Dostawcy w usługach IT

Ilekroć mamy na myśli temat dostawców i nabywców w kontekście rozwiązań IT to myślimy o nabywcach produktów i usług, a także dostawców sprzętu, oprogramowania i usług, a przy okazji zwracamy uwagę na elementy bezpieczeństwa informacji jak: a) Uzyskanie wglądu w zagrożenia bezpieczeństwa informacji powodowane przez fizycznie rozproszone i wielowarstwowe łańcuchy dostaw sprzętu, oprogramowania i usług oraz zarządzanie nimi; b) reagowanie na zagrożenia wynikające z fizycznie rozproszonego i wielowarstwowego łańcucha dostaw sprzętu, oprogramowania i usług, które mogą mieć wpływ na bezpieczeństwo informacji w organizacjach korzystających z tych produktów i usług; c) integrację procesów i praktyk związanych z bezpieczeństwem informacji z procesami cyklu życia systemu i oprogramowania, jak opisano w normach ISO/IEC/IEEE 15288 i ISO/IEC/IEEE 12207, przy jednoczesnym wspieraniu kontroli bezpieczeństwa informacji, o czym z kolei mówi norma ISO/IEC 27002. Odpowiedź na te zagadnienia można znaleźć w dokumentach odniesienia wspomnianych w niniejszym artykule.

Wprowadzenie do serii norm ISO 27036

Zbiór norm ISO/IEC 270xx stanowi kompendium najlepszych praktyk w dziedzinach takich jak „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności”. Te normy są wynikiem prac grupy roboczej ISO/IEC JTC 1/SC 27/WG 1. Jednym z najnowszych elementów do tej serii jest norma ISO/IEC/IEEE 27036-3, wydana w czerwcu b.r. i poświęcona relacjom z dostawcami w kontekście bezpieczeństwa łańcucha dostaw sprzętu, oprogramowania i usług. Choć norma ta nie zyskała dużego rozgłosu w kontekście możliwej certyfikacji – zobacz normę ISO/IEC 27036-2 (definiuje wymagania), to może mieć ona znaczenie dla konsultantów i organizacji, które w dużej mierze polegają na swoich dostawcach jako kluczowym elemencie ich ciągłości operacyjnej (ISO 22301), ale też samego bezpieczeństwa informacji (ISO 27001).

Ta norma ma już trzy „siostry”:

– ISO/IEC 27036-2:2022 – dotycząca wymagań,
– ISO/IEC 27036-4:2016 – skupiająca się na bezpieczeństwie usług chmurowych,
– ISO/IEC 27036-1:2021 – oferująca ogólny przegląd i koncepcje.

Jednak to właśnie najnowsza norma wypełnia lukę w kwestii bezpieczeństwa łańcucha dostaw, co jest kluczowym elementem w kontekście implementacji dyrektywy NIS2. Na niedawnym KSCForum w Zakopanem, pod okiem EY, uczestnicy mieli okazję przetestować te wytyczne w praktyce, wcielając się w role pracowników firmy farmaceutycznej i jej dostawców.

Dlaczego Potrzebujemy Normy ISO/IEC/IEEE 27036-3?

Zgodnie z wprowadzeniem do tej normy, produkty i usługi IT są tworzone, zintegrowane i dostarczane na globalną skalę przez złożone i geograficznie rozproszone łańcuchy dostaw. Nabywcy często nie mają pełnej wiedzy o praktykach stosowanych przez dostawców, co stwarza ryzyko. Norma ta dostarcza wytycznych dla zarówno nabywców, jak i dostawców, w celu zarządzania tym ryzykiem. Obejmuje to konkretne rodzaje ryzyka, relacje i sposoby rozwijania zdolności organizacji do zarządzania aspektami bezpieczeństwa informacji.

Nie istnieją żadne bariery, które ograniczałyby zastosowanie tej normy przez różnorodne typy organizacji, zarówno te kupujące, jak i dostarczające sprzęt, oprogramowanie czy usługi. Chociaż wytyczne skupiają się głównie na wstępnym etapie relacji między pierwszym nabywcą a dostawcą, ich zasady są uniwersalne i powinny być implementowane na każdym odcinku łańcucha dostaw. To właśnie elastyczność w adaptacji tych samych kroków na różnych etapach łańcucha jest jednym z głównych celów tego dokumentu.

Co daje nam norma ISO/IEC/IEEE 27036-3?

Dzięki przestrzeganiu zasad zawartych w tej normie, możliwe jest efektywne komunikowanie się w sprawach związanych z bezpieczeństwem informacji pomiędzy różnymi uczestnikami łańcucha dostaw. Ułatwia to identyfikację potencjalnych zagrożeń i ich źródeł, a także zwiększa przejrzystość na każdym etapie tego łańcucha. W kontekście bezpieczeństwa informacji, norma ta oferuje szeroki wachlarz scenariuszy, które mogą być zastosowane w praktyce. Organizacje, które chcą podnieść poziom zaufania w swoim łańcuchu dostaw, powinny jasno określić, jakie są ich oczekiwania i granice tego zaufania. Następnie, powinny dokładnie ocenić ryzyka związane z ich operacjami w łańcuchu i zastosować odpowiednie metody ich identyfikacji i minimalizacji.

W kontekście zarządzania ryzykiem, normy ISO/IEC 27001 i ISO/IEC 27002 oferują solidną podstawę do wypracowania konkretnych wymagań dla obu stron – nabywców i dostawców. Może to wspomóc w ocenie ryzyka w łańcuchu dostaw z perspektywy bezpieczeństwa informacji (ISO 27001), a także ciągłości działania (ISO 22301).

Seria norm ISO/IEC 27036 idzie o krok dalej, dostarczając więcej szczegółów na temat utrzymywania i monitorowania relacji z dostawcami. Co więcej, norma ta została skonstruowana w taki sposób, aby była kompatybilna z innymi normami, takimi jak ISO/IEC/IEEE 15288 czy ISO/IEC/IEEE 12207, dotyczącymi cyklu życia produktu w software engineering.

5 1 vote

Article Rating

Wydawca nie odpowiada za treści nieredakcyjne. Treści zawarte na OFIO powinny być konsultowane z lekarzem, specjalistą lub fachowcem.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.

Kategorie

Ostatnie wpisy

Dostawcy w usługach IT

Wprowadzenie do serii norm ISO 27036

Dlaczego Potrzebujemy Normy ISO/IEC/IEEE 27036-3?

Co daje nam norma ISO/IEC/IEEE 27036-3?

KSeF i systemy ERP – jakie działania powinny podjąć firmy, aby uniknąć problemów z e-fakturowaniem?

Doradca energetyczny dla firm – czy warto mu zaufać?

Czy CSRD zmienia podejście do ryzyka klimatycznego?

Kiedy facet żaluje rozstania: psycholog

Podniecające teksty dla niej – Jak sprawić, by Twoje słowa rozpaliły jej wyobraźnię?

Oznaki zakochania u faceta które rozpoznasz gołym okiem

Jak rozmawia ukrywający zakochanie mężczyzna

Jakie emotki wysyła zakochany facet?

Co działa na facetów jak magnes

Jak POLFA Tarchomin zabezpiecza Europę w czasach kryzysu?

Kontakt

Grupa OFIO