ГОСТ Р ИСО/МЭК 27036-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1

приобретающая сторона (acquirer): Заинтересованная сторона, которая приобретает у поставщика продукт или услугу.

Примечание - Приобретение может включить или не включать обмен денежными средствами.

[ИСО/МЭК 15288:2008, 4.1, изменено - Исходное примечание было удалено, слово "получает", было удалено из определения, и было добавлено примечание]

3.2

приобретение (acquisition): Процесс получения продукта или услуги.

[ИСО/МЭК 15288:2008, 4.2, изменено - слово "система", было удалено]

3.3

соглашение (agreement): Обоюдное подтверждение сроков и условий, согласно которым осуществляются рабочие отношения.

[ИСО/МЭК 15288:2008, 4.4]

3.4

жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или иного рукотворного объекта от стадии замысла до момента прекращения его использования.

[ИСО/МЭК 15288:2008, 4.11]

3.5

фаза постконтроля (downstream): Погрузочно-разгрузочные работы, процессы и перемещение, когда продукты и услуги в цепи поставок находятся вне сферы контроля этой организации.

[ИСО 28001:2007, 3.10, изменено - слово "товары" было заменено на "продукты и услуги" с целью заострить внимание на данном определении]

3.6 аутсорсинг (outsourcing): Приобретение услуг (с или без продуктов) в поддержку бизнес-функции для осуществления деятельности с использованием ресурсов поставщика, а не приобретающей стороны.

3.7

процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.

[ИСО 9000:2005, 3.4.1, изменено - примечания были удалены]

3.8 заинтересованная сторона (stakeholder): Физическое лицо или организация, заинтересованные в активах при отношениях с поставщиком.

Примечание - В целях настоящего стандарта актив является информацией, связанной с продуктами и услугами.

3.9

поставщик (supplier): Организация или физическое лицо, которое заключает соглашение с приобретающей стороной по предоставлению продукта или услуги.

Примечания

1 Другими терминами, обычно используемыми для обозначения поставщика являются: подрядчик, производитель, торговец или продавец.

2 Приобретающая сторона и поставщик могут являться частью одной и той же организации.

3 Типы поставщиков включают в себя те организации, которые допускают заключение соглашений с приобретающей стороной и те, которые этого не допускают. Например, таких как пользовательское соглашение, условия использования, или использование продуктов с открытым исходным кодом, защищенных авторским правом или результатов интеллектуальной деятельности.

[ИСО/МЭК 15288:2008, 4.30, изменено - Добавлено примечание 3]

3.10 взаимоотношение с поставщиком (supplier relationship): Одно соглашение или несколько соглашений между приобретающей стороной и поставщиками о ведении бизнеса, поставке продуктов или услуг и получении коммерческой выгоды.

3.11

цепь поставок (supply chain): Совокупность организаций со взаимосвязанным набором ресурсов и процессов, каждая из которых выступает в качестве приобретающей стороны, поставщика или одновременно в качестве обеих сторон, для формирования последовательных отношений с поставщиками, установленных при размещении заказа на поставку, заключения договора или другого официального контракта на поставку.

Примечания

1 Цепь поставок может включать в себя продавцов, производственное оборудование, логистических провайдеров, внутренние распределительные центры, дистрибьюторов, оптовиков и другие организации, участвующие в производстве, обработке, транспортировке и доставке грузов и связанных с ними услуг.

2 Вид цепи поставок рассматривается с позиции приобретающей стороны.

[ИСО 28001:2007, 3.24, изменено - определение было изменено, чтобы в большей степени сфокусироваться на организации и отношениях; Было добавлено примечание 2]

3.12

система (system): Комбинация взаимодействующих элементов, упорядоченных для достижения одной или нескольких поставленных целей.

Примечания

1 Систему можно рассматривать как продукт или как предоставляемые ею услуги.

2 На практике интерпретация данного термина зачастую уточняется с помощью ассоциативного существительного, например система самолета. В некоторых случаях слово система может заменяться контекстнозависимым синонимом, например самолет, хотя это может впоследствии затруднить восприятие системных принципов.

[ИСО/МЭК 15288:2008, 4.31]

3.13

доверие (trust): Отношения между двумя организациями и/или элементами, состоящие из ряда операций и политики безопасности, в которых элемент "x" доверяет элементу "y", если и только если "x" уверен, что "y" будет вести себя определенным образом (по отношению к операциям), не нарушающим данную политику безопасности.

[ИСО/МЭК 13888-1:2009, 3.59, изменено - примечание было удалено]

3.14

фаза предконтроля (upstream): Транспортировка, процессы и перемещение продукции и услуг, имеющих место до того, как организация принимает продукции и услуги под свой контроль в цепи поставок.

[ISO 28001:2007, 3.27, изменено - слово "товары" было заменено на "продукции и услуги" с целью заострить внимание на данном изменении]

3.15 прозрачность (visibility): Свойство системы или процесса, которое позволяет системным элементам и процессам быть задокументированными и доступными для мониторинга и контроля.