Opbygning af stabile, sikre leverandørrelationer med ISO 27001

Hvis du spørger Mark Graham, vores ISO-standardchef, om fordelene ved ISO 27001, der er én pointe, han altid ender med at komme med. ISO 27001, og faktisk hele ISO 27000-familien, handler om langt mere end blot informationssikkerhed. De hjælper dig:

  • Kør din organisation godt
  • Tænk igennem alt, der kan forhindre dig i at drive din organisation godt

Det er selvfølgelig ikke altid indlysende. Men nogle gange springer det bare ud over dig. Bilag A.15 til ISO 27001 er et af de øjeblikke. Det handler om at sikre og styrke din organisations leverandørforhold.

Så en leverandør roder. Hvad er det værste, der kan ske?

Tilbage i 2017 kollapsede et af de store flyselskabers it-systemer. 75,000 kunder var strandet. Fly blev efterladt cirkulerende i luften. Flyselskabet tabte 170 millioner pund og stod over for en erstatningsregning på mere end 150 millioner pund. Og det var en omdømmekatastrofe.

Grundårsagen til hændelsen var et internt strømsvigt. Velinformerede iagttagere mener, at det sneede sig til en katastrofe, fordi flyselskabet for nylig havde outsourcet nogle af deres it-drift. Deres nye leverandør svigtede dem og deres katastrofeberedskabsplan mislykkedes.

Ingen husker leverandøren. De fleste mennesker ved ikke engang, at de eksisterer. Men på grund af dem tog flyselskabet alvorlig skade på omdømmet og økonomisk. Det er den slags skader, de fleste virksomheder ville gå langt for at undgå. Det er her, bilag A.15 vil hjælpe dig.

Styrkelse af dine leverandørrelationer

Bilag A.15 er ret kort, men det kan have en meget stor betydning. Du skal sørge for at:

  • Du beskytter alle informationsaktiver, som dine leverandører har adgang til
  • De vil blive ved med at levere alle de tjenester, de har sagt ja til, uanset hvad

Du kan se, hvordan det ville have hjulpet vores forstyrrede flyselskab! Og selvom du ikke er det ISO 27001-kompatibel eller certificeret, kan du bruge bilag A.15 til at hjælpe dig med at foretage nogle meget vigtige leverandørtjek.

Beskyttelse af dine informationsaktiver

Du deler muligvis informationsaktiver med dine leverandører. Hvis det er tilfældet, bør du:

  • Find ud af, hvordan dine leverandører sikkert kan få adgang til dine informationsaktiver
  • Aftal processen med dem, og sørg for, at de forstår alle dele af den
  • Dokumenter processen på en måde, der er nem for dig og dem at få adgang til
  • Inkluder dine infosec-krav i dine formelle aftaler med dem

Og ligesom flyselskabet vil du sandsynligvis have organisationer levere IKT produkter eller tjenester. Du skal sikre dig, at det, de leverer, også opfylder dine infosec-krav.

Sørg for, at dine leverandører altid leverer

ISO 27001 handler virkelig om risikostyring. Og dine leverandører kan være en vigtig risiko. Det er bedst at antage, at nogle af dem på et tidspunkt vil svigte dig. For at opveje det, beder standarden dig om at holde et vågent øje med dem. Du burde:

  • Hold et generelt løbende øje med dem
  • Tjek jævnligt, at de leverer til tiden og fuldt ud
  • En gang imellem skal du vurdere dem korrekt i forhold til dine:
    • Eksisterende aftale med dem
    • Ændrede behov og andre omstændigheder

Det kan føre til ændringer i dit forhold til dem. ISO 27001 råder dig til at have en klar proces på plads til at foretage og administrere disse ændringer. Fokuser især på:

  • Holder din infosec politikker, ajourførte procedurer og kontroller
  • Vedligeholdelse af berørte kritiske forretningsoplysninger, systemer og processer
  • Sørg for, at du revurderer eventuelle risici, som dine ændringer påvirker

Det kan virke som et meget grundlæggende råd om sund fornuft. Men det kan spare dig og din organisation for en masse tid, penge, skade på omdømme og frustration. Når alt kommer til alt, er sund fornuft ikke altid så almindelig, som du skulle tro.

Sikring af din forsyningskæde og dit omdømme

Din organisations omdømme er et af dens vigtigste aktiver. Det arbejder nok hårdt at forsvare og bygge det. Men et øjebliks skødesløshed fra en person, der ikke er forbundet med din organisation, kan skade eller endda ødelægge den.

Derfor skal du holde godt øje med dine leverandører. Og det vil også være godt for dem. De vil have dig til at være sikker på, at de leverer den bedst mulige service på den bedst mulige måde. Og hvis de ikke gør det, er det sandsynligvis din cue til at begynde at lede efter en anden.

Vi håber, at ISO 27001-vejledningen, vi har opsummeret ovenfor, vil hjælpe dig med hele processen. Og vi håber, det har hjulpet dig med at forstå standarden lidt mere, og se, hvordan den kan bringe nogle meget praktiske fordele til din organisation.

« Sådan udvikles en aktivopgørelse til ISO 27001

Hvad er involveret i en ISO 27001-revision? »

Sidst redigeret: 2. februar 2022
Forfatter

Al Robertson

Al er en professionel forfatter og udgivet forfatter, der dækker en række emner. Han har skrevet en række artikler om compliance og især om informationssikkerhed, og hvordan ISO 27001-certificering kan hjælpe organisationer med at vokse.

Se alle indlæg af Al Robertson

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere