Vaatimustenmukaisuus on siirtymässä sopimukseen perustuvasta mutta luottamukseen perustuvasta tietoturvan hallinnan varmistuksesta kohti kontekstuaalisempaa, riskikeskeisempää ja todistettavissa olevaa noudattamista.
Tätä pitkään odotettua siirtymää ohjaavat osittain tietosuojasäännökset, kuten Yleinen tietosuojadirektiivi (GDPR) Euroopassa ja New York State Department of Financial Services (NYS DFS) 500 Yhdysvalloissa.
GDPR:n artikla 28 koskee suoraan toimitusketjun turvallisuutta Rekisterinpitäjä on vastuussa vain tietojenkäsittelijöiden valitsemisesta jotka voivat taata tekniset ja organisatoriset toimenpiteet, varmistavat, että tietojen käsittely täyttää GDPR:n vaatimukset rekisteröidyn oikeuksien suojan varmistamiseksi. Siinä viitataan nimenomaisesti 32 artiklan käsittelyn turvatoimien noudattamiseen.
Vaikka se on suunnattu rahoituspalvelusektorille, NYS DFS Section 500.11 – Kolmannen osapuolen palveluntarjoajan suojauskäytäntö edellyttää, että "Suojatun yksikön" käytännöt ja menettelyt perustuvat riskinarviointiin.
Se ei eroa GDPR:stä siinä, että kyberturvallisuuskäytäntöjen vähimmäisvaatimukset täyttyvät, kyberturvallisuuskäytäntöjen riittävyyden arvioimiseen käytetään due diligence -prosesseja ja säännöllinen arviointi tapahtuu niiden aiheuttaman riskin ja kyberturvallisuuskäytäntöjen jatkuvan riittävyyden perusteella.
Näin ollen keskeiset sääntelyn sidosryhmät, kuten Eurooppalainen verkosto ja Tietoturva Virasto (ENISA) näkevät toimitusketjun turvallisuuden merkittävänä tietosuojana riski maailmanlaajuisesti. Heidän tuoreen raporttinsa Kybervakuutus: viimeaikaiset edistysaskeleet, hyvät käytännöt ja haasteet korostaa, että vain 23 % organisaatioista arvioi toimittajien kyberriskin.
Ja Yhdysvalloissa, National Institute for Standards and Technology (NIST) julkaisi uusimman luonnoksen kriittisen infrastruktuurin kyberturvallisuuden parantamista koskevasta viitekehyksestä, joka tunnetaan myös nimellä NIST-kyberturvallisuuskehys, jossa on:
"Huomaan laajennettu selitys Frameworkin käyttämisestä Cyber Supply Chain Risk Management (SCRM) -tarkoituksiin:
Laajennettu osio 3.3 Kyberturvallisuusvaatimuksista tiedottaminen sidosryhmien kanssa auttaa käyttäjiä ymmärtämään Cyber SCRM:ää paremmin. Cyber SCRM on myös lisätty Implementation Tiersin omaisuudeksi. Lopuksi Supply Chain Risk Management -luokka on lisätty kehyksen ytimeen.
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
ENISA-raportin kohdassa 3.2.6 ne suosittelevat, että ISO 27001 Ohjaustavoitteet ja erityisesti Liite A.15 valvonta, sidosryhmät, kuten vakuutuksenantajat, asiakkaat, sijoittajat ja sääntelijät, varmistavat muodollisen kolmannen osapuolen hallinnointiprosessin olemassaolon ja saavat tietoja due diligencesta, jatkuvasta valvonnasta ja sopimusvelvoitteista.
Jos hyväksyttyjä GDPR-eettisiä sääntöjä ei ole, tietojenkäsittelijän (tai muun kriittisen toimittajan) kyky todistaa artiklan 32 suojauskäsittelyvaatimusten noudattaminen voidaan saavuttaa ottamalla käyttöön ja ihanteellisesti turvaamalla ISO 27001 -akkreditointi.
Tämä antaa heille mahdollisuuden osoittaa kontekstuaaliset riskien tunnistamis- ja hallintaominaisuudet sekä kyky varmistaa käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja joustavuus.
Yhtä lailla NYS DFS:ää varten, sen viimeisimmässä luonnoksessa "perustavan" Identify framework -toiminnosta NIST viittaa myös samoihin ISO 27001 -ohjaustavoitteisiin ja Liite A.15 ohjaa sen Identify Supply Chain Risk Management -toimintoa luokka, sekä muut ISO-ohjaustavoitteet ja liitteen A hallintalaitteet kaikille muille tärkeille Tunnisteluokat:
Siksi, oletko päättänyt toteuttaa kaikki ISO 27001 tai vain keskeiset hallintakeinot kontekstuaalisen riskin tunnistamisessa ja hallinnassa, on selvää ISO 27001 A.15 -säätimet toimittajan (ja muiden tärkeiden suhteiden) hallintaan tarjota tehokas keino kuvataan kuinka hallitset tietoturvaa toimitusketjussa sekä GDPR:n että NYS DFS 500:n osalta.
Mutta kuinka voit maksaa tehokkaasti ja nopeasti osoittaa se?
Alusta antoi meille valtavan etumatkan verrattuna halvempiin kirjastoihin luottamiseen tai kaiken dokumentaation luomiseen tyhjästä. Olemme havainneet sen uskomattoman helppokäyttöiseksi, ja tukitiimi on ollut ilmiömäinen. En voi suositella ISMS.onlinea tarpeeksi hyvin.
Suurten yritysten on edettävä perinteisten, noudata tai kuole, toimittajakyselyitä ja tick box -vastaukseen kannustavia sopimuksia, joiden oikeellisuus testataan vasta tapauksen sattuessa, jolloin usein on liian myöhäistä.
Vaikka saatatkin olla tyytyväinen, että sinulla on vesitiivis sopimus, on epätodennäköistä, että sijoittajasi, asiakkaasi ja GDPR-vaatimusten noudattaminen melkein me, sääntelyviranomaiset, olemme hyvin ymmärtäväisiä, jos olette vain luottaneet kyselylomakkeisiin ja sopimuksiin.
He tarkastelevat, että olet sitoutunut ja toiminut yhteistyössä toimitusketjusi kanssa ja että sinulla on mekanismi, jolla voit todistaa, että sovitut/valtuutetut standardit ja/tai erityiset käytännöt ja kontrollit toimivat käytännössä eivätkä vain paperilla.
Käyttämällä verkkotyökaluja, kuten ISMS.onlinen avulla voit todistaa tehokkaan toimitusketjun hallinnan ja kuinka se integroituu riskienhallintaasi, auditointeihin ja valvontaan.
Tämän lisäksi sen avulla voit tehdä tehokasta yhteistyötä verkossa tärkeimpien toimittajien kanssa vastuullinen asiakas lähestymistapaa, joka auttaa pienimpiäkin toimittajia saavuttamaan asianmukaiset turvatoimenpiteet. Kun heitä rohkaistaan ottamaan positiivisia, pragmaattisia, mutta riskikeskeisiä toimia, he voivat tehdä sen suojella heidän ja tietoomaisuutesi omien käytäntöjesi ja valvontasi mukaisesti.
Yhdessä työskentelemällä voit rakentaa ISMS- ja toimitusketjun, johon kaikki voivat luottaa.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa