Bygge stabile, sikre leverandørrelasjoner med ISO 27001

Så en leverandør roter til. Hva er det verste som kan skje?

Tilbake i 2017 kollapset et av de store flyselskapenes IT-systemer. 75,000 170 kunder ble strandet. Fly ble etterlatt sirkulerende i luften. Flyselskapet tapte 150 millioner pund og sto overfor en kompensasjonsregning på mer enn XNUMX millioner pund. Og det var en omdømmekatastrofe.

Grunnårsaken til hendelsen var et internt strømbrudd. Godt informerte observatører mener at det ble en katastrofe fordi flyselskapet nylig hadde satt ut noe av IT-driften deres. Deres nye leverandør sviktet dem og deres disaster recovery plan mislyktes.

Ingen husker leverandøren. De fleste vet ikke engang at de eksisterer. Men på grunn av dem tok flyselskapet alvorlig omdømme og økonomisk skade. Det er den typen skader de fleste bedrifter vil gå langt for å unngå. Det er der vedlegg A.15 vil hjelpe deg.

Styrke leverandørrelasjonene dine

Vedlegg A.15 er ganske kort, men det kan ha veldig stor innvirkning. Du må sørge for at:

• Du beskytter alle informasjonsressurser leverandørene dine har tilgang til
• De vil fortsette å levere alle tjenestene de har sagt ja til, uansett hva

Du kan se hvordan det ville ha hjulpet vårt forstyrrede flyselskap! Og selv om du ikke er det ISO 27001-kompatibel eller sertifisert, kan du bruke vedlegg A.15 for å hjelpe deg med å utføre noen svært viktige leverandørsjekker.

Beskytte informasjonsmidlene dine

Du deler kanskje informasjonsressurser med leverandørene dine. Hvis det er tilfelle, bør du:

• Finn ut hvordan leverandørene dine trygt kan få tilgang til informasjonsmidlene dine
• Avtal prosessen med dem, og sørg for at de forstår alle deler av den
• Dokumenter prosessen på en måte som er enkel for deg og dem å få tilgang til
• Inkluder dine infosec-krav i dine formelle avtaler med dem

Og, som flyselskapet, vil du sannsynligvis ha organisasjoner leverer IKT produkter eller tjenester. Du må sørge for at det de leverer oppfyller dine infosec-krav også.

Sørg for at leverandørene dine alltid leverer

ISO 27001 handler egentlig om risikostyring. Og leverandørene dine kan være en nøkkelrisiko. Det er best å anta at noen av dem på et tidspunkt vil svikte deg. For å oppveie det ber standarden deg om å holde et godt øye med dem. Du burde:

• Hold et generelt løpende øye med dem
• Sjekk regelmessig at de leverer i tide og i sin helhet
• Av og til, vurder dem riktig opp mot dine:
  • Eksisterende avtale med dem
  • Endre behov og andre forhold

Det kan føre til endringer i forholdet ditt til dem. ISO 27001 råder deg til å ha en klar prosess på plass for å gjøre og administrere disse endringene. Fokuser spesielt på:

• Holde din infosec retningslinjer, prosedyrer og kontroller oppdatert
• Opprettholde berørte kritiske forretningsinformasjon, systemer og prosesser
• Sørg for at du revurderer eventuelle risikoer endringene påvirker

Det kan virke som veldig grunnleggende, sunn fornuftsråd. Men det kan spare deg og din organisasjon for mye tid, penger, skade på omdømmet og frustrasjon. Fornuft er tross alt ikke alltid så vanlig som du skulle tro.

Sikring av forsyningskjeden og omdømmet ditt

Organisasjonens omdømme er en av dens viktigste eiendeler. Den jobber nok hardt for å forsvare og bygge den. Men et øyeblikks uforsiktighet fra noen som er helt uten forbindelse med organisasjonen din, kan skade eller til og med ødelegge den.

Derfor må du holde et godt øye med leverandørene dine. Og det vil være bra for dem også. De vil at du skal være sikker på at de leverer best mulig service på best mulig måte. Og hvis de ikke gjør det, er det sannsynligvis din signal til å begynne å lete etter noen andre.

Vi håper ISO 27001-veiledningen vi har oppsummert ovenfor vil hjelpe deg med hele prosessen. Og vi håper det har hjulpet deg å forstå standarden litt mer, og se hvordan den kan gi noen svært praktiske fordeler for organisasjonen din.