Не пора ли начать изучать управление поставщиками услуг?

Не пора ли начать изучать управление поставщиками услуг?
Что-то в последнее время появилось до неприличия много материалов по теме взаимодействия с третьими лицами - поставщиками услуг. Вот примеры  актуальных "лучших практик":
  • Новая книга по PCI DSS."Information Supplement: Third-Party Security Assurance" (прямая  ссылка )
  • Документ " Vendor Management Using COBIT5 " и набор полезных приложений к нему (toolkit) (про документ я писал тут )
  • Группа мер "A.15 Supplier relationships" из ISO 27002-2013 
  • Стандарты серии ISO/IEC 27036 (кстати, вот  презентация с кратким обзором ):
    • ISO/IEC 27036-1:2014 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts" ( ссылка )
    • ISO/IEC 27036-2:2014 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements" ( ссылка )
    • ISO/IEC 27036-3:2013 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security" ( ссылка )
    • ISO/IEC WD 27036-4 "Information technology -- Information security for supplier relationships -- Part 4: Guidelines for security of Cloud services" ( ссылка )
  • Группа процессов управления поставками/закупками (Project Procurement Management)  в PMBOK5
  • Процесс "Supplier management" в ITIL v3 (книга Service Design)
  • Процесс "APO10 Manage Suppliers" в COBIT5 (книги "COBIT5 for Information security" и  "COBIT5 Enabling Processes") 
  • Еще можно посмотреть проекты стандартов серии ISO 30105:
    • ISO/IEC CD 30105-1 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 1: Process Reference Model" ( ссылка )
    • ISO/IEC CD 30105-2 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 2: Process Assessment Model" ( ссылка )
    • ISO/IEC CD 30105-3 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 3: Process measurement framework and organization maturity model" ( ссылка )
    • ISO/IEC NP 30105-4 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 4: Terms and concepts" ( ссылка )
    • ISO/IEC NP 30105-5 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 5: Guidelines" ( ссылка )

Засесть что ли за изучение?!
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!
article-title

Andrey Prozorov

Информационная безопасность в России и мире