Efterlevnad går bort från den kontraktuella men förtroendebaserade och kryssrutan Information Security Management-försäkran, mot en mer kontextuell, riskfokuserad och påvisbar efterlevnad.
Denna sedan länge försenade övergång drivs delvis av dataskyddsförordningar såsom Allmänna dataskyddsförordningen (GDPR) i Europa och New York State Department of Financial Services (NYS DFS) 500 i USA.
Artikel 28 i GDPR riktar sig direkt till Supply Chain Security Datakontrollant ansvarig för att endast välja databehandlare som kan garantera sina tekniska och organisatoriska åtgärder kommer att säkerställa att databehandling uppfyller kraven i GDPR för att säkerställa skyddet av den registrerades rättigheter. Det hänvisar uttryckligen till efterlevnad av artikel 32 Säkerhet för behandlingsåtgärder.
Även om det är inriktat på finanssektorn NYS DFS Avsnitt 500.11 – Säkerhetspolicy för tredjepartstjänsteleverantörer, kräver en "Täckt Entitets" policyer och procedurer att baseras på riskbedömningen.
Det är inte olikt GDPR när det gäller att kräva att minimisäkerhetspraxisen ska uppfyllas, due diligence-processer används för att utvärdera lämpligheten av cybersäkerhetspraxis och periodisk bedömning sker baserat på risken de utgör och den fortsatta adekvatheten av deras cybersäkerhetspraxis.
Följaktligen kan viktiga regulatoriska intressenter, såsom Europeiska nätverket och Information Security Agency (ENISA) ser säkerhet i försörjningskedjan som ett betydande dataskydd risk globalt. Deras senaste rapport, Cyberförsäkring: Nya framsteg, god praxis och utmaningar framhåller att endast 23 % av organisationerna bedömer leverantörer för cyberrisk.
Och i USA National Institute for Standards and Technology (NIST) släppte det senaste utkastet till ramverket för att förbättra cybersäkerheten för kritisk infrastruktur, även känd som NIST ramverk för cybersäkerhet, som har en:
"Väldigt utökad förklaring av hur man använder Framework för Cyber Supply Chain Risk Management (SCRM) ändamål:
Ett utökat avsnitt 3.3 Kommunicera cybersäkerhetskrav med intressenter hjälper användare att bättre förstå Cyber SCRM. Cyber SCRM har också lagts till som en egenskap hos Implementation Tiers. Slutligen har en Supply Chain Risk Management Kategori lagts till i Framework Core”
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
I avsnitt 3.2.6 i ENISA-rapporten rekommenderar de att, enligt ISO 27001 Kontrollmål och specifikt Bilaga A.15 kontroller, intressenter som försäkringsgivare, kunder, investerare och tillsynsmyndigheter, verifierar förekomsten av en formell tredjepartshanteringsprocess och får information om due diligence, pågående tillsyn och avtalsförpliktelser.
I avsaknad av godkända GDPR-uppförandekoder, kan en databehandlares (eller annan kritisk leverantörs) förmåga att bevisa överensstämmelse med artikel 32 säkerhetsbearbetningskrav uppnås genom att implementera och helst säkra ISO 27001-ackreditering.
Detta gör det möjligt för dem att visa kontextuell riskidentifiering och hanteringskapacitet och förmågan att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster.
Lika tillämpligt på NYS DFS, i sitt senaste utkast till den "grundläggande" Identify-ramverksfunktionen, refererar NIST också till samma ISO 27001-kontrollmål och Bilaga A.15 kontroller för dess Identifiera Supply Chain Risk Management kategori, såväl som andra ISO-kontrollmål och bilaga A-kontroller för alla andra nyckelidentifieringskategorier av:
Därför, om du väljer att genomföra alla ISO 27001 eller bara nyckelkontroller kring kontextuell riskidentifiering och hantering, är det tydligt ISO 27001 A.15 kontroller för att hantera leverantörer (och andra viktiga relationer) erbjuda ett effektivt sätt att beskriver hur du hanterar säkerhet i försörjningskedjan för både GDPR och NYS DFS 500.
Men hur kostnadseffektivt och snabbt demonstrera det?
Plattformen gav oss ett enormt försprång jämfört med att lita på billigare bibliotek eller skapa all dokumentation från grunden. Vi har tyckt att det är otroligt lätt att använda och supportteamet har varit fenomenalt. Jag kan inte rekommendera ISMS.online tillräckligt mycket.
Stora företag behöver gå bortom de traditionella, följ eller dö, leverantörsfrågeformulär och kontrakt som uppmuntrar till ett kryssrutorsvar, vars riktighet först kommer att testas när en incident har inträffat, då det ofta är för sent.
Även om du kan vara glad att du har ett vattentätt kontrakt på plats, är det osannolikt att dina investerare, kunder och, med GDPR-överensstämmelse nästan på oss, tillsynsmyndigheterna, kommer att vara ganska så förstående om ni bara har förlitat er på frågeformulär och kontrakt.
De kommer att se att du har engagerat dig och samarbetat med din försörjningskedja och har en mekanism för att bevisa att överenskomna/mandaterade standarder, och eller specifika policyer och kontroller, fungerar i praktiken och inte bara på papper.
Använda onlineverktyg, som t.ex ISMS.online låter dig bevisa din effektiva leveranskedja och hur det integreras med din riskhantering, revisioner och kontroller.
Utöver det låter det dig samarbeta effektivt online med nyckelleverantörer, med en ansvarig kund tillvägagångssätt som hjälper även de minsta leverantörerna att uppnå lämpliga säkerhetsåtgärder. Att uppmuntra dem att ta positiva, pragmatiska men riskfokuserade steg kommer att göra det möjligt för dem skydda sina och dina informationstillgångar i linje med dina egna policyer och kontroller.
Genom att arbeta tillsammans kan du bygga ett ISMS och en försörjningskedja som alla kan lita på.
En skräddarsydd praktisk session utifrån dina behov och mål
100 % av våra användare uppnår ISO 27001-certifiering första gången