Nakoming beweeg weg van die kontraktuele, maar vertrouensgebaseerde en merkblokkie Inligtingsekuriteitsbestuur-versekering, na 'n meer kontekstuele, risiko-gefokusde en aantoonbare nakoming.
Hierdie lang agterstallige oorgang word deels aangedryf deur databeskermingsregulasies soos die Algemene databeskermingsregulasie (GDPR) in Europa, en New York State Department of Financial Services (NYS DFS) 500 in die VSA.
Artikel 28 van GDPR, wat direk aanspreek vir Voorsieningskettingsekuriteit, maak die Databeheerder verantwoordelik vir die keuse van slegs dataverwerkers wat hul tegniese en organisatoriese maatreëls kan waarborg, sal verseker dat dataverwerking aan die vereistes van GDPR voldoen om die beskerming van die regte van die datasubjek te verseker. Dit noem uitdruklik voldoening aan artikel 32 Sekuriteit van verwerkingsmaatreëls.
Alhoewel gerig op die Finansiële Dienste sektor NYS DFS Afdeling 500.11 – Derdeparty Diensverskaffer Sekuriteitsbeleid, vereis dat 'n 'Gedekte Entiteit' se beleide en prosedures op die Risiko-evaluering gebaseer word.
Dit verskil nie van GDPR deur te vereis dat die minimum kubersekuriteitspraktyke nagekom word nie, omsigtigheidsprosesse word gebruik om die toereikendheid van kubersekuriteitspraktyke te evalueer en periodieke assessering vind plaas op grond van die risiko wat dit inhou en die volgehoue toereikendheid van hul kubersekuriteitspraktyke.
Gevolglik het sleutel regulatoriese belanghebbendes, soos die Europese netwerk en Informasiesekuriteit Agentskap (ENISA) sien sekuriteit in die voorsieningsketting as 'n belangrike databeskerming risiko wêreldwyd. Hul onlangse verslag, Kuberversekering: Onlangse vooruitgang, goeie praktyke en uitdagings beklemtoon slegs 23% van organisasies assesseer verskaffers vir kuberrisiko.
En, in die VSA, die Nasionale Instituut vir Standaarde en Tegnologie (NIST) het die jongste konsep van die Raamwerk vir die Verbetering van Kritieke Infrastruktuur Kuberveiligheid vrygestel, ook bekend as die NIST Kubersekuriteitsraamwerk, wat 'n:
“Berse uitgebreide verduideliking van die gebruik van Raamwerk vir Cyber Supply Chain Risk Management (SCRM) doeleindes:
'n Uitgebreide Afdeling 3.3 Kommunikasie van kuberveiligheidsvereistes met belanghebbendes help gebruikers om Cyber SCRM beter te verstaan. Cyber SCRM is ook bygevoeg as 'n eienskap van Implementation Tiers. Laastens is 'n voorsieningskettingrisikobestuurkategorie by die raamwerkkern gevoeg"
ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.
Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid
In Afdeling 3.2.6 van die ENISA-verslag beveel hulle aan dat, soos per ISO 27001 Beheer doelwitte en spesifiek Bylae A.15 beheer, belanghebbendes soos versekeraars, kliënte, beleggers en reguleerders, verifieer die bestaan van 'n formele derdeparty-bestuursproses, en ontvang besonderhede oor omsigtigheidsondersoek, deurlopende toesig en kontraktuele verpligtinge.
In die afwesigheid van goedgekeurde GDPR-gedragskodes, kan 'n dataverwerker (of ander kritieke verskaffer) se vermoë om voldoening aan artikel 32 Sekuriteitsverwerkingsvereistes te bewys, bereik word deur ISO 27001-akkreditasie te implementeer en ideaal te verseker.
Dit stel hulle in staat om kontekstuele risiko-identifikasie en bestuursvermoëns te demonstreer en die vermoë om die deurlopende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van verwerkingstelsels en -dienste te verseker.
Net so van toepassing op NYS DFS, verwys NIST in sy jongste konsep van die "fundamentele" Identifiseer-raamwerkfunksie ook dieselfde ISO 27001-beheerdoelwitte en Bylae A.15 kontroles vir sy Identifiseer voorsieningskettingrisikobestuur kategorie, sowel as ander ISO-beheerdoelwitte en Bylae A-kontroles vir al die ander sleutel Identifiseer kategorieë van:
Daarom, of jy kies om al te implementeer ISO 27001 of net sleutelkontroles rondom kontekstuele risiko-identifikasie en -bestuur, dit is duidelik die ISO 27001 A.15-kontroles om verskaffer (en ander belangrike verhoudings) te bestuur bied 'n doeltreffende middel van beskrywing hoe jy sekuriteit in die voorsieningsketting bestuur vir beide GDPR en NYS DFS 500.
Maar hoe kos jy effektief en vinnig demonstreer dit?
Die platform het ons 'n groot voorsprong gegee in vergelyking met om op goedkoper biblioteke staat te maak of al die dokumentasie van nuuts af te skep. Ons het dit ongelooflik maklik gevind om te gebruik en die ondersteuningspan was fenomenaal. Ek kan ISMS.online nie sterk genoeg aanbeveel nie.
Groot ondernemings moet verby die tradisionele, voldoen of sterf, verskaffersvraelyste en kontrakte beweeg wat 'n regmerkieblokkie-reaksie aanmoedig, waarvan die akkuraatheid eers getoets sal word sodra 'n voorval gebeur het, dan is dit dikwels te laat.
Alhoewel jy dalk gelukkig is dat jy 'n waterdigte kontrak in plek het, is dit onwaarskynlik dat jou beleggers, kliënte en, met GDPR nakoming amper op ons, die reguleerders, sal nogal so begripvol wees as jy bloot op vraelyste en kontrakte staatgemaak het.
Hulle sal kyk om te sien dat jy betrokke is by en saamgewerk het met jou voorsieningsketting en 'n meganisme het om te bewys dat ooreengekome/gemandateerde standaarde, en of spesifieke beleide en beheermaatreëls, in die praktyk werk en nie net op papier nie.
Die gebruik van aanlyn gereedskap, soos ISMS.online laat jou toe om jou doeltreffende voorsieningskettingbestuur te bewys en hoe dit met jou risikobestuur, oudits en beheermaatreëls integreer.
Daarbenewens laat dit jou toe om effektief aanlyn saam te werk met sleutelverskaffers, met 'n verantwoordelike kliënt benadering wat selfs die kleinste verskaffers help om toepaslike sekuriteitsmaatreëls te bereik. Om hulle aan te moedig om positiewe, pragmatiese, maar risiko-gefokusde stappe te neem, sal hulle toelaat om dit te doen beskerm hul en jou inligting bates in lyn met jou eie beleide en kontroles.
As u saamwerk, kan u 'n ISMS en voorsieningsketting bou wat almal kan vertrou.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering