Alcance
Esta norma proporciona orientación para los adquirentes de productos y servicios, así como para los proveedores de hardware, software y servicios, con respecto a:a) ganar visibilidad y gestionar los riesgos de seguridad de la información causados por cadenas de suministro de hardware, software y servicios físicamente dispersos y de múltiples capas;b) responder a los riesgos derivados de esta cadena de suministro de hardware, software y servicios físicamente dispersos y de múltiples capas que pueden tener un impacto en la seguridad de la información en las organizaciones que utilizan estos productos y servicios;c) integrar procesos y prácticas de seguridad de la información en los procesos del ciclo de vida del sistema y del software, como se describe en ISO/IEC/IEEE 15288 e ISO/IEC/IEEE 12207, al tiempo que admite controles de seguridad de la información, como se describe en ISO/IEC 27002.Esta norma no incluye cuestiones de resiliencia/gestión de la continuidad del negocio relacionadas con la cadena de suministro de hardware, software y servicios. La ISO/IEC 27031 aborda la preparación de la tecnología de la información y las comunicaciones para la continuidad del negocio.