Overholdelse beveger seg bort fra den kontraktsmessige, men tillitsbaserte og avkryssede informasjonssikkerhetsstyringsforsikringen, mot en mer kontekstuell, risikofokusert og påviselig overholdelse.
Denne etterlengtede overgangen er delvis drevet av databeskyttelsesforskrifter som Generell databeskyttelsesforordning (GDPR) i Europa, og New York State Department of Financial Services (NYS DFS) 500 i USA.
Artikkel 28 i GDPR tar direkte for seg Supply Chain Security Datakontrollør som kun er ansvarlig for å velge databehandlere som kan garantere sine tekniske og organisatoriske tiltak vil sikre at databehandling oppfyller kravene i GDPR for å sikre beskyttelsen av rettighetene til den registrerte. Den siterer eksplisitt overholdelse av artikkel 32 Sikkerhet for behandlingstiltak.
Selv om det er rettet mot finanssektoren NYS DFS Seksjon 500.11 – Tredjeparts tjenesteleverandørs sikkerhetspolicy, krever en "Dekket enhets" retningslinjer og prosedyrer basert på risikovurderingen.
Det er ikke ulikt GDPR når det gjelder å kreve at minimumspraksisen for nettsikkerhet overholdes, due diligence-prosesser brukes for å evaluere tilstrekkeligheten av nettsikkerhetspraksis og periodisk vurdering finner sted basert på risikoen de utgjør og den fortsatte tilstrekkeligheten av deres nettsikkerhetspraksis.
Følgelig vil sentrale regulatoriske interessenter, som f.eks Europeisk nettverk og Informasjonssikkerhet Agency (ENISA) ser på sikkerhet i forsyningskjeden som en betydelig databeskyttelse risiko globalt. Deres nylige rapport, Cyberforsikring: Nylige fremskritt, god praksis og utfordringer fremhever at bare 23 % av organisasjonene vurderer leverandører for cyberrisiko.
Og i USA, Nasjonalt institutt for standarder og teknologi (NIST) lanserte det siste utkastet til rammeverket for forbedring av kritisk infrastruktur Cybersecurity også kjent som NIST cybersikkerhetsrammeverk, som har en:
"Svært utvidet forklaring på bruk av Framework for Cyber Supply Chain Risk Management (SCRM) formål:
En utvidet del 3.3 Kommunikasjon av cybersikkerhetskrav med interessenter hjelper brukere å forstå Cyber SCRM bedre. Cyber SCRM er også lagt til som en egenskap for Implementation Tiers. Endelig har en forsyningskjederisikostyringskategori blitt lagt til rammekjernen"
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
I avsnitt 3.2.6 i ENISA-rapporten anbefaler de at det iht ISO 27001 Kontrollmål og spesifikt Vedlegg A.15 kontroller, interessenter som forsikringsselskaper, kunder, investorer og regulatorer, bekrefter eksistensen av en formell tredjeparts administrasjonsprosess, og mottar detaljer om due diligence, løpende tilsyn og kontraktsmessige forpliktelser.
I fravær av godkjente GDPR-atferdskoder, kan en databehandlers (eller andre kritiske leverandørs) evne til å bevise samsvar med artikkel 32-kravene til sikkerhetsbehandling oppnås ved å implementere og ideelt sett sikre ISO 27001-akkreditering.
Dette lar dem demonstrere kontekstuell risikoidentifikasjon og styringsevner og evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester.
Like aktuelt for NYS DFS, i sitt siste utkast til den "grunnleggende" Identify-rammefunksjonen, refererer NIST også til de samme ISO 27001-kontrollmålene og Vedlegg A.15 kontrollerer for sin Identify Supply Chain Risk Management kategori, samt andre ISO-kontrollmål og vedlegg A-kontroller for alle de andre nøkkelidentifiser kategorier av:
Derfor, om du velger å implementere alle ISO 27001 eller bare nøkkelkontroller rundt kontekstuell risikoidentifikasjon og styring, er det klart ISO 27001 A.15 kontroller for å administrere leverandør (og andre viktige relasjoner) tilby et effektivt middel for beskrive hvordan du administrerer sikkerhet i forsyningskjeden for både GDPR og NYS DFS 500.
Men hvordan gjør du kostnadseffektivt og raskt? demonstrere den?
Plattformen ga oss et enormt forsprang sammenlignet med å stole på billigere biblioteker eller lage all dokumentasjon fra bunnen av. Vi har funnet det utrolig enkelt å bruke, og supportteamet har vært fenomenalt. Jeg kan ikke anbefale ISMS.online høyt nok.
Store bedrifter må gå utover de tradisjonelle, etterleve eller dø, leverandørspørreskjemaer og kontrakter som oppmuntrer til en avkrysningsbokssvar, hvor nøyaktigheten først vil bli testet når en hendelse har skjedd, og da er det ofte for sent.
Selv om du kan være glad for at du har en vanntett kontrakt på plass, er det lite sannsynlig at dine investorer, kunder og, med GDPR-samsvar nesten på oss, regulatorene, vil være ganske så forståelsesfulle hvis du bare har stolt på spørreskjemaer og kontrakter.
De vil se etter at du har engasjert deg og samarbeidet med forsyningskjeden din og har en mekanisme for å bevise at avtalte/pålagte standarder, og eller spesifikke retningslinjer og kontroller, fungerer i praksis og ikke bare på papiret.
Bruk av nettbaserte verktøy, som f.eks ISMS.online lar deg bevise din effektive forsyningskjedestyring og hvordan den integreres med risikostyring, revisjoner og kontroller.
Utover det lar det deg samarbeide effektivt online med nøkkelleverandører, ved å ta en ansvarlig kunde tilnærming som hjelper selv de minste leverandørene med å oppnå passende sikkerhetstiltak. Å oppmuntre dem til å ta positive, pragmatiske, men risikofokuserte skritt vil tillate dem å gjøre det beskytte deres og dine informasjonsressurser i tråd med dine egne retningslinjer og kontroller.
Ved å jobbe sammen kan du bygge en ISMS og forsyningskjede som alle kan stole på.
En skreddersydd praktisk økt basert på dine behov og mål
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang