本标准为采购实体和供应商提供了确保信息和通信技术供应链安全的建议: （a）获取和管理信息和通信技术有形分散和多层次供应链所造成的信息安全风险； B）应对可能影响到信通技术产品和服务全球供应链的风险 使用这些产品和服务的组织的信息安全。这些风险可能既涉及组织方面，也涉及技术方面）（ （b）关于信息安全过程和方法的一体化问题，见下文（c）分段。国家标准/ISO/IEC 27002，[2]在系统和软件的生命周期过程中（国家标准g r 57193和gost r ISO/IEC 12207）

Настоящий стандарт содержит рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий (ИКТ) для приобретающей стороны и поставщиков: а) по получению информации о рисках в области информационной безопасности, вызванных физически рассредоточенными и многоуровневыми цепями поставок ИКТ, и управлению ими; б) по реагированию на риски, связанные с глобальной цепью поставок продукции и услуг ИКТ, которые могут оказать влияние на информационную безопасность организаций, использующих эти продукцию и услуги. Эти риски могут быть связаны как с организационными, так и с техническими аспектами (например, с внедрением вредоносного кода или с наличием контрафактной продукции на рынке ИКТ); в) по интеграции процессов и методов обеспечения информационной безопасности (см. ГОСТ Р ИСО/МЭК 27002, [2]) в процессы жизненного цикла системы и программного обеспечения (см. ГОСТ Р 57193 и ГОСТ Р ИСО/МЭК 12207)