ISO/IEC 27036-2 — Informatietechnologie — Beveiligingstechnieken — Informatiebeveiliging voor leveranciersrelaties — Deel 3: Richtlijnen voor ICT-supply-chain-beveiliging
ISO/IEC 27036-3 — Cybersecurity — Supplier relationships — Guidelines for ICT supply chain security
Waarom deze standaard?
De digitale zorgomgeving is sterk afhankelijk van complexe ICT-leveringsketens, waaronder softwareleveranciers, integratoren, cloud- en managed service providers. Deze ICT-supply chains vormen een belangrijk aanvalsoppervlak voor cyberdreigingen en verstoringen.
ISO/IEC 27036-3 richt zich specifiek op cybersecurityrisico’s binnen de ICT-supply chain en biedt richtlijnen om deze risico’s systematisch te identificeren, te beoordelen en te beheersen. De standaard sluit nauw aan bij de aandacht die NIS2 besteedt aan software-, ICT- en digitale ketenafhankelijkheden.
Hoe kunnen organisaties deze standaard gebruiken?
Organisaties kunnen ISO/IEC 27036-3 gebruiken als verdiepend referentiekader voor het beheersen van ICT-gerelateerde leveranciers- en ketenrisico’s, in samenhang met het Information Security Management System (ISMS).
De standaard ondersteunt organisaties bij:
het in kaart brengen van ICT-supply-chain-afhankelijkheden,
het beoordelen van cyberrisico’s verbonden aan software, hardware en digitale diensten van derden,
het opnemen van specifieke ICT- en cyberbeveiligingseisen in leveranciersrelaties,
en het afstemmen van technische, organisatorische en contractuele maatregelen binnen de digitale keten.
Wat draagt deze standaard concreet bij?
ISO/IEC 27036-3 draagt concreet bij aan:
versterkte beheersing van cyberrisico’s in de ICT-supply chain,
vermindering van kwetsbaarheden door derde-partij-software en -diensten,
verhoogde weerbaarheid tegen supply-chain-aanvallen,
betere afstemming tussen technische beveiligingsmaatregelen en leveranciersbeheer,
en aantoonbare cyberweerbaarheid binnen digitale zorgketens.
