ISO/IEC 27036-2 — Cybersecurity — Supplier relationships — Part 2: Requirements

Posted on    by

ISO/IEC 27036-2 — Cybersecurity — Leveranciersrelaties — Deel 2: Eisen

Waarom deze standaard?

Waar ISO/IEC 27036 op conceptueel niveau richting geeft aan beveiliging binnen leveranciersrelaties, specificeert ISO/IEC 27036-2 de concrete eisen die organisaties kunnen hanteren om informatiebeveiliging en cybersecurity bij derde partijen afdwingbaar en beheersbaar te maken.

In een zorgcontext, en in het kader van NIS2, is het essentieel dat cyber- en informatiebeveiligingsvereisten niet vrijblijvend blijven, maar expliciet worden vastgelegd en opgevolgd binnen leveranciers- en uitbestedingsrelaties. ISO/IEC 27036-2 biedt hiervoor een normatief houvast.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036-2 gebruiken om minimale en proportionele beveiligingseisen te definiëren voor leveranciers, dienstverleners en ketenpartners, in samenhang met het Information Security Management System (ISMS).

De standaard ondersteunt organisaties bij:

  • het vertalen van interne informatiebeveiligingsvereisten naar externe leveranciers,

  • het opnemen van beveiligingseisen in contracten, SLA’s en uitbestedingsafspraken,

  • het afstemmen van leveranciersbeveiliging op risicoprofiel en kriticiteit,

  • en het monitoren en evalueren van naleving door derde partijen.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036-2 draagt concreet bij aan:

  • afdwingbare en consistente beveiligingseisen binnen de supply chain,

  • vermindering van cyber- en informatiebeveiligingsrisico’s bij uitbesteding,

  • versterking van governance en accountability richting leveranciers,

  • betere aansluiting tussen interne beveiligingsmaatregelen en externe afhankelijkheden,

  • en aantoonbaarheid richting bestuur, auditors en toezichthouders.