Bygga stabila, säkra leverantörsrelationer med ISO 27001

Om du frågar Mark Graham, vår ISO-standardchef, om fördelarna med ISO 27001 , det finns en poäng han alltid kommer fram till. ISO 27001, och faktiskt hela ISO 27000-familjen, handlar om mycket mer än bara informationssäkerhet. De hjälper dig:

  • Styr din organisation väl
  • Tänk igenom allt som kan hindra dig från att driva din organisation väl

Det är förstås inte alltid självklart. Men ibland hoppar det bara ut på dig. Bilaga A.15 till ISO 27001 är ett av dessa ögonblick. Allt handlar om att säkra och stärka din organisations leverantörsrelationer.

Så en leverantör stökar till. Vad är det värsta som kan hända?

Redan 2017 kollapsade ett av de stora flygbolagens IT-system. 75,000 170 kunder strandade. Plan lämnades cirkulerande i luften. Flygbolaget förlorade 150 miljoner pund och stod inför en kompensationsräkning på mer än XNUMX miljoner pund. Och det var en anseendekatastrof.

Grundorsaken till händelsen var ett internt strömavbrott. Välinformerade observatörer tror att det blev en katastrof eftersom flygbolaget nyligen hade lagt ut en del av deras IT-verksamhet på entreprenad. Deras nya leverantör svikit dem och deras plan för katastrofåterhämtning misslyckades.

Ingen kommer ihåg leverantören. De flesta människor vet inte ens att de finns. Men på grund av dem tog flygbolaget allvarliga anseende och ekonomisk skada. Det är den typ av skada som de flesta företag skulle gå långt för att undvika. Det är där bilaga A.15 kommer att hjälpa dig.

Stärka dina leverantörsrelationer

Bilaga A.15 är ganska kort, men den kan ha mycket stor påverkan. Du måste se till att:

  • Du skyddar alla informationstillgångar som dina leverantörer kan komma åt
  • De kommer att fortsätta leverera alla tjänster de har accepterat, oavsett vad

Du kan se hur det skulle ha hjälpt vårt störda flygbolag! Och även om du inte är det ISO 27001-kompatibel eller certifierad, kan du använda bilaga A.15 för att hjälpa dig göra några mycket viktiga leverantörskontroller.

Skydda dina informationstillgångar

Du kanske delar informationstillgångar med dina leverantörer. Om så är fallet bör du:

  • Ta reda på hur dina leverantörer säkert kan komma åt dina informationstillgångar
  • Kom överens om den processen med dem, se till att de förstår varje del av den
  • Dokumentera processen på ett sätt som är lätt för dig och dem att komma åt
  • Inkludera dina infosec-krav i dina formella avtal med dem

Och precis som flygbolaget kommer du förmodligen att ha organisationer tillhandahålla IKT produkter eller tjänster. Du måste se till att allt de levererar uppfyller dina infosec-krav också.

Se till att dina leverantörer alltid levererar

ISO 27001 handlar verkligen om riskhanterings. Och dina leverantörer kan vara en viktig risk. Det är bäst att anta att några av dem någon gång kommer att svika dig. För att kompensera det ber standarden dig att hålla ett öga på dem. Du borde:

  • Håll ett allmänt öga på dem
  • Kontrollera regelbundet att de levererar i tid och i sin helhet
  • Då och då, bedöm dem ordentligt mot dina:
    • Befintligt avtal med dem
    • Förändrade behov och andra omständigheter

Det kan leda till förändringar i din relation med dem. ISO 27001 råder dig att ha en tydlig process på plats för att göra och hantera dessa ändringar. Fokusera särskilt på:

  • Håller din infosec policy, rutiner och kontroller uppdaterade
  • Håller drabbade kritiska företagsinformation, system och processer
  • Se till att du omvärderar alla risker som dina ändringar påverkar

Det kan tyckas vara väldigt grundläggande, sunt förnuftsråd. Men det kan spara dig och din organisation mycket tid, pengar, skada på ryktet och frustration. När allt kommer omkring är sunt förnuft inte alltid så vanligt som man kan tro.

Säkra din försörjningskedja och ditt rykte

Din organisations rykte är en av dess viktigaste tillgångar. Det jobbar nog hårt med att försvara och bygga upp det. Men ett ögonblicks slarv från någon som helt saknar anknytning till din organisation kan skada eller till och med förstöra den.

Det är därför du måste hålla ett öga på dina leverantörer. Och det kommer att vara bra för dem också. De vill att du ska vara säker på att de levererar bästa möjliga service på bästa möjliga sätt. Och om de inte gör det, är det förmodligen din väg att börja leta efter någon annan.

Vi hoppas att ISO 27001-vägledningen vi har sammanfattat ovan kommer att hjälpa dig med hela processen. Och vi hoppas att det har hjälpt dig att förstå standarden lite mer och se hur den kan ge din organisation några mycket praktiska fördelar.

« Hur man utvecklar en tillgångsinventering för ISO 27001

Vad ingår i en ISO 27001-revision? »

Senast redigerad: 2 februari 2022
Författare

Al Robertson

Al är en professionell författare och publicerad författare som täcker en rad ämnen. Han har skrivit en rad artiklar om efterlevnad och särskilt om informationssäkerhet och hur ISO 27001-certifiering kan hjälpa organisationer att växa.

Visa alla inlägg av Al Robertson

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer