Informacijska varnost v odnosih z dobavitelji skladno z ZInfv-1 in NIS 2

15. - 16. 10. 2026

Namen

Namen programa je omogočiti udeležencem razumevanje in uporabo smernic za zagotavljanje informacijske varnosti v odnosih z dobavitelji. Program bo zajemal temeljne pojme, ključne zahteve in smernice za upravljanje tveganj, povezanih z informacijskimi sistemi in podatki, ki so vključeni v poslovne odnose z dobavitelji.

Po Zakonu o informacijski varnosti (ZInfv-1) in direktivi NIS 2 morajo bistveni in pomembni subjekti vzpostaviti ustrezne ukrepe za zagotavljanje varnosti v odnosih z dobavitelji.
To vključuje:

določitev minimalnih varnostnih zahtev za ključne dobavitelje in izvajalce,
upoštevanje njihove kakovosti ter uveljavljenih praks na področju kibernetske varnosti,
po potrebi preverjanje izvajanja dogovorjenih varnostnih ukrepov pri dobaviteljih,
ocenjevanje specifičnih ranljivosti pri posameznem izvajalcu, ki bi lahko vplivale na delovanje in varnost sistema.

Vsebina

Prvi dan:

Uvod v standarde ISO 27036:

Pregled standardov ISO 27036-1, ISO 27036-2, ISO 27036-3 in ISO 27036-4, razčlenitev ključnih pojmov in konceptov, definiranih v ISO 27036-1, vključno z različnimi tipi odnosov z dobavitelji in informacijsko-varnostnimi tveganji, povezanimi s temi odnosi. Razprava o motivaciji za vzpostavljanje odnosov z dobavitelji in kako različni tipi odnosov lahko vplivajo na varnost informacij. Razumevanje, kako prepoznati in upravljati tveganja, ki izhajajo iz teh odnosov.

Zahteve za informacijsko varnost v odnosih z dobavitelji (ISO 27036-2):

Podrobna obravnava procesov sporazumevanja in organizacijskih procesov, tehničnih menedžerskih procesov in tehničnih procesov, kot tudi upravljanja tveganj v odnosih z dobavitelji. Metode za definiranje, implementacijo, nadziranje in izboljševanje odnosov z dobavitelji za zagotavljanje informacijske varnosti. Proučevanje praktičnih metod za vzpostavljanje in ohranjanje varnih odnosov z dobavitelji skozi celoten življenjski cikel poslovanja. Analiza primerov iz prakse in študij primerov za demonstracijo implementacije varnostnih ukrepov v resničnih situacijah.

Drugi dan:

Smernice za varnost dobavne verige (ISO 27036-3):

Upravljanje tveganj v dobavni verigi strojne opreme, programske opreme in storitev, vključno z vidljivostjo in sledljivostjo v dobavni verigi ter specifičnimi kontrolami informacijske varnosti za dobavno verigo. Ključne prakse za zagotavljanje varnosti skozi vse faze življenjskega cikla izdelkov in storitev. Metode za identifikacijo in zmanjševanje tveganj znotraj kompleksnih dobavnih verig. Diskusija o vlogah in odgovornostih različnih deležnikov v dobavni verigi ter kako zagotoviti učinkovito komunikacijo in sodelovanje.

Smernice za varnost storitev v oblaku (ISO 27036-4):

Specifična tveganja in grožnje za storitve v oblaku. Uporaba kontrol informacijske varnosti skozi življenjski cikel storitev v oblaku ter implementacija in upravljanje varnostnih ukrepov v različnih modelih implementacije storitev v oblaku. Strategije za zagotavljanje vidljivosti in upravljanje tveganj, ki so specifični za oblak, vključno z javnimi, zasebnimi in hibridnimi modeli oblaka. Podrobna analiza varnostnih izzivov v oblaku in priporočene prakse za zaščito podatkov in kontinuiteto poslovanja.

Pisni preizkus znanja

Metodologija in pristop

Program se bo izvajal skozi interaktivne delavnice, predavanja in praktične vaje. Vsaka tema bo podprta s študijami primerov, da se omogoči praktično razumevanje uporabe standardov. Udeleženci bodo imeli priložnost delati na resničnih primerih in razvijati lastne strategije za upravljanje informacijske varnosti v odnosih z dobavitelji.

Učni izidi

Po zaključku programa bodo udeleženci sposobni:

razumeti in uporabiti ključne zahteve standardov ISO 27036,
identificirati in oceniti informacijsko-varnostna tveganja v odnosih z dobavitelji,
implementirati ustrezne kontrole informacijske varnosti,
upravljati varnost v dobavni verigi strojne opreme, programske opreme in storitev,
upravljati specifična varnostna tveganja, povezana s storitvami v oblaku.

Udeležbo priporočamo:

Ciljna skupina za ta izobraževalni program vključuje:

vodje tima ISMS,
člane tima ISMS,
Strokovnjake za informacijsko varnost
vodje projektov in IT-menedžerje, ki delajo z dobavitelji,
pravne strokovnjake, vključene v odnose z dobavitelji

Seznam literature

ISO/IEC 27036-1:2021, Cybersecurity — Supplier relationships — Part 1: Overview and concepts
ISO/IEC 27036-2:2022, Cybersecurity — Supplier relationships — Part 2: Requirements
ISO/IEC 27036-3:2023, Cybersecurity — Supplier relationships — Part 3: Guidelines for hardware, software and services supply chain security
ISO/IEC 27036-4:2016, Cybersecurity — Supplier relationships — Part 4: Guidelines for security of cloud services
ISO/IEC 27002:2023, Information security, cybersecurity and privacy protection — Information security controls

Pridobite več informacij glede certificiranja vaše organizacije po zahtevah standarda ISO/IEC 27001:2022 ali se prijavite na brezplačno informativno predstavitev.

Nastanitev: Ker izobraževanje traja več dni zapored, vam ponujamo možnost prenočitve v Ljubljani. SIQ Ljubljana ima sklenjen poseben dogovor s hotelom Austria Trend Ljubljana, ki se nahaja približno 20 minut hoje od naših predavalnic. Kot alternativna možnost je na voljo tudi hotel Ibis Styles Ljubljana Centre v središču mesta. Za več informacij glede nastanitve nas prosimo kontaktirajte.

Dodatne informacije: Bojan Varga, telefon: (01) 4778 108, e-pošta: bojan.varga@siq.si

Termini: 15. - 16. 10. 2026

Oznaka: 18957

Obvestite me o naslednjem terminu
Prosim izberite datum
Prijava
Trajanje: 2 dni (09:00 - 16:00)
16 šolskih ur
Predavatelj: Mag. Davorin Kacian
Število prostih mest:
Kotizacija: 489,00 EUR (ne vključuje 22% DDV)

Obveščanje o izobraževanjih

Bodite pravočasno obveščeni o aktualnih izobraževanjih in brezplačnih dogodkih.

Prijavite se

Cenimo in nagrajujemo vašo zvestobo

Zato uvajamo Bonus zvestobe za nagrajevanje naših zvestih udeležencev.

Več o bonusu zvestobe