Что-то в последнее время появилось до неприличия много материалов по теме взаимодействия с третьими лицами - поставщиками услуг. Вот примеры актуальных "лучших практик":
- Новая книга по PCI DSS."Information Supplement: Third-Party Security Assurance" (прямая ссылка )
- Документ " Vendor Management Using COBIT5 " и набор полезных приложений к нему (toolkit) (про документ я писал тут )
- Группа мер "A.15 Supplier relationships" из ISO 27002-2013
- Стандарты серии ISO/IEC 27036 (кстати, вот презентация с кратким обзором ):
- ISO/IEC 27036-1:2014 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts" ( ссылка )
- ISO/IEC 27036-2:2014 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements" ( ссылка )
- ISO/IEC 27036-3:2013 "Information technology -- Security techniques -- Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security" ( ссылка )
- ISO/IEC WD 27036-4 "Information technology -- Information security for supplier relationships -- Part 4: Guidelines for security of Cloud services" ( ссылка )
- Группа процессов управления поставками/закупками (Project Procurement Management) в PMBOK5
- Процесс "Supplier management" в ITIL v3 (книга Service Design)
- Процесс "APO10 Manage Suppliers" в COBIT5 (книги "COBIT5 for Information security" и "COBIT5 Enabling Processes")
-
Еще можно посмотреть проекты стандартов серии ISO 30105:
- ISO/IEC CD 30105-1 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 1: Process Reference Model" ( ссылка )
- ISO/IEC CD 30105-2 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 2: Process Assessment Model" ( ссылка )
- ISO/IEC CD 30105-3 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 3: Process measurement framework and organization maturity model" ( ссылка )
- ISO/IEC NP 30105-4 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 4: Terms and concepts" ( ссылка )
- ISO/IEC NP 30105-5 "IT Enabled Services / Business Process Outsourcing Lifecycle Processes ITESBPO Standard -- Part 5: Guidelines" ( ссылка )
Засесть что ли за изучение?!
