Приложение A 5.20 стандарта ISO 27001: Объяснение соглашений с поставщиками | Подкаст ведущего ау...

В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают раздел 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками». В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям.

✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...

Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.

Читайте полную статью: Полное руководство по разделу 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками» - https://hightable.io/iso-27001-annex-...

Мы рассматриваем раздел 5.20 Приложения A стандарта ISO 27001. Это правило призвано управлять рисками, связанными с поставщиками. В нем указано, какие доказательства необходимы для прохождения аудита.

Официальное правило гласит, что вы должны согласовать правила безопасности с каждым поставщиком. Проще говоря, не доверяйте им просто так. Вам нужен юридически оформленный договор. В этом договоре должно быть четко указано, что они должны делать для обеспечения безопасности ваших данных.

Это превентивная мера. Вы устанавливаете правила до того, как передадите им какие-либо данные. Вы не контролируете их офис, поэтому договор — ваша единственная защита.

Примечание: Мы даем советы по безопасности. Всегда обращайтесь к юристу для составления юридических документов.

Что должно быть в договоре?

Ваш договор — это контрольный список для обеспечения доверия. Вот что вы должны включить:

Подробности: Точно укажите, какие данные они получают. Укажите, как они могут получить к ним доступ. Не будьте расплывчаты.

Соответствие требованиям: Перечислите законы, которым они должны следовать, например, GDPR или правила авторского права.

Контроль безопасности: Укажите, какая безопасность им необходима. Нужно ли им шифрование? Нужна ли им двухфакторная аутентификация? Включите свою политику безопасности в договор.

Штрафы: Это очень важно. Кто заплатит, если они нарушат правила? Вам необходимо знать, кто оплачивает юридические расходы и штрафы.

Право на аудит: Вам необходимо иметь право проверять их работу. Можете ли вы увидеть их сертификат безопасности?

Планы действий в чрезвычайных ситуациях: Если их серверы выйдут из строя, сможете ли вы продолжать работать?

Разрыв договора: Что произойдет, когда сделка закончится? У вас должны быть правила восстановления данных и удаления кодов доступа.

Как пройти аудит

Вам необходимо воплотить эти правила в действие. Вот четыре шага для этого:

Политика: Напишите основной документ, в котором будет указано, что вы будете делать.

Процесс: Создайте руководство для вашей команды о том, как безопасно нанимать поставщиков.

Реестр: Составьте список всех ваших поставщиков. Это ваша карта рисков. Она отслеживает, кто имеет доступ к вашим данным и когда истекает срок действия их сертификатов безопасности.

Доказательства: Имейте подписанные соглашения с каждым поставщиком.

Что будет проверять аудитор?

Когда аудитор посетит вас, он будет проверять три вещи:

Соглашения: Он выберет несколько поставщиков. Они хотят увидеть подписанный, актуальный договор, в котором перечислены ваши правила безопасности.

Реестр: Они проверят ваш список. Соответствует ли он действительности? Актуален ли он?

Гигиена: Они проверят документы. Правильно ли они подписаны? Были ли они подписаны недавно? Правильны ли номера версий?

Три главные ошибки, которых следует избегать

Избегайте этих ошибок, чтобы оставаться в безопасности:

Отсутствие договора: Вы используете поставщика для обработки конфиденциальных данных, но у вас нет подписанного соглашения. Это мгновенный провал.

Отсутствие доказательств: Вы доверяете им, когда они говорят, что они безопасны. Вы должны увидеть их фактический сертификат безопасности. Проверьте мелкий шрифт.

Некачественная документация: Ваши документы устарели или не подписаны. Это показывает, что вам безразлична система.

Как ускорить этот процесс

Сделать это самостоятельно занимает много времени. Вам нужно написать политики и составить списки. Это может занять от одного до трех месяцев. Это стоит много времени и денег.

Есть более быстрый способ. Вы можете использовать готовые шаблоны. В «Полном комплекте инструментов ISO 27001» есть все необходимое. В него входят готовые политики, процедуры и реестр поставщиков.

Использование такого комплекта инструментов может сократить месяцы работы до одного дня. Вы можете пропустить этап составления документов и сосредоточиться на обеспечении безопасности.

#iso27001 #iso27001certification