en 38 páginas

© ISO/IEC 2014 – Todos los derechos reservados