Szukaj ×
538 485 581 Kontakt
×
Cyberbezpieczeństwo w łańcuchu dostaw

ISO/IEC 27036
bezpieczeństwo informacji w relacjach z dostawcami

Wdrażamy wymagania ISO/IEC 27036 — normy regulującej zarządzanie ryzykiem bezpieczeństwa informacji w relacjach z zewnętrznymi dostawcami i partnerami ICT. Przygotowujemy organizacje do spełnienia wymagań wobec dostawców oraz do przejścia audytów w ramach programu ISO 27001.

Zapytaj o wdrożenie ISO 27036 Czym jest ISO 27036?
Definicja normy

ISO/IEC 27036 —
co to za norma?

ISO/IEC 27036 to norma z rodziny ISO/IEC 27000, nosząca tytuł „Cybersecurity — Supplier Relationships". Dostarcza wytycznych dotyczących oceny i postępowania z ryzykiem bezpieczeństwa informacji wynikającym z pozyskiwania towarów i usług od zewnętrznych dostawców.

Norma obejmuje cały cykl życia relacji z dostawcą: od oceny i wyboru dostawcy, przez zarządzanie umową i monitorowanie zgodności, aż po bezpieczne zakończenie współpracy. Adresuje zarówno nabywców (organizacje kupujące towary lub usługi), jak i samych dostawców.

ISO 27036 uzupełnia normę ISO 27001 — podczas gdy ISO 27001 obejmuje wewnętrzny system zarządzania bezpieczeństwem informacji, ISO 27036 rozszerza ten system o zewnętrzny wymiar zarządzania dostawcami.

Kluczowe obszary normy ISO 27036:

  • Ocena i wybór dostawców pod kątem bezpieczeństwa informacji
  • Zarządzanie ryzykiem stron trzecich (Third-Party Risk Management)
  • Bezpieczeństwo łańcucha dostaw ICT (sprzęt, oprogramowanie, usługi)
  • Wymagania kontraktowe wobec dostawców w zakresie bezpieczeństwa
  • Monitorowanie zgodności dostawców w trakcie trwania umowy
  • Zarządzanie incydentami bezpieczeństwa w relacjach z dostawcami
  • Bezpieczne zakończenie relacji z dostawcą
  • Wytyczne dotyczące bezpieczeństwa usług w chmurze (cloud services)
Struktura normy

Cztery części normy
ISO/IEC 27036

Norma ISO/IEC 27036 składa się z czterech opublikowanych części, obejmujących różne aspekty bezpieczeństwa w relacjach z dostawcami.

ISO/IEC 27036-1:2021

Przegląd i koncepcje

Fundament normy — definiuje podstawowe koncepcje, zasady i terminologię dotyczące zarządzania relacjami z dostawcami w kontekście bezpieczeństwa informacji. Wyjaśnia role nabywcy i dostawcy oraz zakres całej serii.

ISO/IEC 27036-2:2022

Wymagania

Określa podstawowe wymagania w zakresie bezpieczeństwa informacji dotyczące definiowania, wdrażania, obsługi, monitorowania i utrzymywania relacji nabywca–dostawca. Stanowi najważniejszą część operacyjną normy.

ISO/IEC 27036-3:2023

Łańcuch dostaw ICT

Wytyczne dotyczące zarządzania ryzykiem bezpieczeństwa informacji w rozproszonych, wielowarstwowych łańcuchach dostaw ICT obejmujących sprzęt, oprogramowanie i usługi informatyczne. Kluczowa część dla firm IT i podmiotów outsourcujących systemy informatyczne.

ISO/IEC 27036-4:2016

Usługi w chmurze

Szczegółowe wytyczne dotyczące zarządzania bezpieczeństwem w relacjach z dostawcami usług chmurowych. Obejmuje ocenę ryzyka, wymagania kontraktowe i monitorowanie dostawców cloud. Szczególnie istotna dla organizacji korzystających z SaaS, IaaS i PaaS.

Zastosowanie normy

Dla kogo jest
ISO 27036?

ISO 27036 ma zastosowanie we wszystkich organizacjach, które korzystają z produktów lub usług zewnętrznych dostawców. W praktyce jest szczególnie istotna wszędzie tam, gdzie dostawcy mają dostęp do danych lub systemów organizacji.

Norma jest odpowiedzią na rosnące ryzyko cyberataków prowadzonych przez łańcuch dostaw — coraz częstszą metodę kompromitowania dużych organizacji poprzez słabiej zabezpieczonych dostawców.

Branże i organizacje szczególnie zainteresowane ISO 27036:

  • Firmy IT i dostawcy oprogramowania outsourcujący komponenty lub usługi
  • Instytucje finansowe i banki zarządzające dostawcami technologicznymi
  • Podmioty lecznicze i firmy farmaceutyczne korzystające z systemów ICT
  • Firmy logistyczne i transportowe z rozbudowaną siecią podwykonawców
  • Przedsiębiorstwa produkcyjne z wielopoziomowym łańcuchem dostaw
  • Organizacje korzystające z usług chmurowych (SaaS, IaaS, PaaS)
  • Administracja publiczna i podmioty infrastruktury krytycznej
  • Firmy posiadające lub wdrażające ISO 27001, które chcą objąć normą zewnętrznych dostawców
Jak wdrażamy ISO 27036

Etapy wdrożenia
ISO/IEC 27036

Przeprowadzamy organizację przez wszystkie etapy wdrożenia — od analizy istniejących relacji z dostawcami po pełne wdrożenie procesów zarządzania ryzykiem stron trzecich.

  1. 1

    Analiza luk (gap analysis)

    Audytujemy aktualne procesy zarządzania dostawcami i oceniamy stopień zgodności z wymaganiami ISO 27036-2. Identyfikujemy luki i priorytety działań.

  2. 2

    Inwentaryzacja dostawców i klasyfikacja ryzyka

    Tworzymy rejestr dostawców i klasyfikujemy ich według poziomu ryzyka bezpieczeństwa informacji — uwzględniając zakres dostępu do danych i systemów.

  3. 3

    Opracowanie polityk i procedur

    Opracowujemy politykę bezpieczeństwa w relacjach z dostawcami, procedury oceny i wyboru dostawców, wymagania bezpieczeństwa do umów oraz formularze kwestionariuszy bezpieczeństwa.

  4. 4

    Wdrożenie procesów monitorowania dostawców

    Wdrażamy procesy ciągłego monitorowania zgodności dostawców, zarządzania incydentami bezpieczeństwa w relacjach zewnętrznych oraz kontroli zmian w umowach i zakresie usług.

  5. 5

    Szkolenie zespołu i integracja z ISO 27001

    Szkolimy pracowników odpowiedzialnych za zarządzanie dostawcami i integrujemy wdrożone procesy z istniejącym systemem SZBI ISO 27001 (jeśli organizacja go posiada).

  6. 6

    Audyt wewnętrzny i wsparcie przy audycie zewnętrznym

    Przeprowadzamy audyt wewnętrzny wdrożonych rozwiązań i towarzyszymy organizacji w trakcie audytu zewnętrznego realizowanego przez akredytowaną jednostkę w ramach programu ISO 27001.

Wartość dla organizacji

Korzyści z wdrożenia
ISO 27036

Wdrożenie ISO 27036 wzmacnia bezpieczeństwo całego łańcucha dostaw i redukuje ryzyko incydentów, których źródłem są zewnętrzni dostawcy. Jest też coraz częściej wymagane przez dużych zamawiających i regulatorów.

W dobie regulacji takich jak NIS2 i DORA, które nakładają na organizacje obowiązek zarządzania ryzykiem bezpieczeństwa w łańcuchu dostaw, wdrożenie ISO 27036 stanowi udokumentowany dowód spełnienia tych wymagań.

Główne korzyści wdrożenia ISO 27036:

  • Systematyczne zarządzanie ryzykiem bezpieczeństwa informacji od dostawców
  • Ochrona przed atakami prowadzonymi przez łańcuch dostaw (supply chain attacks)
  • Zgodność z wymaganiami NIS2 w zakresie bezpieczeństwa łańcucha dostaw
  • Wsparcie zgodności z RODO przy przetwarzaniu danych przez podmioty trzecie
  • Ustandaryzowane procesy oceny i wyboru dostawców
  • Budowanie zaufania klientów i partnerów biznesowych
  • Wzmocnienie programu ISO 27001 o wymiar zarządzania dostawcami
  • Redukcja ryzyka operacyjnego wynikającego z awarii lub incydentów u dostawców
Szkolenia ISO 27036

Szkolenia z zakresu
ISO/IEC 27036

Prowadzimy szkolenia otwarte i zamknięte z zakresu zarządzania bezpieczeństwem informacji w relacjach z dostawcami. Szkolenia realizujemy stacjonarnie lub w formule online, dostosowując zakres do potrzeb organizacji.

Szkolenie podstawowe

Wymagania ISO 27036 — podstawy

Szkolenie dla osób odpowiedzialnych za zarządzanie dostawcami i zakupy ICT. Obejmuje podstawy normy, strukturę czterech części, metodykę oceny ryzyka i wymagania kontraktowe. Czas trwania: 1 dzień.

Zapytaj o termin →

Szkolenie zaawansowane

Wdrożenie ISO 27036 — dla specjalistów

Szkolenie warsztatowe dla specjalistów ds. bezpieczeństwa informacji i menedżerów ds. zakupów. Obejmuje wdrożenie procesów, tworzenie dokumentacji i integrację z ISO 27001. Czas trwania: 2 dni.

Zapytaj o termin →
Powiązane normy

ISO 27036 a ISO 27001
jak te normy współdziałają?

ISO 27001 ustanawia wewnętrzny system zarządzania bezpieczeństwem informacji (SZBI). ISO 27036 rozszerza ten system o zarządzanie zewnętrznymi dostawcami — odpowiada na pytanie: jak zapewnić bezpieczeństwo informacji poza granicami własnej organizacji?

Organizacje posiadające certyfikat ISO 27001 wdrażają ISO 27036 jako rozszerzenie SZBI, które adresuje ryzyko zewnętrzne. Norma ISO 27036 bezpośrednio wspiera wymagania Aneksu A normy ISO 27001 dotyczące relacji z dostawcami.

Dowiedz się więcej o ISO 27001 →

Powiązane normy i regulacje:

  • ISO/IEC 27001 — system zarządzania bezpieczeństwem informacji (SZBI)
  • ISO/IEC 27002 — wytyczne dotyczące zabezpieczeń informacji
  • ISO/IEC 27017 — zabezpieczenia dla usług w chmurze
  • ISO/IEC 27018 — ochrona danych osobowych w chmurze
  • NIS2 — dyrektywa UE o cyberbezpieczeństwie (zarządzanie ryzykiem dostawców)
  • DORA — rozporządzenie UE o odporności cyfrowej (sektor finansowy)
  • RODO / GDPR — wymagania dotyczące umów powierzenia przetwarzania danych

Chcesz wdrożyć ISO 27001?

ISO 27001

Certyfikowalny standard SZBI — podstawa bezpieczeństwa informacji.

Więcej →

Bezpieczeństwo danych w chmurze

ISO 27018

Ochrona danych osobowych przechowywanych przez dostawców chmury.

Więcej →
Najczęściej zadawane pytania

FAQ — ISO 27036

  • ISO/IEC 27036 to norma z rodziny ISO 27000, nosząca tytuł „Cybersecurity — Supplier Relationships". Dostarcza wytycznych dotyczących oceny i postępowania z ryzykiem bezpieczeństwa informacji wynikającym z pozyskiwania towarów i usług od zewnętrznych dostawców. Norma obejmuje cały cykl życia relacji z dostawcą — od oceny i wyboru dostawcy, przez zarządzanie umową, aż po bezpieczne zakończenie współpracy. Składa się z czterech opublikowanych części.

  • ISO 27036 jest przeznaczona dla wszystkich organizacji, które korzystają z produktów lub usług zewnętrznych dostawców — niezależnie od wielkości i branży. Szczególnie istotna jest dla firm IT, instytucji finansowych, podmiotów medycznych i farmaceutycznych, sektora logistycznego oraz administracji publicznej, które outsourcują usługi informatyczne lub przetwarzają dane klientów w chmurze.

  • Norma ISO/IEC 27036 składa się z czterech opublikowanych części: ISO/IEC 27036-1:2021 (przegląd i koncepcje), ISO/IEC 27036-2:2022 (wymagania dla nabywców i dostawców), ISO/IEC 27036-3:2023 (wytyczne dotyczące bezpieczeństwa łańcucha dostaw ICT — sprzęt, oprogramowanie i usługi) oraz ISO/IEC 27036-4:2016 (wytyczne dotyczące bezpieczeństwa usług w chmurze).

  • ISO 27036 uzupełnia normę ISO 27001. ISO 27001 definiuje wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) wewnątrz organizacji. ISO 27036 rozszerza ten system o wymiar zewnętrzny — zarządzanie ryzykiem bezpieczeństwa wynikającym z relacji z dostawcami. Organizacje posiadające certyfikat ISO 27001 często wdrażają ISO 27036, aby wzmocnić bezpieczeństwo łańcucha dostaw i spełnić wymagania dotyczące relacji z dostawcami zawarte w Aneksie A normy ISO 27001.

  • ISO 27036 jest normą wytycznych i nie podlega formalnej certyfikacji przez zewnętrzną jednostkę akredytowaną w taki sam sposób jak ISO 27001. Jej wdrożenie jest jednak weryfikowane w ramach audytów ISO 27001 (dla organizacji posiadających SZBI) oraz audytów dostawców prowadzonych przez klientów. Pomagamy organizacjom wdrożyć wymagania ISO 27036 jako udokumentowane rozszerzenie systemu ISO 27001.

  • Czas wdrożenia zależy od stopnia dojrzałości organizacji w zakresie zarządzania dostawcami i posiadania systemu ISO 27001. Dla organizacji posiadającej już SZBI ISO 27001 wdrożenie wymagań ISO 27036 trwa zazwyczaj od 2 do 4 miesięcy. Koszt wdrożenia ustalamy indywidualnie po wstępnej analizie potrzeb — bezpłatną wycenę przygotowujemy w ciągu 24 godzin od kontaktu.

  • Tak. Dyrektywa NIS2 nakłada na organizacje objęte jej zakresem obowiązek zarządzania ryzykiem bezpieczeństwa w łańcuchu dostaw, w tym ocenę bezpieczeństwa dostawców i podwykonawców. Wdrożenie ISO 27036 dostarcza udokumentowanego i metodycznego podejścia do tych wymagań, co ułatwia wykazanie zgodności z NIS2 w trakcie kontroli lub audytu.

Gotowy na wdrożenie ISO 27036?

Napisz do nas — bezpłatna wycena wdrożenia w 24 godziny.

Uzyskaj bezpłatną wycenę

Kontakt

Formularz kontaktowy

Od ponad 20 lat pomagamy firmom wdrażać systemy zarządzania jakością i zdobywać certyfikaty ISO.

Zaufało nam ponad 2000 klientów, a nasze wdrożenia charakteryzuje 100% zdawalność audytów certyfikacyjnych.

Oferta

POPULARNE Certyfikaty

Kontakt

Napisz do nas →
© 2026 Pakuła Consulting. Wszelkie prawa zastrzeżone.
LinkedIn · Polityka prywatności

42 639 50 83

sekretariat@pakulaconsulting.pl

Wypełnij formularz