Bou stabiele, veilige verskafferverhoudings met ISO 27001

As jy Mark Graham, ons ISO Standaarde hoof, vra oor die voordele van ISO 27001, daar is een punt wat hy altyd maak. ISO 27001, en eintlik die hele ISO 27000-familie, gaan oor veel meer as net inligtingsekuriteit. Hulle sal jou help:

  • Bestuur jou organisasie goed
  • Dink deur alles wat jou kan keer om jou organisasie goed te bestuur

Dit is natuurlik nie altyd duidelik nie. Maar soms spring dit net na jou uit. Bylae A.15 van ISO 27001 is een van daardie oomblikke. Dit gaan alles oor die beveiliging en versterking van jou organisasie s'n verskaffer verhoudings.

So 'n verskaffer mors. Wat is die ergste wat kan gebeur?

In 2017 het een van die groot lugdienste se IT-stelsels in duie gestort. 75,000 170 kliënte was gestrand. Vliegtuie is in die lug laat sirkel. Die lugdiens het £150 miljoen verloor en 'n vergoedingsrekening van meer as £XNUMX miljoen in die gesig gestaar. En dit was 'n reputasiekatastrofe.

Die hoofoorsaak van die voorval was 'n interne kragonderbreking. Goed ingeligte waarnemers meen dit het in 'n ramp gesneeubal geword omdat die lugredery onlangs van hul IT-bedrywighede uitgekontrakteer het. Hul nuwe verskaffer het hulle in die steek gelaat en hul rampherstelplan misluk.

Niemand onthou die verskaffer nie. Die meeste mense weet nie eers dat hulle bestaan ​​nie. Maar as gevolg van hulle het die lugdiens ernstige reputasie- en finansiële skade berokken. Dit is die soort skade wat die meeste besighede ver sal gaan om te vermy. Dit is waar Bylae A.15 jou sal help.

Versterking van jou verskaffer verhoudings

Bylae A.15 is redelik kort, maar dit kan 'n baie groot impak hê. Dit vereis dat jy seker maak dat:

  • Jy beskerm enige inligtingsbates waartoe jou verskaffers toegang het
  • Hulle sal aanhou om al die dienste te lewer waartoe hulle ingestem het, maak nie saak wat nie

Jy kan sien hoe dit ons ontwrigte lugredery sou gehelp het! En selfs al is jy nie ISO 27001 voldoen of gesertifiseer is, kan jy Aanhangsel A.15 gebruik om jou te help om 'n paar baie belangrike verskafferkontroles te doen.

Beskerm jou inligting bates

Jy deel dalk inligtingsbates met jou verskaffers. As dit die geval is, moet jy:

  • Werk uit hoe jou verskaffers veilig toegang tot jou inligtingbates kan kry
  • Stem daardie proses met hulle saam, maak seker dat hulle elke deel daarvan verstaan
  • Dokumenteer die proses op 'n manier wat maklik is vir jou en hulle om toegang te verkry
  • Sluit jou infosec-vereistes by jou formele ooreenkomste met hulle in

En, soos die lugredery, sal jy waarskynlik organisasies hê verskaffing van IKT produkte of dienste. Jy moet seker maak dat alles wat hulle verskaf ook aan jou infosec-vereistes voldoen.

Maak seker dat jou verskaffers altyd lewer

ISO 27001's gaan regtig oor risiko bestuur. En jou verskaffers kan 'n sleutelrisiko wees. Dit is die beste om te aanvaar dat sommige van hulle jou een of ander tyd in die steek sal laat. Om dit te vergoed, vra die standaard jou om hulle fyn dop te hou. Jy behoort:

  • Hou hulle voortdurend dop
  • Kontroleer gereeld dat hulle betyds en volledig aflewer
  • Evalueer hulle elke nou en dan behoorlik teen jou:
    • Bestaande ooreenkoms met hulle
    • Veranderende behoeftes en ander omstandighede

Dit kan lei tot veranderinge in jou verhouding met hulle. ISO 27001 raai jou aan om 'n duidelike proses in plek te hê om daardie veranderinge aan te bring en te bestuur. Fokus veral op:

  • Hou u infosec-beleide, prosedures en kontroles op datum
  • Die handhawing van geaffekteerde kritiek besigheidsinligting, stelsels en prosesse
  • Maak seker dat u enige risiko's wat u veranderinge beïnvloed, heroorweeg

Dit lyk dalk na baie basiese, gesonde verstand raad. Maar dit kan jou en jou organisasie baie tyd, geld, reputasieskade en frustrasie bespaar. Gesonde verstand is immers nie altyd so algemeen as wat jy dink nie.

Beveilig jou voorsieningsketting en jou reputasie

Jou organisasie se reputasie is een van sy belangrikste bates. Dit werk waarskynlik hard om dit te verdedig en te bou. Maar 'n oomblik se sorgeloosheid van iemand wat heeltemal nie met jou organisasie verbind is nie, kan dit beskadig of selfs vernietig.

Daarom moet jy jou verskaffers fyn dophou. En dit sal ook goed wees vir hulle. Hulle wil hê jy moet seker wees dat hulle die beste moontlike diens op die beste moontlike manier lewer. En as hulle dit nie doen nie, is dit waarskynlik jou idee om na iemand anders te begin soek.

Ons hoop dat die ISO 27001-leiding wat ons hierbo opgesom het, jou met daardie hele proses sal help. En ons hoop dit het jou gehelp om die standaard 'n bietjie meer te verstaan, en te sien hoe dit 'n paar baie praktiese voordele vir jou organisasie kan inhou.

« Hoe om 'n bate-inventaris vir ISO 27001 te ontwikkel

Wat is betrokke by 'n ISO 27001 oudit? »

Laas geredigeer: 2 Februarie 2022
skrywer

Al Robertson

Al is 'n professionele skrywer en gepubliseerde skrywer wat 'n reeks onderwerpe dek. Hy het 'n reeks artikels geskryf oor voldoening en veral oor inligtingsekuriteit en hoe ISO 27001-sertifisering organisasies kan help om te groei.

Sien alle plasings deur Al Robertson

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind