ISO/IEC 27036-4 — Information technology — Security techniques — Information security for supplier relationships — Part 4: Guidelines for security of cloud services

Posted on    by

ISO/IEC 27036-4 — Informatietechnologie — Beveiligingstechnieken — Informatiebeveiliging voor leveranciersrelaties — Deel 4: Richtlijnen voor de beveiliging van clouddiensten

Waarom deze standaard?

Zorgorganisaties maken in toenemende mate gebruik van clouddiensten voor klinische toepassingen, zorgondersteunende processen, gegevensopslag en digitale samenwerking. Deze afhankelijkheid van cloud service providers introduceert specifieke informatiebeveiligings- en cyberrisico’s die zich uitstrekken over organisatorische en juridische grenzen heen.

ISO/IEC 27036-4 richt zich expliciet op de beveiliging van clouddiensten binnen leveranciersrelaties en biedt richtlijnen om cloud-specifieke risico’s gestructureerd te beheersen. In het kader van NIS2, waar digitale ketenafhankelijkheden en uitbesteding expliciet worden benoemd, is deze standaard bijzonder relevant voor zorgorganisaties.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036-4 gebruiken als verdiepend referentiekader voor het beheersen van informatiebeveiliging en cybersecurity bij het gebruik van clouddiensten, in samenhang met het Information Security Management System (ISMS) en het Third-Party & Supply Chain Management System.

De standaard ondersteunt organisaties bij:

  • het identificeren van cloud-specifieke beveiligingsrisico’s binnen leveranciersrelaties,

  • het vastleggen van beveiligingsvereisten voor cloud service providers,

  • het beoordelen van verantwoordelijkheden en gedeelde beveiligingsmodellen,

  • het borgen van beveiliging over de volledige levenscyclus van het gebruik van clouddiensten,

  • en het afstemmen van cloudbeveiliging op organisatiebrede risico- en governancekaders.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036-4 draagt concreet bij aan:

  • verhoogde beheersing van informatiebeveiligings- en cyberrisico’s bij clouddiensten,

  • duidelijkheid over verantwoordelijkheden tussen zorgorganisatie en cloudleverancier,

  • versterking van cyberweerbaarheid binnen digitale zorgomgevingen,

  • betere aansluiting tussen cloudgebruik en bestaande beveiligingsmaatregelen,

  • en aantoonbaarheid richting bestuur, auditors en toezichthouders.