ציות מתרחק מהבטחת ניהול אבטחת מידע חוזית אך מבוססת אמון וסימון תיבת, לעבר ציות יותר הקשרי, ממוקד סיכון וניתן להוכחה.
המעבר המאוחר הזה מונע, בין השאר, על ידי תקנות הגנת מידע כגון תקנה כללית להגנה על נתונים (GDPR) באירופה, ומחלקת השירותים הפיננסיים של מדינת ניו יורק (NYS DFS) 500 בארה"ב.
בהתייחס ישירות לאבטחת שרשרת האספקה, סעיף 28 של GDPR הופך את מבקר נתונים אחראי רק לבחירת מעבדי נתונים שיוכלו להבטיח את האמצעים הטכניים והארגוניים שלהם יבטיחו שעיבוד הנתונים יעמוד בדרישות ה-GDPR כדי להבטיח את ההגנה על זכויותיו של נשוא המידע. הוא מצטט במפורש ציות לסעיף 32 אמצעי אבטחת עיבוד.
למרות שהכוונה למגזר השירותים הפיננסיים NYS DFS סעיף 500.11 – מדיניות אבטחה של ספקי שירותים של צד שלישי, מחייב מדיניות ונהלים של 'ישות מכוסה' להתבסס על הערכת הסיכונים.
זה לא דומה ל-GDPR בדרישה להקפיד על נהלי אבטחת סייבר מינימליים, תהליכי בדיקת נאותות משמשים להערכת הלימות שיטות אבטחת סייבר והערכה תקופתית מתקיימת בהתבסס על הסיכון שהם מציגים והמשך הלימות שיטות אבטחת הסייבר שלהם.
כתוצאה מכך, בעלי עניין רגולטוריים מרכזיים, כגון רשת אירופה ו אבטחת מידע סוכנות (ENISA) רואים באבטחה בשרשרת האספקה הגנה משמעותית על מידע סיכון גלובלי. הדו"ח האחרון שלהם, ביטוח סייבר: התקדמות אחרונה, שיטות עבודה טובות ואתגרים מדגיש שרק 23% מהארגונים מעריכים ספקים לגבי סיכוני סייבר.
ובארה"ב, ה המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסמה את הטיוטה האחרונה של המסגרת לשיפור אבטחת הסייבר של תשתיות קריטיות הידועה גם בשם מסגרת אבטחת סייבר של NIST, שיש לו:
"הסבר מורחב מאוד על השימוש במסגרת למטרות ניהול סיכונים שרשרת אספקה של סייבר (SCRM):
סעיף 3.3 מורחב העברת דרישות אבטחת סייבר עם בעלי עניין עוזר למשתמשים להבין טוב יותר את Cyber SCRM. Cyber SCRM נוסף גם כמאפיין של שכבות יישום. לבסוף, נוספה קטגוריית ניהול סיכוני שרשרת אספקה לליבת המסגרת"
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
בסעיף 3.2.6 לדו"ח ENISA, הם ממליצים, בהתאם ISO 27001 יעדי בקרה ובמיוחד נספח א.15 בקרות, בעלי עניין כגון מבטחים, לקוחות, משקיעים ורגולטורים, מאמתים את קיומו של תהליך ניהול רשמי של צד שלישי, ומקבלים פרטים על בדיקת נאותות, פיקוח מתמשך והתחייבויות חוזיות.
בהיעדר קודים התנהגותיים מאושרים של GDPR, יכולתו של מעבד נתונים (או ספק קריטי אחר) להוכיח עמידה בדרישות עיבוד האבטחה של סעיף 32 יכולה להיות מושגת על ידי הטמעה והבטחה אידיאלית של הסמכת ISO 27001.
זה מאפשר להם להפגין יכולות זיהוי וניהול סיכונים קונטקסטואליים ויכולת להבטיח את הסודיות המתמשכת, היושרה, הזמינות והחוסן של מערכות ושירותי עיבוד.
ישים באותה מידה ל-NYS DFS, בטיוטה האחרונה של פונקציית ה-Identify framework "הבסיסית", NIST מתייחסת גם לאותן יעדי בקרה של ISO 27001 ו בקרות נספח A.15 לניהול סיכונים של שרשרת אספקה מזהה קטגוריה, כמו גם יעדי בקרת ISO אחרים ובקרות נספח A עבור כל שאר קטגוריות המפתח לזהות של:
לכן, אם תבחר ליישם את כולם ISO 27001 או רק בקרות מפתח סביב זיהוי וניהול סיכונים הקשריים, ברור שה בקרות ISO 27001 A.15 לניהול ספקים (ומערכות יחסים חשובות אחרות) להציע אמצעי יעיל ל המתאר כיצד אתה מנהל את האבטחה בשרשרת האספקה הן עבור GDPR והן עבור NYS DFS 500.
אבל איך עושים עלות יעילה ומהירה להפגין את זה?
הפלטפורמה נתנה לנו התחלה עצומה בהשוואה להסתמכות על ספריות זולות יותר או יצירת כל התיעוד מאפס. מצאנו שזה קל להפליא לשימוש וצוות התמיכה היה פנומנלי. אני לא יכול להמליץ מספיק על ISMS.online.
ארגונים גדולים צריכים לעבור מעבר לשאלוני הספקים והחוזים המסורתיים, לציית או למות, המעודדים תגובת סימון, שדיוקם ייבדק רק לאחר שקרה תקרית, ואז זה לעתים קרובות מאוחר מדי.
למרות שאתה עשוי להיות שמח שיש לך חוזה אטום למים, לא סביר שהמשקיעים, הלקוחות שלך ועם תאימות ל- GDPR כמעט עלינו, הרגולטורים, יהיו די מבינים אם פשוט הסתמכתם על שאלונים וחוזים.
הם יחפשו לראות ששיתפתם פעולה ושיתפתם פעולה עם שרשרת האספקה שלכם ויש לכם מנגנון להוכחה שתקנים מוסכמים/מחייבים, או מדיניות ובקרות ספציפיות, פועלים בפועל ולא רק על הנייר.
שימוש בכלים מקוונים, כגון ISMS.online מאפשרים לך להוכיח את ניהול שרשרת האספקה האפקטיבי שלך וכיצד הוא משתלב עם ניהול הסיכונים, הביקורות והבקרות שלך.
מעבר לכך, הוא מאפשר לך לשתף פעולה באופן מקוון בצורה יעילה עם ספקים מרכזיים, תוך מתן א לקוח אחראי גישה המסייעת אפילו לספקים הקטנים ביותר להשיג אמצעי אבטחה מתאימים. עידודם לנקוט בצעדים חיוביים, פרגמטיים אך ממוקדי סיכון יאפשר להם לעשות זאת להגן על נכסי המידע שלהם ושלך בהתאם למדיניות ולבקרות שלך.
בעבודה משותפת תוכלו לבנות ISMS ושרשרת אספקה שכולם יכולים לסמוך עליהם.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה