Denna del av ISO/IEC 27036 specificerar grundläggande informationssäkerhetskrav för att specificera, genomföra, förvalta, övervaka, granska, underhålla och förbättra relationen mellan leverantör och beställare. Dessa krav omfattar alla upphandlingar och leveranser av produkter och tjänster, som exempelvis tillverkning eller montering, inköp av verksamhetsutveckling, mjukvaru- eller hårdvarukomponenter, inköp av kompetens, bygg-förvalta-avyttra-system (BOT, Build-Operate-Transfer), samt molnbaserade datortjänster.Dessa krav är avsedda att tillämpas på alla organisationer, oavsett typ, storlek och karaktär.För att uppfylla dessa krav bör en organisation redan internt ha infört ett antal grundläggande processer eller aktivt planerat att göra det. Dessa processer inkluderar, men är inte begränsade till följande: verksamhets-styrning, företagsledning, riskhantering, operativ ledning, personalledning och informationssäkerhet.