Vakaiden ja turvallisten toimittajasuhteiden rakentaminen ISO 27001 -standardin mukaisesti

Jos kysyt Mark Grahamilta, ISO-standardien johtajaltamme, sen eduista ISO 27001, hän päätyy aina tekemään yhden asian. ISO 27001 ja itse asiassa koko ISO 27000 -perhe ovat paljon muutakin kuin pelkkä tietoturva. He auttavat sinua:

  • Hallitse organisaatiotasi hyvin
  • Mieti kaikkea, mikä voi estää sinua hoitamasta organisaatiotasi hyvin

Se ei tietenkään aina ole itsestään selvää. Mutta joskus se vain hyppää sinuun. ISO 15:n liite A.27001 on yksi niistä hetkistä. Kyse on organisaatiosi turvaamisesta ja vahvistamisesta toimittajasuhteet.

Joten toimittaja sotkee. Mikä on pahinta mitä voi tapahtua?

Jo vuonna 2017 yksi suurista lentoyhtiöistä romahti IT-järjestelmissä. 75,000 170 asiakasta jäi jumissa. Lentokoneet jäivät kiertämään ilmaan. Lentoyhtiö menetti 150 miljoonaa puntaa ja joutui maksamaan yli XNUMX miljoonan punnan korvauslaskua. Ja se oli mainekatastrofi.

Tapahtuman perimmäinen syy oli sisäinen sähkökatkos. Asiantuntevat tarkkailijat uskovat, että se lumipallo johti katastrofiin, koska lentoyhtiö oli hiljattain ulkoistanut osan IT-toiminnoistaan. Heidän uusi toimittajansa petti heidät ja heidän onnettomuudesta selviytymissuunnitelma epäonnistui.

Kukaan ei muista toimittajaa. Suurin osa ihmisistä ei edes tiedä niiden olemassaolosta. Mutta heidän takiaan lentoyhtiö kärsi vakavia maine- ja taloudellisia vahinkoja. Tällaisia ​​vahinkoja useimmat yritykset voisivat välttää pitkälle. Liite A.15 auttaa sinua.

Vahvistaa toimittajasuhteitasi

Liite A.15 on melko lyhyt, mutta sillä voi olla erittäin suuri vaikutus. Sinun on varmistettava, että:

  • Suojaat kaikkia tietovaroja, joita tavarantoimittajasi voivat käyttää
  • He jatkavat kaikkien sovittujen palveluiden toimittamista riippumatta siitä, mitä

Voit nähdä, kuinka se olisi auttanut häiriintynyttä lentoyhtiöämme! Ja vaikka et olisikaan ISO 27001 -yhteensopiva tai sertifioitu, voit käyttää liitettä A.15 auttamaan sinua tekemään erittäin tärkeitä toimittajatarkastuksia.

Tietovarojen suojaaminen

Saatat jakaa tietoresursseja toimittojesi kanssa. Jos näin on, sinun tulee:

  • Selvitä, kuinka toimittajasi voivat käyttää tietosisältöäsi turvallisesti
  • Sovi prosessi heidän kanssaan ja varmista, että he ymmärtävät sen jokaisen osan
  • Dokumentoi prosessi niin, että sinun ja heidän on helppo käyttää sitä
  • Sisällytä infosec-vaatimukset heidän kanssaan tekemiisi sopimuksiin

Ja kuten lentoyhtiöllä, sinulla on todennäköisesti organisaatioita toimittaa ICT:tä tuotteita tai palveluita. Sinun on varmistettava, että heidän tarjoamansa tuotteet vastaavat myös infosec-vaatimuksiasi.

Varmista, että toimittajasi toimittavat aina

ISO 27001 on todella kyse riskienhallinta. Ja toimittajasi voivat olla keskeinen riski. On parasta olettaa, että jotkut heistä pettävät sinut jossain vaiheessa. Tämän kompensoimiseksi standardi pyytää sinua pitämään niitä tarkasti silmällä. Sinun pitäisi:

  • Pidä niitä jatkuvasti silmällä
  • Tarkista säännöllisesti, että he toimittavat ajoissa ja kokonaisuudessaan
  • Aina niin usein, arvioi niitä oikein suhteessa:
    • Voimassa oleva sopimus heidän kanssaan
    • Muuttuvat tarpeet ja muut olosuhteet

Se voi johtaa muutoksiin suhteessasi heidän kanssaan. ISO 27001 neuvoo, että sinulla on selkeä prosessi näiden muutosten tekemiseen ja hallintaan. Keskity erityisesti:

  • Pitää sinun infosec-käytännöt, menettelyt ja valvonta ovat ajan tasalla
  • Vaikutuksen säilyttäminen kriittisenä tietoa liiketoiminnasta, järjestelmät ja prosessit
  • Varmista, että arvioit uudelleen kaikki riskit, joihin muutokset vaikuttavat

Se saattaa tuntua hyvin yksinkertaiselta, terveen järjen neuvolta. Mutta se voi säästää sinulle ja organisaatiollesi paljon aikaa, rahaa, mainevaurioita ja turhautumista. Loppujen lopuksi maalaisjärki ei ole aina niin yleistä kuin luulet.

Toimitusketjusi ja maineesi turvaaminen

Organisaation maine on yksi sen tärkeimmistä vahvuuksista. Se luultavasti tekee kovasti töitä sen puolustamiseksi ja rakentamiseksi. Mutta hetken huolimattomuus henkilöltä, joka ei ole täysin yhteydessä organisaatioosi, voi vahingoittaa tai jopa tuhota sen.

Siksi sinun on seurattava toimittajiasi tarkasti. Ja se tekee hyvää heillekin. He haluavat sinun olevan varma, että he tarjoavat parasta mahdollista palvelua parhaalla mahdollisella tavalla. Ja jos he eivät, se on luultavasti vihjesi alkaa etsiä jotakuta muuta.

Toivomme, että yllä esittämämme ISO 27001 -ohjeet auttavat sinua koko prosessissa. Ja toivomme, että se auttoi sinua ymmärtämään standardia hieman paremmin ja näkemään, kuinka se voi tuoda joitain erittäin käytännöllisiä etuja organisaatiollesi.

« Omaisuusluettelon kehittäminen ISO 27001 -standardia varten

Mitä ISO 27001 -auditointi sisältää? »

Viimeksi muokattu: 2
kirjailija

Al Robertson

Al on ammattikirjailija ja julkaistu kirjailija, joka kattaa useita aiheita. Hän on kirjoittanut useita artikkeleita vaatimustenmukaisuudesta ja erityisesti tietoturvasta ja siitä, kuinka ISO 27001 -sertifiointi voi auttaa organisaatioita kasvamaan.

Näytä kaikki Al Robertsonin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja