Alcance
Esta norma proporciona orientación a los adquirentes y proveedores de productos y servicios de la cadena de suministro de las TIC, con respecto a:a) Obtener visibilidad y administrar los riesgos en la seguridad de la información causados porcadenas de suministro de las TIC con una amplia distribución geográfi ca y de múltiples capas.b) Responder a los riesgos derivados de la cadena global de suministro de las TIC, que puedengenerar productos y servicios TIC con impacto en la seguridad de la información dentro de lasorganizaciones que utilizan estos productos y servicios. Estos riesgos pueden estar relacionados con aspectos organizativos y técnicos (por ejemplo, la inserción de un código malicioso o la presencia de productos de tecnología de la información (TI) falsifi cados).c) Integrar los procesos y las prácticas de seguridad de la información en los Procesos del Ciclo de Vida del sistema y del software, los que se describen en ISO/IEC 15288 e ISO/IEC 12207, mientras que los controles complementarios de seguridad de la información se describenen ISO/IEC 27002.Esta norma no incluye cuestiones de gestión de continuidad de las operaciones o de resistenciarelacionadas con la cadena de suministro de las TIC. La norma ISO/IEC 27031 aborda la continuidad de las operaciones.