Esta norma proporciona orientación a los adquirentes y proveedores de productos y servicios de la cadena de suministro de las TIC, con respecto a: a) Obtener visibilidad y administrar los riesgos en la seguridad de la información causados por cadenas de suministro de las TIC con una amplia distribución geográfica y de múltiples capas. b) Responder a los riesgos derivados de la cadena global de suministro de las TIC, que pueden generar productos y servicios TIC con impacto en la seguridad de la información dentro de las organizaciones que utilizan estos productos y servicios. Estos riesgos pueden estar relacionados con aspectos organizativos y técnicos (por ejemplo, la inserción de un código malicioso o la presencia de productos de tecnología de la información (TI) falsificados). c) Integrar los procesos y las prácticas de seguridad de la información en los Procesos del Ciclo de Vida del sistema y del software, los que se describen en ISO/IEC 15288 e ISO/IEC 12207, mientras que los controles complementarios de seguridad de la información se describen en INTE/ISO/IEC 27002. Esta norma no incluye cuestiones de gestión de continuidad de las operaciones o de resistencia relacionadas con la cadena de suministro de las TIC. La norma ISO/IEC 27031 aborda la continuidad de las operaciones.