Denna del av ISO/IEC 27036 ger beställare och leverantörer av produkter och tjänster inom ICT-leverantörs-kedjan vägledning om:a) att få insyn i och att hantera de informationssäkerhetsrisker som orsakas av att ha fysiskt spridda ICT-leverantörskedjor i flera lager,b) att svara upp mot risker som härstammar från den globala ICT-leverantörskedjan för ICT-produkter och ICT-tjänster som kan ha informationssäkerhetspåverkan på organisationer som använder dessa produkter och tjänster. Dessa risker kan vara relaterade till organisatoriska såväl som tekniska aspekter (t.ex. införande av skadlig kod eller närvaro av förfalskade informationstekniska produkter),c) att integrera informationssäkerhetsprocesser och rutiner i system och mjukvarors livscykelprocesser, som beskrivs i ISO/IEC 15288 och ISO/IEC 12207, och samtidigt stödja informationssäkerhetsåtgärder, som beskrivs i ISO/IEC 27002. Denna del av ISO/IEC 27036 omfattar inte kontinuitetsplanering eller aktiviteter relaterade till återhämtnings-förmåga omfattande ICT-leverantörskedjan. ISO/IEC 27031 handlar om kontinuitetsplanering.