Tilbake

Leverandørrelasjoner og cybersikkerhet

Cyberangrep på forsyningskjeder økte med mer enn 50 % i 2021 med høyprofilerte mål inkludert Colonial Pipeline, Kaseya og SolarWinds. Et viktig tillegg til NEK ISO/IEC 27036-serien spesifiserer grunnleggende informasjonssikkerhetskrav for å hjelpe organisasjoner med å redusere risiko knyttet til leverandørforhold.

Hvordan står det til med Cybersikkerheten i din virksomhet?

Krav til leverandørforhold

Rådene gitt i den nyeste utgaven av NEK ISO/IEC 27036-2:2022 om kravene til leverandørforhold gjelder for organisasjoner av alle typer og størrelser. Den dekker innkjøp og levering av produkter og tjenester, som produksjon eller montering, anskaffelse av forretningsprosesser, programvare- og maskinvarekomponenter, kunnskapsprosessanskaffelser, bygge-drift-overføring og skydatabehandlingstjenester.

I henhold til NEK ISO/IEC 27036-2 er cybersikkerhetsrisikoen forårsaket av gjensidig tilgang til den andre partens eiendeler, for eksempel informasjon og informasjonssystemer, sammen med forskjellene i forretningsmål og tilnærmingen til informasjonssikkerhet. Den internasjonale standarden understreker at disse risikoene bør håndteres av organisasjoner i hele forsyningskjeden.

Den identifiserer informasjonssikkerhetskravene for å definere, implementere, drifte, overvåke, gjennomgå, vedlikeholde og forbedre leverandør- og innkjøperforhold. Standarden legger til rette for gjensidig forståelse av den andre partens tilnærming til informasjonssikkerhet og toleranse for informasjonssikkerhetsrisikoer, samt gjenspeiler kompleksiteten ved å håndtere risikoer som kan ha informasjonssikkerhetseffekter i leverandør- og innkjøperforhold.

NEK ISO/IEC 27036-2:2022 er den andre delen av den firedelte standarden NEK ISO/IEC 27036, som sammen gir omfattende veiledning om leverandørforhold, inkludert forsyningskjede- og skytjenestesikkerhet:

  • NEK ISO/IEC 27036-1, Cybersecurity — Leverandørforhold — Del 1: Oversikt og konsepter
  • NEK ISO/IEC 27036-2, Cybersecurity – Leverandørforhold – Del 2: Krav
  • NEK ISO/IEC 27036-3, Informasjonsteknologi – Sikkerhetsteknikker – Informasjonssikkerhet for leverandørforhold – Del 3: Retningslinjer for informasjons- og kommunikasjonsteknologis forsyningskjedesikkerhet
  • NEK ISO/IEC 27036-4, Informasjonsteknologi – Sikkerhetsteknikker – Informasjonssikkerhet for leverandørforhold – Del 4: Retningslinjer for sikkerhet for skytjenester

Bedrifter er avhengige av tredjepartsleverandører for å anskaffe produkter og tjenester, inkludert skyselskaper for å lagre sensitive data. Fra et cybersikkerhetsstandpunkt, som NEK ISO/IEC 27036 påpeker, introduserer dette risikoer for både innkjøpere og leverandører.

Organisasjoner må beskytte seg mot konsekvensene av forsyningskjedeangrep. Konsensusbaserte internasjonale standarder basert på beste praksis og innsikt fra eksperter fra hele verden tilbyr veiledning og råd som man kan stole på.

NEK ISO/IEC 27036-standardene er utviklet av IEC og ISOs tekniske komité for informasjonssikkerhet, cybersikkerhet og personvern ISO/IEC JTC1.

Dette er en oversatt artikkel hentet fra IEC News & blogg – for orginaleteksten, les her.

På NEK Cybersikkerhetskonferanse den 24. august ønsker vi blant annet å sette lyset på viktigheten av å sikre cybersikkerhet i anskaffelser.

Les mer om konferansen og meld deg på!