O que é a norma ISO 27036?
A ISO 27000 é uma série de normas de segurança da informação desenvolvidas e publicadas pela Organização Internacional de Normalização (ISO), que proporciona um enquadramento reconhecido mundialmente para as melhores práticas no desenvolvimento do Sistema de Gestão de Segurança da Informação (SGSI).
A norma ISO 27036 está dividida em quatro partes e é uma das normas pertencentes à família ISO 27000, referida à Segurança da informação para as relações com fornecedores, oferece orientação sobre a avaliação e o tratamento dos riscos de informação envolvidos na aquisição de bens e serviços de fornecedores.
ISO 27000, referida à Segurança da informação para as relações com fornecedores, que oferece orientação sobre a avaliação e o tratamento dos riscos de informação envolvidos na aquisição de bens e serviços de fornecedores.
Organização e usos da ISO 27036
Como está dividida a norma?
A norma ISO/IEC 27036 está dividida nas seguintes quatro partes:
- ISO/IEC 27036-1:2014: Recolhe a descrição geral e os conceitos principais. Serve de introdução às quatro partes desta norma, dando informação geral dos antecedentes normativos (ISO 27000, TI – Técnicas de segurança – Sistemas de gestão de segurança da informação – Descrição geral e vocabulário), e introduzindo os termos e conceitos-chave, incluindo os riscos, em relação com a segurança da informação nas relações com os fornecedores.
- ISO/IEC 27036-2:2014: Especifica os requisitos fundamentais da segurança da informação relativa às relações comerciais entre fornecedores e adquirentes. As medidas de controlo recomendadas abrangem diversos aspetos da governação, da gestão empresarial e da gestão da segurança da informação (habilitação de projetos organizacionais, planeamento da relação com o fornecedor, acordos de relação, gestão de relações com fornecedores, etc.).
- ISO/IEC 27036-3:2013: Proporciona as diretrizes para a segurança da cadeia de fornecimento das TIC. Recolhe as orientações tanto para os fornecedores como para os adquirentes sobre gestão de riscos de segurança da informação, relacionados com a cadeia de fornecimento (malware, produtos falsificados, riscos organizativos, integração da gestão de riscos com os processos do ciclo de vida do sistema e do software, etc.).
- ISO/IEC 27036-4:2016: Descreve as diretrizes para a segurança dos serviços na nuvem. Proporciona aos clientes e fornecedores de serviços na nuvem orientação acerca dos riscos de segurança da informação associados com o uso de serviços na nuvem e a gestão eficaz desses riscos mediante a implementação de controlos específicos para a sua mitigação.
Onde se aplica a ISO 27036?
A norma aplica-se às relações comerciais entre compradores e fornecedores de diversos bens e serviços, tais como:
- Fornecimento de hardware, software e serviços TIC, incluindo os serviços de telecomunicações e Internet.
- Externalização de serviços de computação na nuvem.
- Outros serviços como guardas de segurança, pessoal de limpeza, estafetas, manutenção de equipamentos, serviços de consultoria e assessoria especializada, etc.
- Produtos e serviços à medida onde o adquirente especifica os requisitos e normalmente tem um papel ativo no design do produto.
- Serviços públicos como energia elétrica, combustíveis e água.
Fases da ISO 27036:
São dadas as orientações para a deteção e avaliação dos riscos de informação envolvidos na aquisição de bens e serviços e a implementação dos controlos necessários para a sua mitigação, ao longo de todo o ciclo de vida ou fases da relação entre adquirentes e fornecedores:
Qual é o ciclo de vida da relação?
O ciclo de vida da ISO 27036 é composto por várias fases:
- Análise de custo-benefício, comparação de opções de desenvolvimento interno ou externalização, ou mistura de ambos.
- Definição de requisitos.
- Seleção, avaliação e contratação com os fornecedores.
- Aplicação dos acordos de fornecimento.
- Operação: gestão e supervisão de relações, cumprimento, incidentes e alterações, etc.
- Atualização na possível renovação do contrato, com a revisão de termos e condições, desempenho, problemas, processos de trabalho, etc.
- Fim da relação comercial.
Riscos na segurança da informação:
As situações onde se vê comprometida a segurança da informação classificam-se em:
- Dependência do adquirente dos fornecedores.
- Acesso e proteção de ativos de informação de terceiros.
- Responsabilidades partilhadas relativamente à segurança da informação no que se refere ao cumprimento de políticas, normas, leis, regulamentos, contratos e outros compromissos/obrigações de segurança da informação.
- Coordenação adquirente-fornecedor para adaptar ou responder aos novos requisitos de segurança da informação.
Controlos de segurança da informação:
Os controlos de segurança que se referem à informação, devem ser levados a cabo em:
- A análise preliminar de riscos, controlos, custos e benefícios associados com a manutenção de uma segurança da informação adequada.
- A criação de objetivos estratégicos partilhados para alinhar em matéria de segurança da informação a comprador e fornecedor.
- A especificação de requisitos de segurança da informação: exigência aos fornecedores de cumprimento da norma ISO / IEC 27001 em contratos, acordos de nível de serviço, etc.
- Nos procedimentos de gestão da segurança: análise de riscos, design de segurança, gestão de incidentes, planos de continuidade de negócio, entre outros.
- Para a responsabilidade pela proteção de ativos críticos de informação (registos de segurança, registos de auditoria, testes, etc.).
- O direito de auditoria e cumprimento, com sanções ou responsabilidades em caso de incumprimento ou bonificações em caso de pleno cumprimento.
Na GlobalSuite Solutions oferecemos a ajuda e o aconselhamento necessários para a implementação do seu Sistema de Gestão de Segurança da Informação (SGSI) baseado nos requisitos da ISO 27001.
Além disso, contamos com o software GlobalSuite®, integralmente desenvolvido pela nossa equipa, que permite a implementação, gestão e manutenção dos requisitos exigidos pela norma ISO 27001 em todo o tipo de organizações e setores.
