Esta parte de INTE/ISO/IEC 27036 especifica los requisitos fundamentales de la seguridad de la información para definir, implementar, ejecutar, monitorear, revisar, conservar y perfeccionar las relaciones con proveedores y adquirentes. Estos requisitos abarcan cualquier adquisición y provisión de productos y servicios, como la fabricación o el ensamblaje, adquisición de procesos de negocio, componentes de software y hardware, obtención de procesos de conocimiento, servicios de construcción, gestión y transferencia y servicios computacionales en la nube. Se pretende que estos requisitos se puedan aplicar a todas las organizaciones, sin importar, el tipo, tamaño o naturaleza de estas. Para cumplir estos requisitos, una organización ya debería haber implementado de forma interna ciertos procesos fundamentales, o estar planificando de forma activa su implementación. Estos procesos incluyen, pero no se limitan a, los siguientes: gobernanza, gestión de negocios, gestión de riesgos, gestión operacional y de recursos humanos y seguridad de la información.