Compliance beweegt zich weg van de contractuele, maar op vertrouwen gebaseerde en aanvinkbare informatiebeveiligingsbeheerborging, naar een meer contextuele, risicogerichte en aantoonbare compliance.
Deze langverwachte transitie wordt gedeeltelijk veroorzaakt door regelgeving op het gebied van gegevensbescherming, zoals de Algemene Gegevensbeschermingsverordening (GDPR) in Europa, en New York State Department of Financial Services (NYS DFS) 500 in de VS.
Artikel 28 van de AVG gaat rechtstreeks in op de beveiliging van de toeleveringsketen Gegevensbeheerder is verantwoordelijk voor het uitsluitend kiezen van gegevensverwerkers die hun technische en organisatorische maatregelen kunnen garanderen, zullen ervoor zorgen dat de gegevensverwerking voldoet aan de eisen van de AVG om de bescherming van de rechten van de Betrokkene te waarborgen. Er wordt expliciet verwezen naar de naleving van artikel 32 Beveiliging van verwerkingsmaatregelen.
Hoewel gericht op de financiële dienstensector, vereist NYS DFS Sectie 500.11 – Beveiligingsbeleid voor externe dienstverleners dat het beleid en de procedures van een 'gedekte entiteit' gebaseerd zijn op de risicobeoordeling.
Het verschilt niet van de AVG wat betreft de eis dat aan de minimale cyberbeveiligingspraktijken moet worden voldaan, er worden due diligence-processen gebruikt om de geschiktheid van cyberbeveiligingspraktijken te evalueren en er vindt periodieke beoordeling plaats op basis van het risico dat ze met zich meebrengen en de voortdurende geschiktheid van hun cyberbeveiligingspraktijken.
Bijgevolg zijn de belangrijkste belanghebbenden op het gebied van de regelgeving, zoals de Europees netwerk en Informatiebeveiliging Agentschap (ENISA) zien beveiliging in de toeleveringsketen als een belangrijke gegevensbescherming mondiaal risico. Hun recente rapport, Cyberverzekering: recente ontwikkelingen, goede praktijken en uitdagingen benadrukt dat slechts 23% van de organisaties leveranciers beoordeelt op cyberrisico's.
En in de VS is de Nationaal Instituut voor Standaarden en Technologie (NIST) heeft het nieuwste ontwerp uitgebracht van het Framework for Improving Critical Infrastructure Cybersecurity, ook bekend als de NIST Cybersecurity-framework, die een:
“Sterk uitgebreide uitleg over het gebruik van het Framework for Cyber Supply Chain Risk Management (SCRM):
Een uitgebreide sectie 3.3 Communiceren van cyberbeveiligingsvereisten met belanghebbenden helpt gebruikers Cyber SCRM beter te begrijpen. Cyber SCRM is ook toegevoegd als eigenschap van Implementation Tiers. Ten slotte is er een categorie Supply Chain Risk Management toegevoegd aan de Framework Core”
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
In paragraaf 3.2.6 van het ENISA-rapport bevelen zij aan dat, zoals per ISO 27001 Controledoelstellingen en specifiek Bijlage A.15 controles, belanghebbenden zoals verzekeraars, klanten, investeerders en toezichthouders verifiëren het bestaan van een formeel managementproces van derden en ontvangen details over due diligence, doorlopend toezicht en contractuele verplichtingen.
Bij het ontbreken van goedgekeurde AVG-gedragscodes kan het vermogen van een gegevensverwerker (of een andere kritische leverancier) om de naleving van artikel 32 Beveiligingsverwerkingsvereisten aan te tonen worden bereikt door het implementeren en idealiter veiligstellen van ISO 27001-accreditatie.
Dit stelt hen in staat contextuele risico-identificatie en -beheerscapaciteiten aan te tonen en het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen.
Net zo toepasbaar op NYS DFS, verwijst NIST in zijn laatste versie van de “fundamentele” Identificeer raamwerkfunctie ook naar dezelfde ISO 27001 Controledoelstellingen en Bijlage A.15-controles voor het identificeren van het risicobeheer van de toeleveringsketen categorie, evenals andere ISO-controledoelstellingen en bijlage A-controles voor alle andere belangrijke identificatiecategorieën van:
Daarom, of u er nu voor kiest om alles te implementeren ISO 27001 of gewoon de belangrijkste controles rond contextuele risico-identificatie en -beheer, het is duidelijk de ISO 27001 A.15-controles voor het beheren van leveranciers (en andere belangrijke relaties) een effectief middel bieden beschrijven hoe u de beveiliging in de supply chain beheert voor zowel GDPR als NYS DFS 500.
Maar hoe kunt u effectief en snel kosten maken? tonen het?
Het platform gaf ons een enorme voorsprong vergeleken met het vertrouwen op goedkopere bibliotheken of het helemaal opnieuw creëren van alle documentatie. We vonden het ongelooflijk eenvoudig te gebruiken en het ondersteuningsteam was fenomenaal. Ik kan ISMS.online niet sterk genoeg aanbevelen.
Grote ondernemingen moeten verder gaan dan de traditionele vragenlijsten en contracten van leveranciers, die aanzetten tot het aanvinken van een vinkje, waarvan de nauwkeurigheid pas wordt getest als er zich een incident heeft voorgedaan, en tegen die tijd is het vaak te laat.
Hoewel u misschien blij bent dat u een waterdicht contract heeft, is het onwaarschijnlijk dat uw investeerders, klanten en... GDPR naleving bijna op ons, de toezichthouders, zullen heel begripvol zijn als u eenvoudigweg op vragenlijsten en contracten hebt vertrouwd.
Zij zullen erop toezien dat u betrokken bent en samenwerkt met uw toeleveringsketen en dat u over een mechanisme beschikt om aan te tonen dat overeengekomen/gemandateerde normen en/of specifiek beleid en controles in de praktijk werken en niet alleen op papier.
Met behulp van online tools, zoals Met ISMS.online kunt u uw effectief supply chain management aantonen en hoe het integreert met uw risicobeheer, audits en controles.
Daarnaast kunt u effectief online samenwerken met belangrijke leveranciers, waarbij u een verantwoordelijke klant aanpak die zelfs de kleinste leverancier helpt passende beveiligingsmaatregelen te treffen. Door hen aan te moedigen positieve, pragmatische, maar risicogerichte stappen te zetten, kunnen ze dat ook doen bescherm hun en uw informatiemiddelen in overeenstemming met uw eigen beleid en controles.
Door samen te werken kunt u een ISMS en Supply Chain opbouwen waar iedereen op kan vertrouwen.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering