Program for ansvarlig organisasjon

Informasjonssikkerhet er alles ansvar. Enten du er kunde, leverandør eller arbeidsgiver, har vi alle en rolle å spille i beskytte verdifull informasjon og data.

En ansvarlig organisasjon kan komme fra mange utgangspunkt. Det kan omfatte kunder, leverandører, partnere, investorer, forsikringsselskaper eller annet interesserte parter. Med behov for større kontroll over informasjon og databeskyttelse i forsyningskjeden tar organisasjoner som deg dette som en mulighet til å skille seg ut fra mengden. Så hva er faktorene som skiller de ansvarlige kundene og de attraktive leverandørene fra de organisasjonene som er bak kurven?

Hva kjennetegner en ansvarlig kunde?

I form av forsyningskjeden, er det en rekke egenskaper som vil gjøre en kunde ansvarlig når det gjelder informasjonssikkerhet og personvern.

• De investerer i leverandørkompetansebygging og felles læring
• De gjør det enklere for mindre leverandører å få tilgang til hjelp fra deres databeskyttelsesansvarlige (DPO)
• Gi støtte for relevante retningslinjer og kontroller, samt dele sine egne sertifiserte praksiser på en samarbeidsmåte
• Organiserer rundt forsyningskjedeklynger og tar i bruk praksis som forbedrer resultater og reduserer risikoen for konfidensialitet, integritet og tilgjengelighet (CIA) for alle, ikke bare seg selv
• Sett forventninger og er tydelig på mål internt og eksternt f.eks for EUs GDPR-overholdelse før fristen
• Effektiv onboarding i livet ledelse og exit-metoder for å sikre CIA
• De integrerer mindre leverandører i deler av deres eget styringssystem for informasjonssikkerhet (ISMS) i stedet for å diktere kostbar eller uoverkommelig praksis

En ansvarlig kunde går utover «følg eller dø»-meldinger og enkle rettigheter (eller trusler) til revisjon, og velger i stedet for Educate and Encourage-tilnærmingen.

Hva kjennetegner en attraktiv leverandør?

Det vi egentlig spør om her, er hva som vil gjøre leverandørene mer attraktive for kundene de søker, når det gjelder informasjonssikkerhet?

• En attraktiv leverandør vil ha et ISMS som er sertifisert og anerkjent ved å oppnå ISO 27001:2013
• De ville være åpne for å dele sine ISMS med kunder som bruker dynamisk «alltid på»-demonstrasjon
• De kan demonstrere sitt positive rykte og resultater med andre kunder
• De vil enten ikke ha lidd av reklame for uønskede hendelser (eller har kommet seg godt etter det)
• Kundemedarbeiderne deres (salg, drift, tjenester) tar emnet informasjon og datasikkerhet på alvor, og de fremmer god oppførsel i sitt arbeid med kunder og potensielle kunder
• De har en plan for EU GDPR før fristen
• Er i stand til å demonstrere at sin egen forsyningskjede også er engasjert og sikker

Hva har de begge til felles?

Det er liten eller ingen vits i å bare lese av retningslinjer for informasjonssikkerhet og tenker at dette vil være nok for din organisasjon. Disse prinsippene må være i sjelen og DNA-et til deg, din arbeidsstyrke og hver enhet du gjør forretninger med.

Ansvarlige kunder og attraktive leverandører sørger for at strategien de tar for informasjons- og datasikkerhet er i tråd med organisasjonens etos. Dette gjør det ikke bare enkelt å leve hver dag, men det øker også medarbeiderne og interessentenes innkjøp.

• Engasjerende og meningsfull medarbeiderkommunikasjon/bevissthet
• Kunne beskrive og demonstrere at deres ISMS fungerer
• Personvern og sikkerhet ved design inkludert PIA
• Belønninger og konsekvenser