Compliance bewegt sich weg von der vertraglichen, aber vertrauensbasierten und ankreuzbaren Informationssicherheitsmanagement-Zusicherung hin zu einer eher kontextbezogenen, risikoorientierten und nachweisbaren Compliance.
Dieser längst überfällige Übergang wird teilweise durch Datenschutzbestimmungen wie die vorangetrieben Allgemeine Datenschutzverordnung (GDPR/DSGVO) in Europa und New York State Department of Financial Services (NYS DFS) 500 in den USA.
Artikel 28 der DSGVO befasst sich direkt mit der Sicherheit der Lieferkette Der Datenverantwortliche ist dafür verantwortlich, nur Datenverarbeiter auszuwählen die durch ihre technischen und organisatorischen Maßnahmen gewährleisten können, dass die Datenverarbeitung den Anforderungen der DSGVO entspricht, um den Schutz der Rechte der betroffenen Person zu gewährleisten. Darin wird ausdrücklich auf die Einhaltung von Artikel 32 Maßnahmen zur Sicherheit der Verarbeitung hingewiesen.
Obwohl NYS DFS Abschnitt 500.11 – Sicherheitsrichtlinie für Drittanbieter von Dienstleistungen auf den Finanzdienstleistungssektor abzielt, müssen die Richtlinien und Verfahren eines „abgedeckten Unternehmens“ auf der Risikobewertung basieren.
Sie ist der DSGVO nicht unähnlich, da sie die Einhaltung der Mindestpraktiken für Cybersicherheit verlangt, Due-Diligence-Prozesse zur Bewertung der Angemessenheit von Cybersicherheitspraktiken verwendet und eine regelmäßige Bewertung auf der Grundlage des von ihnen ausgehenden Risikos und der anhaltenden Angemessenheit ihrer Cybersicherheitspraktiken erfolgt.
Folglich sind wichtige Regulierungsakteure wie die Europäisches Netzwerk und Informationssicherheit Agentur (ENISA) sehen die Sicherheit in der Lieferkette als einen wichtigen Datenschutzaspekt an Risiko weltweit. Ihr aktueller Bericht, Cyber-Versicherung: Aktuelle Fortschritte, bewährte Praktiken und Herausforderungen hebt hervor, dass nur 23 % der Unternehmen Lieferanten auf Cyber-Risiken bewerten.
Und in den USA die Nationales Institut für Standards und Technologie (NIST) hat den neuesten Entwurf des Rahmenwerks zur Verbesserung der Cybersicherheit kritischer Infrastrukturen, auch bekannt als „Framework for Improving Critical Infrastructure Cybersecurity“, veröffentlicht NIST-Cybersicherheits-Framework, das Folgendes hat:
„Erheblich erweiterte Erläuterung der Verwendung des Frameworks für Cyber Supply Chain Risk Management (SCRM)-Zwecke:
Ein erweiterter Abschnitt 3.3 „Kommunikation von Cybersicherheitsanforderungen mit Stakeholdern“ hilft Benutzern, Cyber SCRM besser zu verstehen. Cyber SCRM wurde ebenfalls als Eigenschaft der Implementierungsebenen hinzugefügt. Schließlich wurde dem Framework Core eine Kategorie „Supply Chain Risk Management“ hinzugefügt.“
Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.
Informationssicherheitsmanager, Honeysuckle Health
In Abschnitt 3.2.6 des ENISA-Berichts empfehlen sie, gemäß ISO 27001-Kontrollziele und insbesondere Anhang A.15 SteuerungStakeholder wie Versicherer, Kunden, Investoren und Aufsichtsbehörden überprüfen das Vorhandensein eines formellen Managementprozesses für Dritte und erhalten Einzelheiten zu Due Diligence, laufender Aufsicht und vertraglichen Verpflichtungen.
In Ermangelung genehmigter DSGVO-Verhaltenskodizes kann die Fähigkeit eines Datenverarbeiters (oder eines anderen wichtigen Lieferanten), die Einhaltung der Sicherheitsverarbeitungsanforderungen gemäß Artikel 32 nachzuweisen, durch die Implementierung und im Idealfall durch die Sicherung der ISO 27001-Akkreditierung erreicht werden.
Auf diese Weise können sie ihre Fähigkeiten zur kontextbezogenen Risikoerkennung und zum Risikomanagement sowie die Fähigkeit zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten unter Beweis stellen.
Das NIST gilt gleichermaßen für NYS DFS und verweist in seinem neuesten Entwurf der „grundlegenden“ Identify-Framework-Funktion auch auf die gleichen ISO 27001-Kontrollziele und Anhang A.15 steuert sein Identify Supply Chain Risk Management Kategorie sowie andere ISO-Kontrollziele und Anhang-A-Kontrollen für alle anderen wichtigen Identifizierungskategorien von:
Daher entscheiden Sie, ob Sie sich dafür entscheiden, alles zu implementieren ISO 27001 oder einfach nur Schlüsselkontrollen rund um die kontextbezogene Risikoidentifizierung und -verwaltung, es ist klar, dass ISO 27001 A.15-Kontrollen zur Verwaltung von Lieferanten (und anderen wichtigen Beziehungen) bieten ein wirksames Mittel zur Beschreibung wie Sie die Sicherheit in der Lieferkette sowohl für DSGVO als auch für NYS DFS 500 verwalten.
Aber wie können Sie kostengünstig und schnell arbeiten? zeigen es?
Die Plattform verschaffte uns einen enormen Vorsprung im Vergleich dazu, uns auf günstigere Bibliotheken zu verlassen oder die gesamte Dokumentation von Grund auf neu zu erstellen. Wir fanden es unglaublich einfach zu bedienen und das Support-Team war phänomenal. Ich kann ISMS.online nur wärmstens empfehlen.
Große Unternehmen müssen über die traditionellen Lieferantenfragebögen und -verträge hinausgehen, die eine Antwort durch Ankreuzen fördern und deren Richtigkeit erst dann überprüft wird, wenn ein Vorfall eingetreten ist, wenn es zu diesem Zeitpunkt oft schon zu spät ist.
Während Sie vielleicht froh sind, dass Sie einen wasserdichten Vertrag haben, ist es unwahrscheinlich, dass Ihre Investoren, Kunden und, mit (DSGVO) Datenschutzgrundverordnung konform Es liegt fast daran, dass wir, die Regulierungsbehörden, durchaus verständnisvoll sein werden, wenn Sie sich einfach auf Fragebögen und Verträge verlassen haben.
Sie werden darauf achten, dass Sie mit Ihrer Lieferkette zusammengearbeitet haben und über einen Mechanismus verfügen, um nachzuweisen, dass vereinbarte/vorgeschriebene Standards und/oder spezifische Richtlinien und Kontrollen in der Praxis funktionieren und nicht nur auf dem Papier.
Mithilfe von Online-Tools, z Mit ISMS.online können Sie Ihr effektives Supply Chain Management nachweisen und wie es sich in Ihr Risikomanagement, Ihre Audits und Kontrollen integrieren lässt.
Darüber hinaus ermöglicht es Ihnen, effektiv online mit wichtigen Lieferanten zusammenzuarbeiten und dabei eine Zeit lang zu arbeiten verantwortungsvoller Kunde Ansatz, der selbst den kleinsten Lieferanten dabei hilft, angemessene Sicherheitsmaßnahmen zu erreichen. Wenn Sie sie dazu ermutigen, positive, pragmatische, aber risikoorientierte Schritte zu unternehmen, können Sie dies tun Schützen Sie ihre und Ihre Informationsbestände im Einklang mit Ihren eigenen Richtlinien und Kontrollen.
Gemeinsam können Sie ein ISMS und eine Lieferkette aufbauen, der jeder vertrauen kann.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung