O que é a norma ISO 27036?

A ISO 27000 é uma série de normas de segurança da informação desenvolvidas e publicadas pela Organização Internacional de Normalização (ISO). Essas normas fornecem um framework globalmente reconhecido para melhorar as práticas ao desenvolver Sistemas de Gerenciamento de Segurança da Informação (SGSI).

A norma ISO 27036 faz parte da família ISO 27000 e é dividida em quatro partes, com foco na Segurança da Informação para relacionamentos com fornecedores. Ela oferece orientação sobre avaliação e tratamento dos riscos de informação envolvidos na aquisição de bens e serviços de fornecedores.

Organização e usos da ISO 27036

Como a norma é dividida?

• ISO/IEC 27036-1:2014: Fornece uma descrição geral e esboça os principais conceitos, servindo como introdução à norma e incluindo informações sobre o contexto regulatório e termos-chave relacionados à segurança da informação para relacionamentos com fornecedores.
• ISO/IEC 27036-2:2014: Detalha os requisitos fundamentais para segurança da informação em relacionamentos comerciais entre fornecedores e compradores. Aborda medidas de controle recomendadas em aspectos como governança, gestão empresarial e gestão da segurança da informação.
• ISO/IEC 27036-3:2013: Oferece diretrizes para a segurança da cadeia de suprimentos de TIC, tanto para fornecedores quanto para compradores.
• ISO/IEC 27036-4:2016: Esboça diretrizes para a segurança de serviços de nuvem, fornecendo orientações sobre os riscos de segurança da informação associados ao uso de serviços em nuvem.

Onde a ISO 27036 é aplicada?

Esta norma é aplicada em relacionamentos comerciais entre compradores e fornecedores de diversos bens e serviços, incluindo hardware, software, serviços de TIC, terceirização de serviços em nuvem e outros serviços.

Etapas da ISO 27036

A ISO 27036 fornece diretrizes para detectar e avaliar os riscos de informação envolvidos na aquisição de bens e serviços, bem como na implementação dos controles necessários para mitigar esses riscos. As etapas incluem:

• Análise de custo-benefício, definição de requisitos, seleção de fornecedores.
• Aplicação de acordos de fornecimento.
• Operação, atualização e término do relacionamento comercial.

Riscos de segurança da informação

Os riscos de segurança da informação podem surgir em diversos contextos, como escritórios do comprador ou fornecedor, acesso a ativos de informação de terceiros e coordenação comprador-fornecedor para adaptação a novos requisitos de segurança.

Controles de segurança da informação

Os controles de segurança da informação devem ser realizados em várias etapas, incluindo análise preliminar de riscos, definição de metas estratégicas compartilhadas, especificação de requisitos de segurança da informação, procedimentos de gerenciamento de segurança e responsabilidade pela proteção de ativos de informação crítica.

Na GlobalSuite Solutions, oferecemos a ajuda e o aconselhamento necessários para implementar seu Sistema de Gerenciamento de Segurança da Informação (SGSI) com base nos requisitos da ISO 27001. Além disso, nosso software GlobalSuite® permite a implementação, gestão e manutenção dos requisitos da norma ISO 27001 em organizações e setores diversos.