Ce que la norme couvre
- Classification des tiers selon criticite et exposition.
- Exigences de securite contractuelles et droit d audit.
- Suivi de performance securite des fournisseurs critiques.
- Gestion de fin de contrat, sortie et reversibilite.
Fiche norme ISO/IEC
ISO/IEC 27036
ISO/IEC 27036 (serie)
Encadrer la securite dans les relations avec les fournisseurs et partenaires de la chaine de valeur.
Démarrer un test cyber
Aucun parcours dédié n'est disponible pour cette norme. Explorez le catalogue complet pour trouver le test adapté à votre contexte.
Explication claire
ISO/IEC 27036 couvre la gestion du risque tiers: qualification fournisseur, exigences contractuelles, supervision des prestations et maitrise des dependances critiques.
Elle donne une grille solide pour auditer la securite de la supply chain et la robustesse des contrats de services numeriques.
Ce que la norme ne couvre pas seule
- Ne remplace pas l ensemble des controles techniques internes.
- Doit etre combinee avec 27017 pour les usages cloud.
- Exige une gouvernance achats/juridique/securite bien coordonnee.
Livrables attendus en audit
- Politique tiers securite et segmentation des fournisseurs.
- Clauses contractuelles type securite et plan de controle fournisseur.
- Tableau de bord de suivi des risques et incidents tiers.
Indicateurs utiles
- % de fournisseurs critiques evalues sur la securite.
- % de contrats critiques avec clauses securite et notification incident.
- Nombre de risques tiers critiques non traites.
Usage dans Varden Auditor
- Pilier du module chaine fournisseurs et dependances.
- Appui au scoring du risque de concentration et lock in.
- Reference pour planifier les audits tiers et revues contractuelles.