ISO/IEC 27036-1 — Cybersecurity — Leveranciersrelaties — Deel 1: Overzicht en concepten

Waarom deze standaard?

Binnen een zorgcontext zijn organisaties in toenemende mate afhankelijk van externe leveranciers, IT-dienstverleners, clouddiensten en ketenpartners. Deze afhankelijkheden creëren specifieke cyber- en informatiebeveiligingsrisico’s die zich buiten de directe organisatorische controle bevinden.

ISO/IEC 27036 biedt een internationaal erkend kader om informatiebeveiliging en cybersecurity binnen leveranciersrelaties gestructureerd en beheersbaar te organiseren. De standaard is bijzonder relevant in het licht van NIS2, waar supply-chain- en third-party-risico’s expliciet worden benoemd als kritisch aandachtspunt voor cyberweerbaarheid.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036 gebruiken als normatief referentiekader voor het inrichten van Third-Party & Supply Chain Security Management, in samenhang met het Information Security Management System (ISMS).

De standaard ondersteunt bij:

• het identificeren en beoordelen van informatiebeveiligings- en cyberrisico’s die voortvloeien uit leveranciersrelaties,

• het vastleggen van beveiligingsvereisten richting leveranciers en dienstverleners,

• het borgen van beveiliging over de volledige levenscyclus van de leveranciersrelatie,

• en het afstemmen van leveranciersbeveiliging op organisatiebrede risicokaders en governance-structuren.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036 draagt concreet bij aan:

• structurele beheersing van cyber- en informatiebeveiligingsrisico’s in de supply chain,

• duidelijke afspraken en verwachtingen richting leveranciers en ketenpartners,

• versterking van de cyberweerbaarheid van de organisatie als geheel,

• aantoonbaarheid richting bestuur, toezichthouders en auditors,

• en samenhang tussen interne beveiligingsmaatregelen en externe afhankelijkheden.