ISO/IEC 20243-1
ISO/IEC 20243-1, también conocido como el Estándar del Proveedor de Tecnología Abierta de Confianza (O-TTPS), es un estándar internacional diseñado para mitigar el riesgo de que productos adulterados y falsificados ingresen a la cadena de suministro. Se enfoca en la integridad de los productos comerciales listos para usar (COTS) de Tecnología de la Información y Comunicación (TIC) y proporciona un conjunto de directrices para las mejores prácticas organizacionales en la fabricación, abastecimiento e integridad del producto.
Solicite una demostración de los Marcos Personalizados de SecureframeDefinición y propósito
El propósito del estándar es proporcionar un conjunto de directrices que pueden ayudar a las organizaciones a establecer una cadena de suministro confiable y garantizar la seguridad de sus productos contra el software y hardware malicioso. Aborda el riesgo para la empresa de incluir componentes maliciosamente adulterados o falsificados dentro de un producto.
Órgano Rector
ISO/IEC 20243-1 es mantenido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), en colaboración con The Open Group, que desarrolló inicialmente el O-TTPS.
Última actualización
ISO/IEC 20243-1 fue publicado en 2018. Está programado para ser reemplazado por ISO/IEC PRF 20243-1, que actualmente está programado para ser publicado en diciembre de 2023.
Se aplica a
ISO/IEC 20243-1 se aplica a cualquier organización involucrada en la producción, diseño, abastecimiento o distribución de productos TIC COTS. Esto incluye fabricantes, proveedores y distribuidores que forman parte de la cadena de suministro de productos TIC.
Controles y requisitos
El estándar describe varios controles y mejores prácticas en varias áreas, incluyendo pero no limitado a:
- Procedimientos de Evaluación de Riesgos: Evaluación de riesgos a lo largo del ciclo de vida del producto y la cadena de suministro.
- Prácticas de Ingeniería y Desarrollo Seguros: Asegurar que la seguridad se integre en los procesos de ingeniería y desarrollo.
- Seguridad de la Cadena de Suministro: Medidas para asegurar la cadena de suministro contra componentes falsificados y adulterados.
- Producción/Distribución Segura: Asegurar la seguridad e integridad de los productos durante la producción y distribución.
- Resistencia a Manipulaciones: Medidas para prevenir el acceso no autorizado y la manipulación de productos.
- Verificación de Integridad del Producto: Procesos para verificar la integridad de productos y componentes.
- Gestión de Relaciones con Proveedores: Gestión de relaciones con proveedores para asegurar que cumplan con los requisitos de seguridad.
Por favor, consulte la documentación oficial ISO/IEC 20243-1:2018 para obtener detalles sobre controles y requisitos.
Tipo de auditoría, frecuencia y duración
Las auditorías generalmente implican una evaluación por parte de terceros contra los controles del estándar para la seguridad y la integridad de la cadena de suministro. La frecuencia de tales auditorías puede estar determinada por obligaciones contractuales, estrategias de gestión de riesgos o como parte de los requisitos de certificación.
La duración de una auditoría puede variar mucho según el tamaño y la complejidad de la organización, la cantidad de productos siendo auditados y la profundidad de la cadena de suministro que se está examinando.