La conformité s'éloigne de l'assurance de gestion de la sécurité de l'information contractuelle mais basée sur la confiance et basée sur des cases à cocher, vers une conformité plus contextuelle, axée sur les risques et démontrable.
Cette transition attendue depuis longtemps est motivée, en partie, par des réglementations sur la protection des données telles que la Règlement général sur la protection des données (GDPR) en Europe et New York State Department of Financial Services (NYS DFS) 500 aux États-Unis.
Abordant directement la sécurité de la chaîne d’approvisionnement, l’article 28 du RGPD rend Le contrôleur des données est responsable du choix uniquement des sous-traitants qui peuvent garantir que leurs mesures techniques et organisationnelles garantiront que le traitement des données répond aux exigences du RGPD pour assurer la protection des droits de la personne concernée. Il cite explicitement le respect des mesures de sécurité du traitement de l’article 32.
Bien que destiné au secteur des services financiers, la section 500.11 du NYS DFS – Politique de sécurité des fournisseurs de services tiers, exige que les politiques et procédures d'une « entité couverte » soient basées sur l'évaluation des risques.
Ce n'est pas sans rappeler le RGPD dans la mesure où il exige le respect de pratiques minimales de cybersécurité, des processus de diligence raisonnable sont utilisés pour évaluer l'adéquation des pratiques de cybersécurité et une évaluation périodique est effectuée en fonction du risque qu'elles présentent et de l'adéquation continue de leurs pratiques de cybersécurité.
Par conséquent, les principaux acteurs de la réglementation, comme le Réseau européen et Sécurité de l'Information Agence (ENISA) considèrent la sécurité dans la chaîne d'approvisionnement comme un élément important en matière de protection des données. risque à l’échelle mondiale. Leur récent rapport, Cyberassurance : avancées récentes, bonnes pratiques et défis souligne que seulement 23 % des organisations évaluent les fournisseurs en termes de cyber-risques.
Et, aux États-Unis, le Institut national des normes et de la technologie (NIST) a publié la dernière version du Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, également connu sous le nom de Cadre de cybersécurité du NIST, qui a un :
« Explication considérablement détaillée de l'utilisation du cadre à des fins de gestion des risques de la chaîne d'approvisionnement cybernétique (SCRM) :
Une section 3.3 élargie, Communication des exigences de cybersécurité avec les parties prenantes, aide les utilisateurs à mieux comprendre le Cyber SCRM. Cyber SCRM a également été ajouté en tant que propriété des niveaux de mise en œuvre. Enfin, une catégorie de gestion des risques de la chaîne d'approvisionnement a été ajoutée au cadre de base.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Dans la section 3.2.6 du rapport de l'ENISA, ils recommandent que, conformément au Objectifs du contrôle ISO 27001 et plus particulièrement Annexe A.15 contrôles, les parties prenantes telles que les assureurs, les clients, les investisseurs et les régulateurs, vérifient l'existence d'un processus formel de gestion par des tiers et reçoivent des détails sur la diligence raisonnable, la surveillance continue et les obligations contractuelles.
En l'absence de codes de conduite approuvés par le RGPD, la capacité d'un sous-traitant (ou d'un autre fournisseur critique) à prouver sa conformité aux exigences de traitement de sécurité de l'article 32 peut être obtenue en mettant en œuvre et idéalement en obtenant l'accréditation ISO 27001.
Cela leur permet de démontrer des capacités contextuelles d’identification et de gestion des risques et la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
Également applicable à NYS DFS, dans sa dernière version de la fonction de cadre d'identification « fondamentale », le NIST fait également référence aux mêmes objectifs de contrôle ISO 27001 et Annexe A.15 contrôles pour identifier la gestion des risques de la chaîne d'approvisionnement catégorie, ainsi que d'autres objectifs de contrôle ISO et contrôles de l'annexe A pour toutes les autres catégories clés d'identification de :
Par conséquent, que vous choisissiez de mettre en œuvre l’ensemble de ISO 27001 ou simplement des contrôles clés autour de l'identification et de la gestion contextuelle des risques, il est clair que Contrôles ISO 27001 A.15 pour gérer les fournisseurs (et autres relations importantes) offrir un moyen efficace de décrivant comment vous gérez la sécurité dans la chaîne d'approvisionnement pour le RGPD et le NYS DFS 500.
Mais comment rentabiliser et rapidement démontrer il?
La plate-forme nous a donné une longueur d'avance considérable par rapport au recours à des bibliothèques moins chères ou à la création de toute la documentation à partir de zéro. Nous l'avons trouvé incroyablement simple à utiliser et l'équipe d'assistance a été phénoménale. Je ne saurais trop recommander ISMS.online.
Les grandes entreprises doivent aller au-delà des questionnaires et contrats traditionnels des fournisseurs, « se conformer ou mourir », qui encouragent à répondre par une case à cocher, dont l'exactitude ne sera testée qu'une fois qu'un incident se produit, moment auquel il est souvent trop tard.
Même si vous êtes heureux d'avoir un contrat solide en place, il est peu probable que vos investisseurs, clients et, avec Conformité GDPR presque sur nous, les régulateurs, serons tout aussi compréhensifs si vous vous êtes simplement appuyés sur des questionnaires et des contrats.
Ils vérifieront que vous vous êtes engagé et collaboré avec votre chaîne d'approvisionnement et que vous disposez d'un mécanisme pour prouver que les normes convenues/mandatées, et/ou les politiques et contrôles spécifiques, fonctionnent dans la pratique et pas seulement sur le papier.
Utiliser des outils en ligne, tels que ISMS.online vous permet de prouver l’efficacité de votre gestion de la chaîne d’approvisionnement et comment il s'intègre à votre gestion des risques, audits et contrôles.
Au-delà de cela, il vous permet de collaborer efficacement en ligne avec les principaux fournisseurs, en prenant un client responsable approche qui aide même les plus petits fournisseurs à mettre en œuvre des mesures de sécurité appropriées. Les encourager à prendre des mesures positives, pragmatiques mais axées sur les risques leur permettra de protéger leurs actifs informationnels et les vôtres conformément à vos propres politiques et contrôles.
En travaillant ensemble, vous pouvez créer un SMSI et une chaîne d'approvisionnement auxquels tout le monde peut avoir confiance.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup