בניית קשרי ספקים יציבים ומאובטחים עם ISO 27001

אם תשאלו את מארק גרהם, ראש תקני ISO שלנו, על היתרונות של ISO 27001, יש נקודה אחת שהוא תמיד ממציא. ISO 27001, ולמעשה כל משפחת ה-ISO 27000, עוסקים בהרבה יותר מסתם אבטחת מידע. הם יעזרו לך:

  • הפעל את הארגון שלך היטב
  • חשבו על כל מה שיכול למנוע מכם לנהל את הארגון שלכם בצורה טובה

כמובן, זה לא תמיד מובן מאליו. אבל לפעמים זה פשוט קופץ לך החוצה. נספח A.15 של ISO 27001 הוא אחד מאותם רגעים. זה הכל על אבטחה וחיזוק של הארגון שלך קשרי ספקים.

אז ספק מבלגן. מה הכי גרוע שיכול לקרות?

עוד ב-2017, אחת ממערכות ה-IT של חברות התעופה הגדולות קרסה. 75,000 לקוחות נתקעו. מטוסים נותרו מסתובבים באוויר. חברת התעופה הפסידה 170 מיליון ליש"ט והתמודדה עם חשבון פיצוי של יותר מ-150 מיליון ליש"ט. וזה היה קטסטרופה של מוניטין.

הסיבה העיקרית לאירוע הייתה הפסקת חשמל פנימית. משקיפים מעודכנים מאמינים שזה הפך לכדור שלג לאסון מכיוון שחברת התעופה הוציאה לאחרונה חלק מפעולות ה-IT שלהן למיקור חוץ. הספק החדש שלהם איכזב אותם ואת שלהם תוכנית שיקום לאחר אסון נכשל.

אף אחד לא זוכר את הספק. רוב האנשים אפילו לא יודעים שהם קיימים. אבל בגללם, חברת התעופה ספגה נזק מוניטין וכלכלי חמור. זה סוג הנזק שרוב העסקים יצליחו להימנע ממנו. וזה המקום שבו נספח A.15 יעזור לך.

חיזוק קשרי הספקים שלך

נספח A.15 קצר למדי, אבל יכול להיות לו השפעה גדולה מאוד. זה צריך שתוודא ש:

  • אתה מגן על כל נכסי המידע שהספקים שלך יכולים לגשת אליהם
  • הם ימשיכו לספק את כל השירותים שהם הסכימו להם, לא משנה מה

אתה יכול לראות איך זה היה עוזר לחברת התעופה המופרעת שלנו! וגם אם אתה לא תואם או מוסמך ISO 27001, אתה יכול להשתמש בנספח A.15 כדי לעזור לך לבצע כמה בדיקות ספק חשובות מאוד.

הגנה על נכסי המידע שלך

ייתכן שאתה חולק נכסי מידע עם הספקים שלך. אם זה המקרה, עליך:

  • בדוק כיצד הספקים שלך יכולים לגשת בבטחה לנכסי המידע שלך
  • הסכימו איתם לתהליך הזה, וודאו שהם מבינים כל חלק בו
  • תעד את התהליך בצורה שקל לגשת לך ולהם
  • כלול את דרישות ה-infosec שלך בהסכמים הפורמליים שלך איתם

וכמו חברת התעופה, כנראה שיהיו לכם ארגונים אספקת ICT מוצרים או שירותים. תצטרך לוודא שכל מה שהם מספקים עומד גם בדרישות ה-infosec שלך.

ודא שהספקים שלך תמיד מספקים

ISO 27001 הוא באמת בערך ניהול סיכונים. והספקים שלך יכולים להוות סיכון מרכזי. עדיף להניח שחלק מהם, בשלב מסוים, יאכזבו אותך. כדי לקזז את זה, התקן מבקש ממך לעקוב אחריהם מקרוב. אתה צריך:

  • תפקח עליהם עין שוטפת
  • בדקו בקביעות שהם מספקים בזמן ובמלאות
  • מדי פעם, העריכו אותם כראוי מול:
    • הסכם קיים איתם
    • צרכים משתנים ונסיבות אחרות

זה יכול להוביל לשינויים במערכת היחסים שלך איתם. ISO 27001 מייעץ לך לקיים תהליך ברור לביצוע וניהול השינויים הללו. בפרט, התמקד ב:

  • שמירה על שלך מדיניות infosec, נהלים ובקרות עדכניות
  • שמירה על קריטי מושפע מידע עסקי, מערכות ותהליכים
  • הקפד להעריך מחדש את כל הסיכונים שהשינויים שלך משפיעים עליהם

זה עשוי להיראות כמו עצה בסיסית מאוד, שכל ישר. אבל זה יכול לחסוך לך ולארגון שלך הרבה זמן, כסף, נזק למוניטין ותסכול. אחרי הכל, השכל הישר הוא לא תמיד נפוץ כמו שאתה חושב.

אבטחת שרשרת האספקה ​​והמוניטין שלך

המוניטין של הארגון שלך הוא אחד הנכסים החשובים ביותר שלו. זה כנראה עובד קשה כדי להגן ולבנות אותו. אבל חוסר זהירות של רגע מאדם שאינו קשור לחלוטין לארגון שלך יכול להזיק או אפילו להרוס אותו.

לכן אתה צריך לפקוח עין מקרוב על הספקים שלך. וזה יהיה טוב גם להם. הם ירצו שתהיו בטוחים שהם מספקים את השירות הטוב ביותר האפשרי בצורה הטובה ביותר. ואם לא, זה כנראה הרמז שלך להתחיל לחפש מישהו אחר.

אנו מקווים שההנחיות ISO 27001 שסיכמנו למעלה יעזרו לך בכל התהליך הזה. ואנחנו מקווים שזה עזר לך להבין קצת יותר את הסטנדרט, ולראות כיצד הוא יכול להביא כמה יתרונות מעשיים מאוד לארגון שלך.

« כיצד לפתח מלאי נכסים עבור ISO 27001

מה כרוך בביקורת ISO 27001? »

נערך לאחרונה: 2 בפברואר 2022
מְחַבֵּר

אל רוברטסון

אל הוא סופר מקצועי ומחבר פורסם המכסה מגוון נושאים. הוא כתב מגוון מאמרים על ציות ובעיקר על אבטחת מידע וכיצד הסמכת ISO 27001 יכולה לעזור לארגונים לצמוח.

צפה בכל הפוסטים של אל רוברטסון

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף