Overholdelse bevæger sig væk fra den kontraktmæssige, men tillidsbaserede og afkrydsningsboks for informationssikkerhedsstyring, hen imod en mere kontekstuel, risikofokuseret og påviselig overholdelse.
Denne længe ventede overgang er til dels drevet af databeskyttelsesforordninger som f.eks Generel databeskyttelsesforordning (GDPR) i Europa og New York State Department of Financial Services (NYS DFS) 500 i USA.
Direkte henvender sig til Supply Chain Security, artikel 28 i GDPR gør det Dataansvarlig kun ansvarlig for valg af databehandlere der kan garantere deres tekniske og organisatoriske foranstaltninger vil sikre, at databehandling opfylder kravene i GDPR for at sikre beskyttelsen af den registreredes rettigheder. Den citerer eksplicit overholdelse af artikel 32 Sikkerhedsforanstaltninger for behandling.
Selvom det er rettet mod sektoren for finansielle tjenesteydelser, kræver NYS DFS Afsnit 500.11 – Sikkerhedspolitik for tredjepartstjenesteudbydere, at en "Dækket Entitets" politikker og procedurer er baseret på risikovurderingen.
Det er ikke ulig GDPR med hensyn til at kræve, at minimumspraksis for cybersikkerhed overholdes, due diligence-processer bruges til at evaluere tilstrækkeligheden af cybersikkerhedspraksis, og periodisk vurdering finder sted baseret på den risiko, de udgør, og den fortsatte tilstrækkelighed af deres cybersikkerhedspraksis.
Som følge heraf er vigtige regulatoriske interessenter, som f.eks europæisk netværk og Information Security Agentur (ENISA) ser sikkerhed i forsyningskæden som en væsentlig databeskyttelse risiko globalt. Deres seneste rapport, Cyberforsikring: Seneste fremskridt, god praksis og udfordringer fremhæver, at kun 23 % af organisationerne vurderer leverandører for cyberrisiko.
Og i USA er National Institute for Standards and Technology (NIST) udgivet det seneste udkast til Framework for Improving Critical Infrastructure Cybersecurity også kendt som NIST Cybersikkerhedsramme, som har en:
"Stærkt udvidet forklaring på brugen af Framework til Cyber Supply Chain Risk Management (SCRM) formål:
Et udvidet afsnit 3.3 Kommunikation af cybersikkerhedskrav med interessenter hjælper brugere med bedre at forstå Cyber SCRM. Cyber SCRM er også blevet tilføjet som en egenskab af Implementation Tiers. Endelig er en Supply Chain Risk Management Kategori blevet tilføjet til Framework Core”
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
I afsnit 3.2.6 i ENISA-rapporten anbefaler de, at der pr ISO 27001 Kontrolmål og specifikt Bilag A.15 kontrol, interessenter såsom forsikringsselskaber, kunder, investorer og regulatorer, verificerer eksistensen af en formel tredjepartsstyringsproces og modtager detaljer om due diligence, løbende tilsyn og kontraktlige forpligtelser.
I mangel af godkendte GDPR-adfærdskodeks kan en databehandlers (eller anden kritisk leverandørs) evne til at bevise overholdelse af artikel 32 sikkerhedsbehandlingskrav opnås ved at implementere og ideelt set sikre ISO 27001-akkreditering.
Dette giver dem mulighed for at demonstrere kontekstuelle risikoidentifikations- og styringskapaciteter og evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer og -tjenester.
Ligeså gældende for NYS DFS, i sit seneste udkast til den "grundlæggende" Identify-rammefunktion, henviser NIST også til de samme ISO 27001 kontrolmål og Bilag A.15 kontrollerer dets Identificer Supply Chain Risk Management kategori, samt andre ISO-kontrolmål og bilag A-kontroller for alle de andre nøgleidentificer kategorier af:
Derfor, om du vælger at implementere alle ISO 27001 eller blot nøglekontroller omkring kontekstuel risikoidentifikation og -styring, er det klart ISO 27001 A.15 kontroller til at administrere leverandør (og andre vigtige relationer) tilbyde et effektivt middel til beskriver hvordan du administrerer sikkerhed i forsyningskæden for både GDPR og NYS DFS 500.
Men hvordan omkostningseffektivt og hurtigt demonstrere det?
Platformen gav os et massivt forspring sammenlignet med at stole på billigere biblioteker eller skabe al dokumentation fra bunden. Vi har fundet det utroligt nemt at bruge, og supportteamet har været fænomenalt. Jeg kan ikke anbefale ISMS.online stærkt nok.
Store virksomheder er nødt til at bevæge sig ud over de traditionelle, efterlev eller dø, leverandørspørgeskemaer og kontrakter, der tilskynder til et afkrydsningsfeltsvar, hvis nøjagtighed først vil blive testet, når en hændelse er sket, hvorefter det ofte er for sent.
Selvom du måske er glad for, at du har en vandtæt kontrakt på plads, er det usandsynligt, at dine investorer, kunder og med GDPR overholdelse næsten over os, tilsynsmyndighederne, vil være ret så forstående, hvis du blot har stolet på spørgeskemaer og kontrakter.
De vil se efter at se, at du har engageret dig og samarbejdet med din forsyningskæde og har en mekanisme til at bevise, at aftalte/manderede standarder og/eller specifikke politikker og kontroller fungerer i praksis og ikke kun på papiret.
Brug af online værktøjer, som f.eks ISMS.online giver dig mulighed for at bevise din effektive supply chain management og hvordan det integreres med din risikostyring, revisioner og kontroller.
Ud over det giver det dig mulighed for at samarbejde effektivt online med nøgleleverandører ved at tage en ansvarlig kunde tilgang, der hjælper selv de mindste leverandører med at opnå passende sikkerhedsforanstaltninger. At opmuntre dem til at tage positive, pragmatiske, men risikofokuserede skridt vil give dem mulighed for det beskytte deres og dine informationsaktiver i overensstemmelse med dine egne politikker og kontroller.
Ved at arbejde sammen kan du opbygge en ISMS og en forsyningskæde, som alle kan stole på.
En skræddersyet hands-on session baseret på dine behov og mål
100 % af vores brugere opnår ISO 27001-certificering første gang