Qu’est-ce que la norme–ISO 27036 ?
L’ISO 27000 est une série de normes de sécurité de l’information élaborées et publiées par l’Organisation internationale de normalisation (ISO), qui fournit un cadre mondialement reconnu pour les meilleures pratiques en matière de développement du système de gestion de la sécurité de l’information (SGSI).
La norme ISO 27036, qui est divisée en quatre parties et fait partie de la famille ISO 27000, relative à la Sécurité de l’information dans les relations avec les fournisseurs, fournit des lignes directrices sur l’évaluation et la gestion des risques liés à l’information dans le cadre de l’acquisition de biens et de services auprès des fournisseurs.
L’ISO 27000, Sécurité de l’information dans les relations avec les fournisseurs, fournit des lignes directrices sur l’évaluation et la gestion des risques liés à l’information dans le cadre de l’acquisition de biens et de services auprès des fournisseurs.
Organisation et utilisations de la norme ISO 27036
Comment la norme est-elle divisée ?
La norme ISO/IEC 27036 se divise en quatre parties :
- ISO/IEC 27036-1:2014 : Cette partie inclut la description générale et les principaux concepts. Elle sert d’introduction aux quatre parties de cette norme, en donnant des informations générales des antécédents réglementaires (ISO 27000, TI – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Description générale et vocabulaire) et en introduisant les termes et les concepts clés, y compris les risques liés à la sécurité de l’information dans les relations avec les fournisseurs.
- ISO/IEC 27036-2:2014 : Cette partie spécifie les exigences fondamentales en matière de sécurité de l’information relatives aux relations commerciales entre fournisseurs et acquéreurs. Les mesures de contrôle recommandées couvrent divers aspects de la gouvernance, de la gestion de l’activité et de la gestion de la sécurité de l’information (habilitation de projets organisationnels, planification de la relation avec le fournisseur, accords de relation, gestion des relations avec les fournisseurs, etc.)
- ISO/IEC 27036-3:2013 : Cette partie fournit des lignes directrices pour la sécurité de la chaîne d’approvisionnement des TIC. Elle contient des lignes directrices destinées aux fournisseurs et aux acquéreurs sur la gestion des risques de sécurité de l’information liés à la chaîne d’approvisionnement (logiciels malveillants, produits contrefaits, risques organisationnels, intégration de la gestion des risques aux processus du cycle de vie du système et du logiciel, etc.)
- ISO/IEC 27036-4:2016 : Cette partie décrit les lignes directrices pour la sécurité des services en nuage. Elle fournit aux clients et aux fournisseurs de services en nuage des conseils sur les risques de sécurité de l’information associés à l’utilisation des services en nuage et sur la gestion efficace de ces risques en mettant en œuvre des contrôles spécifiques pour les atténuer.
Où la norme ISO 27036 s’applique-t-elle ?
La norme s’applique aux relations commerciales entre acheteurs et fournisseurs de divers biens et services, tels que :
- Fourniture de matériel, de logiciel et de services TIC, y compris les services de télécommunications et d’Internet.
- Externalisation de services d’informatique en nuage.
- Autres services tels que les agents de sécurité, le nettoyage, les coursiers, l’entretien des équipements, les services de conseil spécialisé, etc.
- Produits et services sur mesure pour lesquels l’acheteur spécifie les exigences et joue généralement un rôle actif dans la conception du produit.
- Services publics tels que l’électricité, le carburant et l’eau.
Phases de la norme ISO 27036 :
Des lignes directrices sont données pour détecter et évaluer les risques liés à l’information impliqués dans l’acquisition de biens et de services et mettre en place les contrôles nécessaires pour les atténuer, tout au long du cycle de vie ou des phases de la relation entre acheteurs et fournisseurs :
Quel est le cycle de vie de la relation ?
Le cycle de vie de l’ISO 27036 se compose de plusieurs phases :
- Analyse coûts-avantages, comparaison des options de développement en interne ou d’externalisation, ou d’une combinaison des deux.
- Définition des exigences.
- Sélection, évaluation et recrutement des fournisseurs.
- Application des accords de fourniture.
- Exploitation : gestion et suivi des relations, de la conformité, des incidents et des modifications, etc.
- Mise à jour du renouvellement éventuel du contrat, en revoyant les conditions, de la performance, des problèmes, des processus de travail, etc.
- Fin de la relation commerciale.
Risques liés à la sécurité de l’information :
Les situations dans lesquelles la sécurité de l’information est compromise sont classées comme suit :
- Dépendance de l’acquéreur vis-à-vis des fournisseurs.
- Accès et protection des actifs informationnels de tiers.
- Partage des responsabilités en matière de sécurité de l’information en ce qui concerne la conformité aux politiques, normes, lois, règlements, contrats et autres engagements / obligations en matière de sécurité de l’information.
- Coordination entre l’acquéreur et le fournisseur pour s’adapter ou répondre aux nouvelles exigences en matière de sécurité de l’information.
Contrôles en matière de sécurité de l’information :
Les contrôles de sécurité relatifs aux informations doivent être effectués de la façon suivante :
- L’analyse préliminaire des risques, des contrôles, des coûts et des avantages associés au maintien d’une sécurité de l’information adéquate.
- La création d’objectifs stratégiques communs pour aligner l’acheteur et le fournisseur sur la sécurité de l’information.
- La spécification des exigences en matière de sécurité de l’information : exiger des fournisseurs qu’ils se conforment à la norme ISO/IEC 27001 dans les contrats, les accords de niveau de service, etc.
- Dans les procédures de gestion de la sécurité : analyse des risques, conception de la sécurité, gestion des incidents, plans de continuité d’activité, entre autres.
- Responsabilité pour la protection des actifs informationnels critiques (registres de sécurité, registres d’audit, tests, etc.).
- Le droit à l’audit et à la conformité, avec des sanctions ou des responsabilités en cas de non-conformité ou des primes en cas de conformité totale.
Chez GlobalSuite Solutions, nous vous proposons les services d’aide et de conseil nécessaires pour mettre en œuvre votre Système de gestion de la sécurité de l’information (SGSI) basé sur les exigences de la norme ISO 27001.
En outre, nous disposons du logiciel GlobalSuite®, entièrement développé par notre équipe, qui permet la mise en œuvre, la gestion et le maintien des exigences requises par la norme ISO 27001 dans tous types d’entreprises et de secteurs.