Introducción
ISO / IEC 27036 es una norma de varias partes que ofrece orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de los proveedores. El contexto implícito son las relaciones de empresa a empresa, en lugar de la venta al por menor y los productos relacionados con la información. Los términos adquisición y adquirente se utilizan en lugar de compra y compra, ya que el proceso y los riesgos son muy similares, ya sea que las transacciones sean comerciales o no ( por ejemplo, una parte de una organización o grupo puede adquirir productos de otra parte como una transferencia interna sin literalmente pagando por ellos).
Alcance y propósito
Al ser un estándar de seguridad de la información , los productos más obviamente cubiertos por los estándares incluyen:
- Servicios de subcontratación de TI y computación en la nube;
- Otros servicios profesionales, por ejemplo , guardias de seguridad, limpiadores, servicios de entrega (mensajeros), mantenimiento / servicio de equipos, servicios de consultoría y asesoramiento especializado, gestión del conocimiento, investigación y desarrollo, fabricación, logística, custodia del código fuente y atención médica;
- Suministro de hardware, software y servicios de TIC, incluidos servicios de telecomunicaciones e Internet;
- Productos y servicios personalizados en los que el adquirente especifica los requisitos y, a menudo, tiene un papel activo en el diseño del producto (a diferencia de los productos básicos y los productos estándar disponibles en el mercado);
- Servicios públicos como energía eléctrica y agua.
Los estándares pueden cencima:
- Metas estratégicas, objetivos, necesidades comerciales y obligaciones de cumplimiento en relación con la seguridad y garantía de la información al adquirir productos de información o relacionados con las TIC;
- Riesgos de información como:
- La dependencia del adquirente de los proveedores, lo que complica los acuerdos de continuidad del negocio del adquirente (tanto resiliencia como recuperación);
- Acceso físico y lógico y protección de activos de información de segunda y tercera parte;
- Crear un entorno de "confianza extendida" con responsabilidades compartidas para la seguridad de la información;
- Crear una responsabilidad compartida para el cumplimiento de las políticas, estándares, leyes, regulaciones, contratos y otros compromisos / obligaciones de seguridad de la información;
- Coordinación entre proveedor y adquirente para adaptarse o responder a requisitos de seguridad de la información nuevos o modificados;
- ... y más.
- Controles de seguridad de la información como:
- Gestión de relaciones que cubre todo el ciclo de vida de la relación comercial;
- Análisis preliminar, preparación de un caso de negocio sólido, invitación a licitar, etc. , teniendo en cuenta los riesgos, controles, costos y beneficios asociados con el mantenimiento de una seguridad de la información adecuada;
- Creación de objetivos estratégicos compartidos explícitos para alinear al comprador y al proveedor en la seguridad de la información y otros aspectos ( por ejemplo, una 'estrategia de relación' de propiedad conjunta);
- Especificación de los requisitos de seguridad de información importante (como la exigencia de que los proveedores están certificados cumplen con la norma ISO / IEC 27001 y / o uso de estándares como ISO27k ) en los contratos, acuerdos de nivel de servicio , etc .;
- Procedimientos de gestión de la seguridad, incluidos aquellos que pueden desarrollarse y operarse conjuntamente, como el análisis de riesgos, el diseño de seguridad, la gestión de identidades y accesos, la gestión de incidentes y la continuidad del negocio;
- Controles especiales para atender riesgos únicos (como pruebas y arreglos alternativos asociados con la etapa de transición / implementación cuando un proveedor de subcontratación brinda servicios por primera vez);
- Propiedad clara, responsabilidad y responsabilidad por la protección de activos de información valiosos, incluidos registros de seguridad, registros de auditoría y evidencia forense;
- Un 'derecho de auditoría' y otros controles de cumplimiento, con sanciones o responsabilidades en caso de incumplimiento identificado, o bonificaciones por cumplimiento total;
- ... y más.
- El ciclo de vida completo de la relación:
- Iniciación: determinación del alcance, análisis de caso de negocio / costo-beneficio, comparación de opciones internas y externas, así como enfoques variantes o híbridos como el co-abastecimiento;
- Definición de requisitos, incluidos los requisitos de seguridad de la información, por supuesto;
- Adquisiciones, incluida la selección, evaluación y contratación con proveedores;
- Transición o implementación de los acuerdos de suministro, con mayores riesgos alrededor del período de implementación;
- Operación, incluyendo aspectos como la gestión de rutina de relación, cumplimiento, gestión de incidentes y cambios, seguimiento , etc .;
- Refrescar - una etapa opcional para renovar el contrato, tal vez revisar los términos y condiciones, el rendimiento, problemas, procesos de trabajo , etc ;
- Terminación y salida, es decir, terminar una relación comercial que ha seguido su curso de manera controlada, tal vez conduciendo al paso 1.
ISO / IEC 27036-1: 2014 - Seguridad de la información para las relaciones con proveedores - Parte 1: Descripción general y conceptos [¡GRATIS!]
Alcance y propósito: la parte 1 presenta todas las partes de este estándar, brinda información general de antecedentes e introduce los términos y conceptos clave en relación con la seguridad de la información en las relaciones con los proveedores, incluyendo “cualquier relación con el proveedor que pueda tener implicaciones en la seguridad de la información, por ejemplo, tecnología de la información, atención médica servicios, servicios de limpieza, servicios de consultoría, asociaciones de I + D, aplicaciones subcontratadas (ASP) o servicios de computación en la nube (como software, plataforma o infraestructura como servicio) ".
Describe una serie de riesgos de información que comúnmente surgen o se relacionan con las relaciones comerciales entre adquirentes y proveedores, cuando los bienes / servicios adquiridos tienen un contenido de información o relevancia para la seguridad de la información, o cuando el proveedor obtiene acceso a la información interna del adquirente.
Curiosamente, la situación inversa, es decir, que los adquirentes obtengan acceso a la información interna de los proveedores, no se menciona explícitamente en la parte 1, pero sí en la parte 2. La norma está escrita principalmente desde la perspectiva de la adquirente, cubriendo las preocupaciones de seguridad de la información de la adquirente que debe abordarse al establecer relaciones con los proveedores.
Estado: publicado en 2014 y descargable de forma gratuita desde el sitio de la ITTF .
ISO / IEC 27036-2: 2014 - Seguridad de la información para las relaciones con proveedores - Parte 2: Requisitos
Alcance y propósito: la parte 2 especifica los requisitos fundamentales de seguridad de la información relacionados con las relaciones comerciales entre proveedores y adquirentes de diversos productos (bienes y servicios). Les ayuda a llegar a un entendimiento común de los riesgos de información asociados y a tratarlos en consecuencia para su mutua satisfacción.
La introducción establece explícitamente que ISO / IEC 27036 Parte 2 no está destinada a fines de certificación , a pesar de tener “Requisitos” en el título y “Deberán” en el contenido [estas son palabras normalmente reservadas en ISO-land].
Las medidas de control recomendadas en la parte 2 cubren varios aspectos de la gobernanza y la gestión empresarial ( por ejemplo , operaciones, gestión de recursos humanos, gestión de TI, gestión de relaciones, métricas), así como la gestión de la seguridad de la información ( por ejemplo , análisis y tratamiento de riesgos de la información, especificación de controles, arquitectura / diseño , estrategia).
Dadas las presunciones, el estilo, la estructura, la profundidad, la amplitud, el rigor y los requisitos de documentación establecidos en la parte 2, seguir el estándar en detalle impondría una carga burocrática significativa en el caso de los suministros de productos básicos, pero puede ser totalmente apropiado para aquellos con fuertes implicaciones para la seguridad de la información ( por ejemplo , adquisición militar y gubernamental de sistemas y servicios de TIC clasificados, o adquisición comercial de sistemas y servicios de TIC críticos para la seguridad o la empresa, incluido el soporte de computación en la nube para procesos comerciales centrales, además de servicios de información que incluyen consultoría). Sin embargo, el estándar es una lista de verificación útil o un recordatorio de los aspectos de seguridad de la información que deben considerarse en la mayoría, si no en todas, las relaciones comerciales.
Estado: publicado en 2014 .
Parte 2 está siendo revisada siguiente cambios en ISO / IEC 15288. La norma revisada es en W orking D balsa etapa. Está previsto que se publique en 2023.
Notas: aunque esto no pretende ser un estándar certificable, la redacción como: " El adquirente ejecutará las siguientes actividades mínimas para cumplir con el objetivo definido en [una cláusula específica] " deja poca libertad para que las organizaciones interpreten, adapten y aplicar el estándar de acuerdo con sus situaciones y necesidades comerciales particulares.
ISO / IEC 27036-3: 2013 - Seguridad de la información para las relaciones con los proveedores - Parte 3: - Directrices para la seguridad de la cadena de suministro de las TIC
Alcance y propósito: esta parte del estándar guía tanto a los proveedores como a los adquirentes de bienes y servicios de TIC sobre la gestión de riesgos de la información relacionada con la cadena de suministro compleja y ampliamente dispersa, incluidos los riesgos como el malware y los productos falsificados más los 'riesgos organizativos' y la integración de gestión de riesgos con procesos de ciclo de vida de sistemas y software, basándose en ISO / IEC 15288, 12207 y 27002 .
Esta parte de ISO / IEC 27036 no cubre los aspectos de continuidad del negocio. Se refiere específicamente a los productos de TIC.
Contenido: en la parte 3 se indica una amplia gama de controles de seguridad de la información, tales como: cadena de custodia; acceso con privilegios mínimos; separación de tareas; pruebas y resistencia a la manipulación; protección persistente; gestión de cumplimiento; evaluación y verificación de códigos; entrenamiento de seguridad; evaluación y respuesta de vulnerabilidad; expectativas de seguridad definidas; derechos y responsabilidades de propiedad intelectual; evitar el mercado gris; procesos de adquisición, incluida la adquisición anónima y de una sola vez; pasar los requisitos de seguridad a los proveedores upstream; gestión de la calidad; Gestión de recursos humanos; gestión de proyectos; administracion de RELACIONES de provisiones; gestión de riesgos y seguridad ( p . ej.el análisis de requisitos debe incluir requisitos de seguridad de la información que aborden los riesgos potenciales); gestión de configuración y cambios; gestión de la información; arquitectura / diseño de seguridad; Implementación y transición de las TIC; Integración de las TIC; Pruebas y verificación de TIC ( por ejemplo , pruebas de seguridad / penetración, escaneo de vulnerabilidades, pruebas de estrés, pruebas de cumplimiento); Protección de malware; Gestión, mantenimiento y eliminación de TIC, etc. La mayoría de ellos están cubiertos en términos generales por ISO / IEC 27002: 27036-3 proporciona orientación adicional en el contexto específico de suministros de TIC. Un anexo incluye un desglose de cláusulas comparables en ISO / IEC 15288 y 12207, y otro identifica cláusulas relevantes de ISO / IEC 27002 .
Estado: publicado en 2013 .
ISO / IEC 27036–4: 2016 - Seguridad de la información para las relaciones con los proveedores - Parte 4: Directrices para la seguridad de los servicios en la nube
Alcance y propósito: la parte 4 ofrece orientación sobre seguridad de la información a los proveedores y clientes de servicios en la nube.
El alcance es:
“Proporcionar a los clientes y proveedores de servicios en la nube orientación sobre
a) obtener visibilidad de los riesgos de seguridad de la información asociados con el uso de servicios en la nube y gestionar esos riesgos de forma eficaz, y
b) responder a los riesgos específicos de la adquisición o prestación de servicios en la nube que pueden tener un impacto en la seguridad de la información en las organizaciones que utilizan estos servicios.
[El estándar] no incluye los problemas de resistencia / gestión de la continuidad del negocio relacionados con el servicio en la nube. ISO / IEC 27031 aborda la continuidad del negocio. [El estándar] no proporciona orientación sobre cómo un proveedor de servicios en la nube debe implementar, administrar y operar la seguridad de la información. Puede encontrar orientación sobre estos en ISO / IEC 27002 e ISO / IEC 27017 . El alcance de este [estándar] es definir pautas que respalden la implementación de la gestión de seguridad de la información para el uso de servicios en la nube ". [citando de la versión FDIS]
Estado: publicado en 2016 .
Comentarios personales: la página 4 describe explícitamente los riesgos de información que aborda la norma. ¡La máxima puntuación!
Revisión de ISO / IEC 27036
La revisión de esta norma de varias partes está en curso. Se ha propuesto revisar el conjunto para mejorar la consistencia interna y alinearlo con ISO / IEC 15288 (ciclos de vida del sistema de TI).
Fuente: https://www.iso27001security.com/html/27036.html