Program for ansvarlig organisation

Information Security er alles ansvar. Uanset om du er kunde, leverandør eller arbejdsgiver, har vi alle en rolle at spille i beskyttelse af værdifuld information og data.

En ansvarlig organisation kan komme fra mange udgangspunkter. Det kan omfatte kunder, leverandører, partnere, investorer, forsikringsselskaber eller andet interesserede parter. Med behovet for større kontrol over information og databeskyttelse i forsyningskæden tager organisationer som dig dette som en mulighed for at skille sig ud fra mængden. Så hvad er de faktorer, der adskiller de ansvarlige kunder og attraktive leverandører fra de organisationer, der er bagved kurven?

Hvad er kendetegnene for en ansvarlig kunde?

Med hensyn til forsyningskæde, er der en række egenskaber, der ville gøre en kunde ansvarlig, når det kommer til informationssikkerhed og privatliv.

• De investerer i opbygning af leverandørkapacitet og fælles læring
• De gør det nemmere for mindre leverandører at få adgang til hjælp fra deres Data Protection Officer (DPO)
• Yde støtte til relevante politikker og kontroller, samt dele deres egen certificerede praksis på en kollaborativ måde
• Organiserer omkring forsyningskædeklynger og vedtager praksis, der forbedrer resultater og reducerer risikoen for fortrolighed, integritet og tilgængelighed (CIA) for alle, ikke kun dem selv
• Sæt forventninger og er klar på mål internt og eksternt f.eks for overholdelse af EU GDPR inden deadline
• Effektiv onboarding i livet ledelse og exit-metoder for at sikre CIA
• De integrerer mindre leverandører i dele af deres eget Information Security Management System (ISMS) i stedet for at diktere kostbar eller uoverkommelig praksis

En Ansvarlig Kunde går ud over 'følg eller dø'-meddelelser og simple rettigheder (eller trusler) til revision, og i stedet vælger Educate and Encourage-tilgangen.

Hvad er kendetegnene for en attraktiv leverandør?

Det, vi egentlig spørger her, er, hvad der ville gøre leverandører mere attraktive for de kunder, de søger, med hensyn til informationssikkerhed?

• En attraktiv leverandør vil have et ISMS, der er certificeret og anerkendt ved at opnå ISO 27001:2013
• De ville være åbne for at dele deres ismer med kunder, der bruger dynamisk "altid tændt" demonstration
• De kan demonstrere deres positive omdømme og resultater med andre kunder
• De vil enten ikke have lidt under omtale af uønskede hændelser (eller være kommet sig godt over det)
• Deres kundevendte personale (salg, drift, service) tager emnet information og datasikkerhed alvorligt, og de fremmer god adfærd i deres arbejde med kunder og kundeemner
• De har en plan for EU GDPR inden deadline
• Er i stand til at demonstrere, at sin egen forsyningskæde også er engageret og sikker

Hvad har de begge til fælles?

Der er ringe eller ingen mening i blot at læse af informationssikkerhedspolitikker og tænker, at dette vil være nok for din organisation. Disse principper skal være i sjælen og DNA'et hos dig, din arbejdsstyrke og enhver enhed, du gør forretninger med.

Ansvarlige kunder og attraktive leverandører sikrer, at den strategi, de tager for informations- og datasikkerhed, er i overensstemmelse med organisationens etos. Dette gør det ikke kun nemt at leve fra dag til dag, men det øger også dine medarbejderes og interessenters køb på.

• Engagerende og meningsfuld personalekommunikation/bevidsthed
• I stand til at beskrive og demonstrere deres ISMS fungerer
• Privatliv og sikkerhed by design, herunder PIA
• Belønninger og konsekvenser