NBRISO/IEC27036-3 DE 06/2025

Este documento fornece orientações para adquirentes de produtos e serviços, bem como fornecedores de hardware, software e serviços, em relação a: a)obter visibilidade e gerenciar os riscos de segurança da informação causados por cadeias de fornecimento de hardware, software e serviços fisicamente dispersos e em várias camadas; b) responder aos riscos decorrentes dessa cadeia de fornecimento de hardware, software e serviços fisicamente dispersa e multicamadas que pode ter um impacto na segurança da informação nas organizações que usam esses produtos e serviços; c) integrar processos e práticas de segurança da informação nos processos do ciclo de vida do sistema e do software, conforme descrito nas ISO/IEC/IEEE 15288 e NBRISO/IEC/IEEE12207, ao mesmo tempo em que oferece suporte aos controles de segurança da informação, conforme descrito na NBRISO/IEC27002. This document provides guidance for product and service acquirers, as well as suppliers of hardware, software and services, regarding: a) gaining visibility into and managing the information security risks caused by physically dispersed and multi-layered hardware, software, and services supply chains; b) responding to risks stemming from this physically dispersed and multi-layered hardware, software, and services supply chain that can have an information security impact on the organizations using these products and services; c) integrating information security processes and practices into the system and software life cycle processes, as described in ISO/IEC/IEEE 15288 and NBRISO/IEC/IEEE12207, while supporting information security controls, as described in NBRISO/IEC27002.