В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают раздел 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками». В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям.
✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...
Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.
Читайте полную статью: Полное руководство по разделу 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками» - https://hightable.io/iso-27001-annex-...
Мы рассматриваем раздел 5.20 Приложения A стандарта ISO 27001. Это правило призвано управлять рисками, связанными с поставщиками. В нем указано, какие доказательства необходимы для прохождения аудита.
Официальное правило гласит, что вы должны согласовать правила безопасности с каждым поставщиком. Проще говоря, не доверяйте им просто так. Вам нужен юридически оформленный договор. В этом договоре должно быть четко указано, что они должны делать для обеспечения безопасности ваших данных.
Это превентивная мера. Вы устанавливаете правила до того, как передадите им какие-либо данные. Вы не контролируете их офис, поэтому договор — ваша единственная защита.
Примечание: Мы даем советы по безопасности. Всегда обращайтесь к юристу для составления юридических документов.
Что должно быть в договоре?
Ваш договор — это контрольный список для обеспечения доверия. Вот что вы должны включить:
Подробности: Точно укажите, какие данные они получают. Укажите, как они могут получить к ним доступ. Не будьте расплывчаты.
Соответствие требованиям: Перечислите законы, которым они должны следовать, например, GDPR или правила авторского права.
Контроль безопасности: Укажите, какая безопасность им необходима. Нужно ли им шифрование? Нужна ли им двухфакторная аутентификация? Включите свою политику безопасности в договор.
Штрафы: Это очень важно. Кто заплатит, если они нарушат правила? Вам необходимо знать, кто оплачивает юридические расходы и штрафы.
Право на аудит: Вам необходимо иметь право проверять их работу. Можете ли вы увидеть их сертификат безопасности?
Планы действий в чрезвычайных ситуациях: Если их серверы выйдут из строя, сможете ли вы продолжать работать?
Разрыв договора: Что произойдет, когда сделка закончится? У вас должны быть правила восстановления данных и удаления кодов доступа.
Как пройти аудит
Вам необходимо воплотить эти правила в действие. Вот четыре шага для этого:
Политика: Напишите основной документ, в котором будет указано, что вы будете делать.
Процесс: Создайте руководство для вашей команды о том, как безопасно нанимать поставщиков.
Реестр: Составьте список всех ваших поставщиков. Это ваша карта рисков. Она отслеживает, кто имеет доступ к вашим данным и когда истекает срок действия их сертификатов безопасности.
Доказательства: Имейте подписанные соглашения с каждым поставщиком.
Что будет проверять аудитор?
Когда аудитор посетит вас, он будет проверять три вещи:
Соглашения: Он выберет несколько поставщиков. Они хотят увидеть подписанный, актуальный договор, в котором перечислены ваши правила безопасности.
Реестр: Они проверят ваш список. Соответствует ли он действительности? Актуален ли он?
Гигиена: Они проверят документы. Правильно ли они подписаны? Были ли они подписаны недавно? Правильны ли номера версий?
Три главные ошибки, которых следует избегать
Избегайте этих ошибок, чтобы оставаться в безопасности:
Отсутствие договора: Вы используете поставщика для обработки конфиденциальных данных, но у вас нет подписанного соглашения. Это мгновенный провал.
Отсутствие доказательств: Вы доверяете им, когда они говорят, что они безопасны. Вы должны увидеть их фактический сертификат безопасности. Проверьте мелкий шрифт.
Некачественная документация: Ваши документы устарели или не подписаны. Это показывает, что вам безразлична система.
Как ускорить этот процесс
Сделать это самостоятельно занимает много времени. Вам нужно написать политики и составить списки. Это может занять от одного до трех месяцев. Это стоит много времени и денег.
Есть более быстрый способ. Вы можете использовать готовые шаблоны. В «Полном комплекте инструментов ISO 27001» есть все необходимое. В него входят готовые политики, процедуры и реестр поставщиков.
Использование такого комплекта инструментов может сократить месяцы работы до одного дня. Вы можете пропустить этап составления документов и сосредоточиться на обеспечении безопасности.
#iso27001 #iso27001certification
Информация по комментариям в разработке