Stabiele, veilige leveranciersrelaties opbouwen met ISO 27001

Als je Mark Graham, ons hoofd van de ISO-normen, vraagt ​​naar de voordelen van ISO 27001 , er is één punt dat hij altijd maakt. ISO 27001, en in feite de hele ISO 27000-familie, gaat over veel meer dan alleen informatiebeveiliging. Ze helpen je:

  • Leid uw organisatie goed
  • Denk na over alles wat u ervan zou kunnen weerhouden uw organisatie goed te runnen

Natuurlijk is dat niet altijd evident. Maar soms schiet het je gewoon te binnen. Bijlage A.15 van ISO 27001 is een van die momenten. Het draait allemaal om het borgen en versterken van uw organisatie relaties met leveranciers.

Een leverancier maakt dus een fout. Wat is het ergste dat kan gebeuren?

In 2017 stortte de IT-systemen van een van de grote luchtvaartmaatschappijen in. 75,000 klanten strandden. Vliegtuigen bleven in de lucht cirkelen. De luchtvaartmaatschappij verloor £170 miljoen en kreeg te maken met een schadevergoeding van ruim £150 miljoen. En het was een reputatiecatastrofe.

De oorzaak van het incident was een interne stroomstoring. Goed geïnformeerde waarnemers denken dat het uitmondde in een ramp omdat de luchtvaartmaatschappij onlangs een deel van hun IT-activiteiten had uitbesteed. Hun nieuwe leverancier heeft hen en hun in de steek gelaten ramp herstelplan mislukt.

Niemand herinnert zich de leverancier. De meeste mensen weten niet eens dat ze bestaan. Maar door hen liep de luchtvaartmaatschappij ernstige reputatie- en financiële schade op. Dat is het soort schade dat de meeste bedrijven zouden willen vermijden. Dat is waar bijlage A.15 u zal helpen.

Versterking van uw leveranciersrelaties

Bijlage A.15 is vrij kort, maar kan een zeer grote impact hebben. Je moet ervoor zorgen dat:

  • U beschermt alle informatiemiddelen waartoe uw leveranciers toegang hebben
  • Ze zullen alle diensten blijven leveren waarmee ze hebben ingestemd, wat er ook gebeurt

Je kunt zien hoe dat onze ontwrichte luchtvaartmaatschappij zou hebben geholpen! En zelfs als je dat niet bent ISO 27001-compatibel of gecertificeerdkunt u bijlage A.15 gebruiken als hulpmiddel bij het uitvoeren van enkele zeer belangrijke leverancierscontroles.

Bescherming van uw informatiemiddelen

Mogelijk deelt u informatiemiddelen met uw leveranciers. Als dat het geval is, moet u:

  • Ontdek hoe uw leveranciers veilig toegang kunnen krijgen tot uw informatiemiddelen
  • Spreek dat proces met hen af ​​en zorg ervoor dat ze elk onderdeel ervan begrijpen
  • Documenteer het proces op een manier die voor u en voor hen gemakkelijk toegankelijk is
  • Neem uw infosec-vereisten op in uw formele overeenkomsten met hen

En net als bij de luchtvaartmaatschappij heb je waarschijnlijk organisaties ICT leveren producten of diensten. U moet ervoor zorgen dat alles wat zij leveren ook aan uw infosec-vereisten voldoet.

Zorg ervoor dat uw leveranciers altijd leveren

ISO 27001 gaat er echt over risicobeheer. En uw leveranciers kunnen een belangrijk risico vormen. Het is het beste om aan te nemen dat sommigen van hen je op een gegeven moment in de steek zullen laten. Om dat te compenseren vraagt ​​de norm je om ze goed in de gaten te houden. Je zou moeten:

  • Houd ze voortdurend in de gaten
  • Controleer regelmatig of ze op tijd en volledig leveren
  • Beoordeel ze af en toe goed aan de hand van uw:
    • Bestaande overeenkomst met hen
    • Veranderende behoeften en andere omstandigheden

Dat kan leiden tot veranderingen in uw relatie met hen. ISO 27001 adviseert u om een ​​duidelijk proces te hanteren voor het doorvoeren en beheren van deze wijzigingen. Focus vooral op:

  • Je houden infosec-beleid, procedures en controles up-to-date
  • Getroffen kritiek behouden Bedrijfsinformatie, systemen en processen
  • Zorg ervoor dat u de risico's waarop uw wijzigingen van invloed zijn, opnieuw beoordeelt

Dat lijkt misschien een heel basaal, gezond verstandadvies. Maar het kan u en uw organisatie veel tijd, geld, reputatieschade en frustratie besparen. Gezond verstand is immers niet altijd zo gewoon als je zou denken.

Het beveiligen van uw toeleveringsketen en uw reputatie

De reputatie van uw organisatie is een van haar belangrijkste activa. Het werkt waarschijnlijk hard om het te verdedigen en te bouwen. Maar een moment van onzorgvuldigheid van iemand die totaal niets met uw organisatie te maken heeft, kan deze beschadigen of zelfs vernietigen.

Daarom moet u uw leveranciers goed in de gaten houden. En het zal ook goed voor hen zijn. Ze willen dat u er zeker van kunt zijn dat ze de best mogelijke service op de best mogelijke manier leveren. En als ze dat niet doen, is dat waarschijnlijk het signaal om op zoek te gaan naar iemand anders.

We hopen dat de ISO 27001-richtlijnen die we hierboven hebben samengevat u zullen helpen bij dat hele proces. En we hopen dat het u heeft geholpen de standaard een beetje beter te begrijpen, en te zien hoe deze een aantal zeer praktische voordelen voor uw organisatie kan opleveren.

« Hoe u een activa-inventaris ontwikkelt voor ISO 27001

Wat komt er kijken bij een ISO 27001-audit? »

Laatst gewijzigd: 2 februari 2022
Auteur

Al Robertson

Al is een professionele schrijver en gepubliceerde auteur die een scala aan onderwerpen behandelt. Hij heeft een reeks artikelen geschreven over compliance en vooral over informatiebeveiliging en hoe ISO 27001-certificering organisaties kan helpen groeien.

Bekijk alle berichten van Al Robertson

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie