Construire des relations fournisseurs stables et sécurisées avec la norme ISO 27001

Si vous interrogez Mark Graham, notre responsable des normes ISO, sur les avantages de ISO 27001, il y a un point qu'il finit toujours par faire valoir. La norme ISO 27001, et en fait toute la famille ISO 27000, va bien au-delà de la simple sécurité de l’information. Ils vous aideront :

  • Gérez bien votre organisation
  • Réfléchissez à tout ce qui pourrait vous empêcher de bien gérer votre organisation

Bien sûr, ce n'est pas toujours évident. Mais parfois, cela vous saute aux yeux. Annexe A.15 de la norme ISO 27001 est un de ces moments. Il s'agit de sécuriser et de renforcer les capacités de votre organisation. relations fournisseurs.

Donc un fournisseur se trompe. Quel est le pire qui puisse arriver ?

En 2017 déjà, l'un des systèmes informatiques d'une grande compagnie aérienne s'est effondré. 75,000 170 clients étaient bloqués. Les avions ont été laissés en rotation dans les airs. La compagnie aérienne a perdu 150 millions de livres sterling et a dû faire face à une facture d'indemnisation de plus de XNUMX millions de livres sterling. Et ce fut une catastrophe de réputation.

La cause première de l’incident était une panne de courant interne. Des observateurs bien informés estiment que cela a dégénéré en catastrophe parce que la compagnie aérienne avait récemment externalisé certaines de ses opérations informatiques. Leur nouveau fournisseur les a laissé tomber et leur plan de reprise après sinistre échoué.

Personne ne se souvient du fournisseur. La plupart des gens ne savent même pas qu’ils existent. Mais à cause d’eux, la compagnie aérienne a subi de graves dommages en termes de réputation et de finances. C’est le genre de dommage que la plupart des entreprises s’efforceraient d’éviter. C’est là que l’annexe A.15 vous aidera.

Renforcer vos relations fournisseurs

L'annexe A.15 est assez courte, mais elle peut avoir un impact très important. Il faut que vous vous assuriez que :

  • Vous protégez tous les actifs informationnels auxquels vos fournisseurs peuvent accéder
  • Ils continueront à fournir tous les services sur lesquels ils ont convenu, quoi qu'il arrive.

Vous pouvez voir à quel point cela aurait aidé notre compagnie aérienne perturbée ! Et même si tu ne l'es pas Conforme ou certifié ISO 27001, vous pouvez utiliser l'Annexe A.15 pour vous aider à effectuer certaines vérifications très importantes auprès des fournisseurs.

Protéger vos actifs informationnels

Vous partagez peut-être des informations avec vos fournisseurs. Si tel est le cas, vous devriez :

  • Déterminez comment vos fournisseurs peuvent accéder en toute sécurité à vos actifs informationnels
  • Convenez de ce processus avec eux, en vous assurant qu'ils en comprennent chaque partie
  • Documentez le processus d'une manière facile d'accès pour vous et pour eux
  • Incluez vos exigences en matière de sécurité informatique dans vos accords formels avec eux

Et, comme la compagnie aérienne, vous aurez probablement des organisations fourniture de TIC produits ou services. Vous devrez vous assurer que tout ce qu'ils fournissent répond également à vos exigences en matière de sécurité informatique.

Assurez-vous que vos fournisseurs livrent toujours

La norme ISO 27001 concerne vraiment la gestion des risques. Et vos fournisseurs peuvent constituer un risque majeur. Il est préférable de supposer que certains d’entre eux vous décevront, à un moment donné. Pour compenser cela, la norme vous demande de les surveiller de près. Tu devrais:

  • Gardez un œil général sur eux
  • Vérifiez régulièrement qu'ils livrent à temps et dans leur intégralité
  • De temps en temps, évaluez-les correctement par rapport à votre :
    • Accord existant avec eux
    • Besoins changeants et autres circonstances

Cela pourrait entraîner des changements dans votre relation avec eux. ISO 27001 vous conseille de mettre en place un processus clair pour effectuer et gérer ces changements. En particulier, concentrez-vous sur :

Cela peut sembler un conseil très basique et plein de bon sens. Mais cela peut vous faire économiser, à vous et à votre organisation, beaucoup de temps, d’argent, d’atteinte à la réputation et de frustration. Après tout, le bon sens n’est pas toujours aussi commun qu’on pourrait le penser.

Sécuriser votre supply chain et votre réputation

La réputation de votre organisation est l'un de ses atouts les plus importants. Il travaille probablement dur pour le défendre et le construire. Mais un instant d'inattention de la part d'une personne totalement étrangère à votre organisation peut l'endommager, voire la détruire.

C'est pourquoi vous devez garder un œil attentif sur vos fournisseurs. Et ce sera bien pour eux aussi. Ils voudront que vous soyez sûr qu'ils fournissent le meilleur service possible de la meilleure façon possible. Et s’ils ne le font pas, c’est probablement le signal pour commencer à chercher quelqu’un d’autre.

Nous espérons que les directives ISO 27001 que nous avons résumées ci-dessus vous aideront dans l'ensemble de ce processus. Et nous espérons que cela vous a aidé à comprendre un peu mieux la norme et à voir comment elle peut apporter des avantages très pratiques à votre organisation.

« Comment développer un inventaire des actifs pour la norme ISO 27001

Qu’implique un audit ISO 27001 ? »

Dernière modification : 2 février 2022
Auteur

Al Robertson

Al est un écrivain professionnel et un auteur publié qui couvre une gamme de sujets. Il a écrit une série d'articles sur la conformité et en particulier sur la sécurité de l'information et sur la manière dont la certification ISO 27001 peut aider les organisations à se développer.

Voir tous les messages de Al Robertson

Articles Similaires

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage