ISO 27001 – Liite A.15: Toimittajasuhteet

Mikä on liitteen A.15.1 tavoite?

Liite A.15.1 koskee tietoturvaa toimittajasuhteissa. Tavoitteena on suojella organisaation arvokasta omaisuutta, johon tavarantoimittajat pääsevät tai joihin tavarantoimittajat vaikuttavat.

Suosittelemme myös, että harkitset tässä myös muita keskeisiä suhteita, esimerkiksi kumppaneita, jos he eivät ole tavarantoimittajia, mutta heillä on myös vaikutus omaisuuteesi, joka ei välttämättä kuulu pelkästään sopimuksen piiriin.

A.15.1.1 Toimittajasuhteiden tietoturvapolitiikka

Toimittajia käytetään kahdesta pääasiallisesta syystä; yksi: haluat heidän tekevän työtä, jota olet päättänyt olla tekemättä sisäisesti itse, tai; kaksi: et voi helposti tehdä työtä yhtä hyvin tai kustannustehokkaasti kuin tavarantoimittajat.

Toimittajien valinnassa ja hallinnassa on otettava huomioon monia tärkeitä asioita, mutta yksi koko ei sovi kaikille ja jotkut toimittajat ovat tärkeämpiä kuin toiset. Sellaisenaan valvontasi ja käytäntöjesi tulisi myös heijastaa tätä, ja toimitusketjun segmentointi on järkevää. kannatamme neljää toimittajaluokkaa suhteen arvon ja riskin perusteella. Ne vaihtelevat liiketoimintakriittisistä toimittajista muihin toimittajiin, joilla ei ole merkittävää vaikutusta organisaatioosi.

Jotkut toimittajat ovat myös asiakkaitaan tehokkaampia (kuvittele, että he kertovat Amazonille, mitä tehdä, jos käytät heidän AWS-palvelujaan isännöintiin), joten on turhaa ottaa käyttöön valvontaa ja käytäntöjä, joita toimittajat eivät noudata. Siksi heidän vakiokäytäntöihinsä, valvontatoimiinsa ja sopimuksiinsa luottaminen on todennäköisempää – mikä tarkoittaa, että toimittajien valinnasta ja riskienhallinnasta tulee entistä tärkeämpää.

Ottaakseen eteenpäin suuntautuvan lähestymistavan toimitusketjun tietoturvaan strategisempien (korkea arvo / suurempi riski) toimittajien kanssa, organisaatioiden tulisi myös välttää binaarisia "noudata tai kuole" riskinsiirtokäytäntöjä, kuten kauheita sopimuksia, jotka estävät hyvän yhteistyön. Sen sijaan suosittelemme, että he kehittävät läheisempiä työsuhteita niiden toimittajien kanssa, joissa reiteen arvotieto ja omaisuus ovat vaarassa tai he lisäävät tietovarallisuuttasi jollakin (positiivisella) tavalla. Tämä johtaa todennäköisesti parempiin työsuhteisiin ja siten myös parempiin liiketoimintatuloksiin.

Hyvä politiikka kuvaa toimittajien segmentointia, valintaa, hallintaa, irtautumista, kuinka toimittajien ympärillä olevaa tietovarallisuutta ohjataan niihin liittyvien riskien vähentämiseksi, mutta silti mahdollistaa liiketoiminnan päämäärien ja tavoitteiden saavuttamisen. Älykkäät organisaatiot yhdistävät toimittajien tietoturvapolitiikkansa laajempiin suhteisiin ja välttyvät keskittymästä pelkästään turvallisuuteen sinänsä ja katsovat myös muita näkökohtia.

Organisaatio saattaa haluta toimittajien pääsyn tiettyihin arvokkaisiin tietoresursseihin (esim. ohjelmistokoodin kehittämiseen, kirjanpidon palkkatietoihin) ja osallistuvan niihin. Heillä olisi siksi oltava selkeät sopimukset siitä, mitä käyttöoikeuksia he sallivat, jotta he voivat valvoa sen ympärillä olevaa turvallisuutta. Tämä on erityisen tärkeää, kun yhä enemmän tiedonhallinta-, käsittely- ja teknologiapalveluita ulkoistetaan. Tämä tarkoittaa, että meillä on paikka näyttää suhteen hallintaa tapahtuu; sopimukset, kontaktit, tapaukset, suhdetoiminta ja riskienhallinta jne. Kun toimittaja on myös läheisesti mukana organisaatiossa, mutta hänellä ei ehkä ole omaa sertifioitua ISMS:ää, on varmistettava, että toimittajan henkilökunta on koulutettu ja tietoinen turvallisuudesta, koulutettu käytäntöihisi jne. kannattaa myös osoittaa noudattamista.

A.15.1.2 Turvallisuuden käsitteleminen toimittajasopimuksissa

Kaikkien asiaankuuluvien tietoturvavaatimusten on oltava voimassa jokaisella toimittajalla, jolla on pääsy organisaation tietoihin (tai niitä käsitteleviin varoihin) tai jotka voivat vaikuttaa niihin. Jälleen tämän ei pitäisi olla yksi koko sopii kaikille – ota riskiin perustuva lähestymistapa erityyppisten toimittajien ja heidän tekemänsä työn suhteen. Työskentely sellaisten toimittajien kanssa, jotka täyttävät jo suurimman osan organisaatiosi tietoturvatarpeista sinulle tarjoamissaan palveluissa ja joilla on hyvät kokemukset tietoturvaongelmien vastuullisesta käsittelystä, on erittäin hyvä idea – sillä se helpottaa kaikkia näitä prosesseja huomattavasti.

Yksinkertaisesti sanottuna etsi toimittajia, jotka ovat jo itse saavuttaneet riippumattoman ISO 27001 -sertifikaatin tai vastaavan. On myös tärkeää varmistaa, että toimittajat pidetään ajan tasalla ja ovat sitoutuneita ISMS:n muutoksista tai erityisesti niiden palveluihin vaikuttavien osien suhteen. Tarkastajasi haluaa nähdä tämän todisteen – joten se on helppoa, kun pidät tästä kirjaa toimittajasi perehdytysprojekteissa tai vuosikatsauksissa.

Toimituslaajuuteen ja sopimuksiin sisällytettäviä asioita ovat yleensä: työ ja sen laajuus; vaaralliset tiedot ja luokitus; lakisääteiset vaatimukset, esim. GDPR:n ja/tai muun sovellettavan lainsäädännön noudattaminen; raportointi ja arvioinnit; salassapito; IPR; tapausten hallinta; erityiset käytännöt, joita on noudatettava, jos ne ovat sopimuksen kannalta tärkeitä; alihankkijoiden velvoitteet; henkilökunnan seulonta jne.

Hyvä vakiosopimus käsittelee näitä kohtia, mutta kuten edellä, joskus sitä ei ehkä vaadita, ja se voi olla ylivoimainen toimitustyyppi tai toimittajaa ei ehkä ole mahdollista pakottaa noudattamaan ajatustasi hyvistä käytännöistä. . Ole pragmaattinen ja riskikeskeinen lähestymistapa. Tämä valvontatavoite liittyy läheisesti myös liitteeseen A.13.2.4, jossa luottamuksellisuus- ja salassapitosopimukset ovat pääpainopisteenä.

A.15.1.3 Tieto- ja viestintätekniikan toimitusketju

Hyvä ohjaus perustuu A.15.1.2:een ja keskittyy ICT-toimittajiin, jotka saattavat tarvita jotain standardilähestymistavan lisäksi tai sen sijaan. ISO 27002 puoltaa monia täytäntöönpanokohteita, ja vaikka nämä kaikki ovat hyviä, tarvitaan myös käytännönläheisyyttä. Organisaation pitäisi jälleen tunnistaa kokonsa verrattuna joihinkin erittäin suuriin palveluntarjoajiin, joiden kanssa se joskus työskentelee (esim. tietokeskukset ja isännöintipalvelut, pankit jne.), mikä saattaa rajoittaa sen kykyä vaikuttaa käytäntöihin edelleen toimitusketjussa. Organisaation tulee harkita tarkasti, mitä riskejä voi olla tarjottavien tieto- ja viestintäteknologiapalvelujen tyypin perusteella. Jos toimittaja on esimerkiksi infrastruktuurin kriittisten palvelujen tarjoaja ja hänellä on pääsy arkaluontoisiin tietoihin (esim. lippulaivaohjelmistopalvelun lähdekoodiin), sen on varmistettava parempi suoja kuin jos toimittaja joutuu yksinkertaisesti julkisesti saataville tiedoille (esim. yksinkertainen verkkosivusto).

Mikä on liitteen A.15.2 tavoite?

Liite A.15.2 koskee toimittajapalvelujen kehittämisen hallintaa. Tämän liitteen A valvonnan tavoitteena on varmistaa, että tietoturvan ja palvelutoimituksen sovittu taso säilyy toimittajasopimusten mukaisesti.

A.15.2.1 Toimittajapalvelujen seuranta ja arviointi
Hyvä ohjaus perustuu A15.1:een ja kuvaa, kuinka organisaatiot säännöllisesti valvovat, tarkastavat ja auditoivat toimittajan palvelutarjontaa. Katselmukset ja seuranta on parasta tehdä vaarassa olevien tietojen perusteella – koska yhden koon lähestymistapa ei sovi kaikille. Organisaation tulee pyrkiä suorittamaan tarkastelunsa ehdotetun toimittajien segmentoinnin mukaisesti, jotta heidän resurssinsa voidaan optimoida ja varmistaa, että ne keskittyvät seurantaan ja tarkistamiseen siellä, missä sillä on eniten vaikutusta. Kuten A15.1:ssä, joskus tarvitaan pragmaattisuutta – et välttämättä saa auditointia, ihmissuhteiden arviointia ja erityisiä palveluparannuksia AWS:n avulla, jos olet hyvin pieni organisaatio. Voit kuitenkin tarkistaa (sanoa) heidän vuosittain julkaistavat SOC II -raportit ja turvallisuussertifikaatit, jotka pysyvät tarkoitukseesi sopivina.

Valvonnan näyttö tulee suorittaa valtuutesi, riskiesi ja arvosi perusteella, jolloin tarkastajasi voi nähdä, että se on suoritettu ja että kaikki tarvittavat muutokset on hallittu muodollisen muutoksenvalvontaprosessin kautta.

A.15.2.2 Toimittajapalveluiden muutosten hallinta

Hyvä hallinta kuvaa sitä, kuinka toimittajien palvelutarjontaan tehtäviä muutoksia, mukaan lukien olemassa olevien tietoturvakäytäntöjen, -menettelyjen ja -kontrollien ylläpito ja parantaminen, hallitaan. Se ottaa huomioon liiketoimintatiedon kriittisyyden, muutoksen luonteen, toimittajatyypit, joihin se vaikuttaa, asiaan liittyvät järjestelmät ja prosessit sekä riskien uudelleenarvioinnin. Toimittajan palveluihin tehtävissä muutoksissa tulee ottaa huomioon myös suhteen läheisyys ja organisaation kyky vaikuttaa toimittajan muutokseen tai hallita sitä.

Miten ISMS.online auttaa toimittajasuhteissa?

ISMS.online on tehnyt tämän valvontatavoitteen erittäin helpoksi tarjoamalla todisteita siitä, että suhteesi on valittu huolellisesti, hoidettu hyvin elämässä, mukaan lukien seurannan ja arvioinnin. Helppokäyttöinen Accounts (esim. toimittaja) -alueemme tekee juuri tämän. Yhteistyöprojektien työtilat sopivat mainiosti tärkeiden toimittajien integroimiseen, yhteisiin aloitteisiin, offboardingiin jne., jotka kaikki tarkastaja voi myös tarvittaessa tarkastella helposti.

ISMS.online on myös helpottanut tätä valvontatavoitetta organisaatiollesi antamalla todisteet siitä, että toimittaja on virallisesti sitoutunut noudattamaan vaatimuksia ja ymmärtänyt tietoturvavastuunsa käytäntöpakettimme kautta. Käytäntöpaketit ovat ihanteellisia, kun organisaatiolla on erityisiä käytäntöjä ja valvontaa, jonka se haluaa toimittajan henkilöstön noudattavan ja luottavansa lukeneensa ne ja sitoutuneensa noudattamaan – laajempien asiakkaiden ja toimittajan välisten sopimusten lisäksi.