ГОСТ Р ИСО 28001-2019. Национальный стандарт Российской Федерации. Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению

5.8 Защитные меры по обеспечению безопасности информации

 

Планы по обеспечению безопасности, меры, процессы, процедуры и записи организации должны рассматриваться в качестве информации особой важности с точки зрения обеспечения безопасности и защиты от несанкционированного доступа или разглашения. Такая информация должна быть доступна только тем лицам, которым "необходимо знать". Кроме соответствующих правоохранительных должностных лиц или их номинантов, лицом, которому "необходимо знать", может быть:

a) лицо, которому необходим доступ к конкретной конфиденциальной информации по безопасности для проведения деятельности, включенной в план обеспечения безопасности;

b) лицо, проходящее подготовку для выполнения видов деятельности, приведенных в плане обеспечения безопасности;

c) лицо, осуществляющее контроль за деятельностью других лиц, осуществляющих ее в соответствии с планом обеспечения безопасности, или

d) лицо-участник либо действующее от имени участника, которому в соответствии с условиями контракта с данной организацией был предоставлен доступ к конфиденциальной информации, контролируемой организацией в соответствии с согласованными правилами и условиями.

Примечание - Если организация сертифицирована по ИСО 28001 третьей стороной - органом по сертификации, аккредитованным компетентным органом по аккредитации, или была сертифицирована или признана соответствующей требованиям ИСО 28001 взаимно признанными государственными органами, то согласованный договором доступ к конфиденциальной информации этой организации не может расцениваться в качестве обязательного и в любом случае будет зависеть от согласия организации. Тот факт, что ее особой важности информация по безопасности защищена от несанкционированного доступа или раскрытия, не освобождает организацию от инструктирования своих бизнес-партнеров и других лиц о механизмах и системах, связанных с безопасностью цепи поставок.