Wat is ISO/IEC 27036?
ISO/IEC 27036 is een internationale norm die richtlijnen biedt voor informatiebeveiliging in samenwerkingsverbanden tussen organisaties, met name in de digitale supply chain. De norm is onderdeel van de ISO 27000]-familie en richt zich op het beschermen van informatiestromen tussen organisaties en hun externe partners.
ISO 27036 helpt je om cyberrisico’s te beheersen bij leveranciers, dienstverleners, cloudproviders of softwareontwikkelaars.
📦 Structuur van ISO 27036
| Deel | Onderwerp |
|---|---|
| Deel 1: Overzicht | Begrippen, principes en algemene aanpak |
| Deel 2: Contracten | Beveiliging binnen leverancierscontracten |
| Deel 3: ICT-leveranciers | Specifiek voor relaties met ICT-dienstverleners en IT-producten |
| Deel 4: Supply Chain | Focus op informatiebeveiliging binnen de toeleveringsketen |
🧠 Wat behandelt ISO 27036-4 (Supply Chain)?
ISO 27036-4 is het meest relevant voor OT/ICS-omgevingen en behandelt o.a.:
- Beoordeling van de risico’s die ontstaan door samenwerking met derde partijen
- Eisen voor Supplier Security en informatie-uitwisseling
- Beveiliging van integraties (bijv. via API’s, firmware of remote access)
- Monitoring van geleverde producten en diensten gedurende de levenscyclus
- Samenwerking bij incidenten en kwetsbaarheidsmelding (Responsible Disclosure)
🔐 Waarom is ISO 27036 belangrijk?
| Risico | Zonder 27036-aanpak |
|---|---|
| Onveilige firmware/software | Geen controle op beveiliging van componenten of updates |
| Onbetrouwbare leveranciers | Geen due diligence of risicoprofiel bij onboarding |
| Supply chain-aanvallen (zoals 3CX) | Geen detectie of respons bij gemanipuleerde updates |
| Onvoldoende contractuele beveiliging | Geen juridische basis voor audits, controls of compliance |
ISO 27036 is complementair aan IEC 62443-2-4, die technische eisen stelt aan leveranciers van industriële systemen.
✅ Best practices volgens ISO 27036
| Maatregel | Toelichting |
|---|---|
| Third Party Risk Management | Risicobeoordeling van leveranciers, ook bij onderaannemers |
| Supplier Security-beleid | Contractueel vastleggen van beveiligingseisen |
| SBOM-eis | Leveranciers moeten transparantie geven over gebruikte componenten |
| Access Control voor externen | Beperk toegangen en log alles via PAM of Jump Server |
| Monitoring & audits | Regelmatige controle op naleving van beveiligingsafspraken |
📌 Samengevat
ISO 27036 biedt een gestructureerde aanpak voor het beveiligen van digitale samenwerking met externe partijen. In OT en industriële omgevingen is het onmisbaar bij het beheersen van Supply Chain-risico’s, contractuele afspraken en software-integriteit.