ISO 27001 - אַנעקס אַ.15: סאַפּלייער באַציונגען

וואָס איז די אָביעקטיוו פון אַנעקס אַ.15.1?

אַנעקס אַ.15.1 איז וועגן אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציונגען. די אָביעקטיוו דאָ איז שוץ פון די ווערטפול אַסעץ פון דער אָרגאַניזאַציע וואָס זענען צוטריטלעך צו אָדער אַפעקטאַד דורך סאַפּלייערז.

מיר אויך רעקאָמענדירן אַז איר אויך באַטראַכטן אנדערע שליסל באציונגען דאָ אויך, למשל פּאַרטנערס אויב זיי זענען נישט סאַפּלייערז אָבער אויך האָבן אַ פּראַל אויף דיין אַסעץ וואָס קען נישט פשוט זיין באדעקט דורך אַ קאָנטראַקט אַליין.

א.15.1.1 אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייער באַציונגען

סופּפּליערס זענען געניצט פֿאַר צוויי הויפּט סיבות; איינער: איר ווילן זיי צו טאָן אַרבעט וואָס איר האָט אויסדערוויילט נישט צו טאָן ינערלעך זיך, אָדער; צוויי: איר קענען נישט לייכט טאָן די אַרבעט ווי געזונט אָדער ווי קאָס יפעקטיוולי ווי די סאַפּלייערז.

עס זענען פילע וויכטיק טינגז צו באַטראַכטן אין צוגאַנג צו סאַפּלייער סעלעקציע און פאַרוואַלטונג, אָבער איין גרייס טוט נישט פּאַסיק אַלע און עטלעכע סאַפּלייערז וועט זיין מער וויכטיק ווי אנדערע. ווי אַזאַ, דיין קאָנטראָלס און פּאַלאַסיז זאָל אויך פאַרטראַכטנ זיך און אַ סעגמאַנטיישאַן פון די צושטעלן קייט איז פיליק; מיר שטיצן פיר קאַטעגאָריעס פון סאַפּלייער באזירט אויף די ווערט און ריזיקירן אין די שייכות. די קייט פון יענע וואָס זענען געשעפט קריטיש צו אנדערע ווענדאָרס וואָס האָבן קיין מאַטעריאַל פּראַל אויף דיין אָרגאַניזאַציע.

עטלעכע סאַפּלייערז זענען אויך מער שטאַרק ווי זייער קאַסטאַמערז (ימאַדזשאַן צו זאָגן אַמאַזאָן וואָס צו טאָן אויב איר נוצן זייער AWS באַדינונגס פֿאַר האָסטינג) אַזוי עס איז ומזיסט צו האָבן קאָנטראָלס און פּאַלאַסיז אין פּלאַץ וואָס די סאַפּלייערז וועלן נישט אַדכיר צו. דעריבער צוטרוי אויף זייער נאָרמאַל פּאַלאַסיז, ​​קאָנטראָלס און אַגרימאַנץ איז מער מסתּמא - טייַטש די סאַפּלייער סעלעקציע און ריזיקירן פאַרוואַלטונג ווערט אפילו מער וויכטיק.

אין סדר צו נעמען אַ מער פאָרויס צוגאַנג צו אינפֿאָרמאַציע זיכערהייט אין די צושטעלן קייט מיט די מער סטראַטידזשיק (הויך ווערט / העכער ריזיקירן) סאַפּלייערז, אָרגאַנאַזיישאַנז זאָל אויך ויסמיידן ביינערי 'פאָלגן אָדער שטאַרבן' ריזיקירן טראַנספערינג פּראַקטיסיז, למשל שרעקלעך קאַנטראַקץ פּרעווענטינג גוט מיטאַרבעט. אַנשטאָט, מיר רעקאָמענדירן זיי אַנטוויקלען מער נאָענט ארבעטן באציונגען מיט די סאַפּלייערז ווו דיך ווערט אינפֿאָרמאַציע און אַסעץ זענען אין ריזיקירן, אָדער זיי לייגן צו דיין אינפֿאָרמאַציע אַסעץ אין עטלעכע (positive) וועג. דאָס איז מסתּמא צו פירן צו ימפּרוווד אַרבעט באציונגען, און דעריבער צושטעלן בעסער געשעפט רעזולטאַטן אויך.

א גוטע פּאָליטיק באשרייבט די סאַפּלייער סעגמאַנטיישאַן, סעלעקציע, פאַרוואַלטונג, אַרויסגאַנג, ווי אינפֿאָרמאַציע אַסעץ אַרום סאַפּלייערז זענען קאַנטראָולד אין סדר צו פאַרמינערן די פֿאַרבונדן ריסקס, אָבער נאָך געבן די געשעפט גאָולז און אַבדזשעקטיווז צו זיין אַטשיווד. סמאַרט אָרגאַנאַזיישאַנז וועלן ייַנוויקלען זייער אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייערז אין אַ ברייטערער באַציונג פריימווערק און ויסמיידן בלויז קאַנסאַנטריישאַן אויף זיכערהייט פּער סיי, קוק צו די אנדערע אַספּעקץ.

אַן אָרגאַניזאַציע קען וועלן צו סאַפּלייערז צו אַקסעס און ביישטייערן צו זיכער אינפֿאָרמאַציע אַסעץ מיט הויך ווערט (למשל ווייכווארג קאָד אַנטוויקלונג, אַקאַונטינג פּייראָול אינפֿאָרמאַציע). זיי וואָלט דעריבער דאַרפֿן צו האָבן קלאָר אַגרימאַנץ פון פּונקט וואָס אַקסעס זיי לאָזן זיי, אַזוי זיי קענען קאָנטראָלירן די זיכערהייט אַרום אים. דאָס איז ספּעציעל וויכטיק ווען מער און מער אינפֿאָרמאַציע פאַרוואַלטונג, פּראַסעסינג און טעכנאָלאָגיע באַדינונגס זענען אַוצאָרסט. אַז מיטל אַ פּלאַץ צו ווייַזן פאַרוואַלטונג פון די שייכות איז געשעעניש; קאַנטראַקץ, קאָנטאַקטן, ינסאַדאַנץ, שייכות אַקטיוויטעטן און ריזיקירן פאַרוואַלטונג אאז"ו ו איז אויך ווערט דעמאַנסטרייטינג העסקעם אַרום.

א.15.1.2 אַדרעסינג זיכערהייט אין סאַפּלייער אַגרימאַנץ

אַלע באַטייַטיק אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ מוזן זיין אין פּלאַץ מיט יעדער סאַפּלייער וואָס האט אַקסעס צו אָדער קען פּראַל אויף די אינפֿאָרמאַציע פון ​​דער אָרגאַניזאַציע (אָדער אַסעץ וואָס פּראַסעסט עס). ווידער, דאָס זאָל נישט זיין אַ איין גרייס פיץ אַלע - נעמען אַ ריזיקירן באזירט צוגאַנג אַרום די פאַרשידענע טייפּס פון סאַפּלייערז ינוואַלווד און אַרבעט זיי טאָן. ארבעטן מיט סאַפּלייערז וואָס שוין טרעפן די מערהייט פון דיין אָרגאַנאַזיישאַנז אינפֿאָרמאַציע זיכערהייט באדערפענישן פֿאַר די סערוויסעס זיי צושטעלן צו איר און האָבן אַ גוט שפּור רעקאָרד פון ריספּאַנסאַבלי אַדרעסינג אינפֿאָרמאַציע זיכערהייט קאַנסערנז איז אַ זייער גוט געדאַנק - ווייַל דאָס וועט מאַכן אַלע די פּראַסעסאַז פיל גרינגער.

אין פּשוט טערמינען, קוק פֿאַר סאַפּלייערז וואָס האָבן שוין אַטשיווד אַן אומאָפּהענגיק ISO 27001 סערטאַפאַקיישאַן אָדער עקוויוואַלענט זיך. עס איז אויך וויכטיק צו ענשור אַז די סאַפּלייערז זענען ינפאָרמד און פאַרקנאַסט מיט קיין ענדערונגען צו די ISMS אָדער ספּאַסיפיקלי פאַרקנאַסט אין די פּאַרץ וואָס ווירקן זייער באַדינונגס. דיין אָדיטאָר וועט וועלן צו זען דעם עווידאַנסט - אַזוי, דורך בעכעסקעם אַ רעקאָרד פון דעם אין דיין סאַפּלייער אויף-באָרדינג פּראַדזשעקס אָדער יערלעך באריכטן, עס וועט זיין גרינג צו טאָן דאָס.

טינגז צו אַרייַננעמען אין די צושטעלן פאַרנעם און אַגרימאַנץ בכלל אַרייַננעמען: די אַרבעט און זייַן פאַרנעם; אינפֿאָרמאַציע אין ריזיקירן און קלאַסאַפאַקיישאַן; לעגאַל און רעגולאַטאָרי רעקווירעמענץ, למשל, אַדכיר צו GDPR און אָדער אנדערע אָנווענדלעך געסעצ - געבונג; ריפּאָרטינג און באריכטן; ניט אַנטפּלעקונג; IPR; אינצידענט פאַרוואַלטונג; ספּעציפיש פּאַלאַסיז צו נאָכקומען מיט אויב וויכטיק צו די העסקעם; אַבלאַגיישאַנז אויף סאַבקאַנטראַקטערז; זיפּונג אויף שטעקן עטק.

א גוטע סטאַנדאַרט קאָנטראַקט וועט האַנדלען מיט די פונקטן, אָבער ווי אויבן, מאל עס קען נישט זיין פארלאנגט און קען זיין פיל העכער פֿאַר די טיפּ פון צושטעלן, אָדער עס קען נישט זיין מעגלעך צו צווינגען אַ סאַפּלייער צו נאָכפאָלגן דיין געדאַנק פון גוט פיר. . זיין פּראַגמאַטיק און ריזיקירן סענטערד אין דעם צוגאַנג. די קאָנטראָל אָביעקטיוו אויך טייז אין ענג מיט אַנעקס A.13.2.4 ווו קאַנפאַדענשיאַלאַטי און ניט-אַנטפּלעקונג אַגרימאַנץ זענען די הויפּט פאָקוס.

א.15.1.3 אינפֿאָרמאַציע & קאָמוניקאַציע טעכנאָלאָגיע צושטעלן קייט

א גוטע קאָנטראָל איז באזירט אויף A.15.1.2 און איז פאָוקיסט אויף די יקט סאַפּלייערז וואָס קען דאַרפֿן עפּעס אין דערצו אָדער אַנשטאָט פון די נאָרמאַל צוגאַנג. ISO 27002 אַדוואַקאַץ פילע געביטן פֿאַר ימפּלאַמענטיישאַן און כאָטש די אַלע זענען גוט, עטלעכע פּראַגמאַטיזאַם איז אויך דארף. די אָרגאַניזאַציע זאָל ווידער דערקענען זיין גרייס קאַמפּערד מיט עטלעכע פון ​​​​די זייער גרויס פּראַוויידערז מיט וואָס עס וועט מאל זיין ארבעטן מיט (למשל דאַטאַסענטערס און האָסטינג באַדינונגס, באַנקס עטק), דעריבער פּאַטענטשאַלי לימיטעד זיין פיייקייט צו השפּעה פּראַקטיסיז ווייַטער אין די צושטעלן קייט. די אָרגאַניזאַציע זאָל באַטראַכטן קערפאַלי וואָס ריסקס עס קען זיין באזירט אויף די טיפּ פון אינפֿאָרמאַציע און קאָמוניקאַציע טעכנאָלאָגיע באַדינונגס וואָס זענען צוגעשטעלט. פֿאַר בייַשפּיל, אויב דער סאַפּלייער איז אַ שפּייַזער פון ינפראַסטראַקטשער קריטיש באַדינונגס, און האט אַקסעס צו שפּירעוודיק אינפֿאָרמאַציע (למשל מקור קאָד פֿאַר די פלאַגשיפּ ווייכווארג דינסט), עס זאָל ענשור אַז עס איז אַ גרעסערע שוץ ווי אויב דער סאַפּלייער איז פשוט יקספּאָוזד צו עפנטלעך בנימצא אינפֿאָרמאַציע (למשל אַ פּשוט וועבזייטל).

וואָס איז די אָביעקטיוו פון אַנעקס אַ.15.2?

אַנעקס אַ.15.2 איז וועגן סאַפּלייער דינסט אַנטוויקלונג פאַרוואַלטונג. די אָביעקטיוו אין דעם אַנעקס א קאָנטראָל איז צו ענשור אַז אַן אפגעמאכט מדרגה פון אינפֿאָרמאַציע זיכערהייט און סערוויס עקספּרעס איז מיינטיינד אין לויט מיט סאַפּלייער אַגרימאַנץ.

א.15.2.1 מאָניטאָרינג & אָפּשאַצונג פון סאַפּלייער באַדינונגס
א גוט קאָנטראָל איז באזירט אויף A15.1 און באשרייבט ווי אָרגאַנאַזיישאַנז קעסיידער מאָניטאָר, רעצענזיע און קאָנטראָלירן זייער סאַפּלייער סערוויס עקספּרעס. קאַנדאַקטינג באריכטן און מאָניטאָרינג איז בעסטער געטאן באזירט אויף די אינפֿאָרמאַציע אין ריזיקירן - ווייַל אַ איין גרייס צוגאַנג וועט נישט פּאַסיק אַלע. די אָרגאַניזאַציע זאָל צילן צו פירן זיין באריכטן אין לויט מיט די פארגעלייגט סעגמאַנטיישאַן פון סאַפּלייערז אין סדר צו אַפּטאַמייז זייער רעסורסן און מאַכן זיכער אַז זיי פאָקוס מי אויף מאָניטאָרינג און ריוויוינג ווו עס וועט האָבן די מערסט פּראַל. ווי מיט A15.1, מאל עס איז אַ נויט פֿאַר פּראַגמאַטיזאַם - איר וועט נישט דאַווקע באַקומען אַ קאָנטראָלירן, רעצענזיע פון ​​​​מענטשלעך שייכות און דעדאַקייטאַד דינסט ימפּרווומאַנץ מיט AWS אויב איר זענט אַ זייער קליין אָרגאַניזאַציע. איר קענט אָבער קאָנטראָלירן (זאָגן) זייער אַניואַלי ארויס SOC II ריפּאָרץ און זיכערהייט סערטאַפאַקיישאַנז בלייבן פּאַסיק פֿאַר דיין ציל.

זאָגן פון מאָניטאָרינג זאָל זיין געענדיקט באזירט אויף דיין מאַכט, ריסקס און ווערט, אַזוי אַלאַוינג דיין אָדיטאָר צו קענען צו זען אַז עס איז געווען געענדיקט, און אַז קיין נויטיק ענדערונגען זענען געראטן דורך אַ פאָרמאַל ענדערונג קאָנטראָל פּראָצעס.

א.15.2.2 אָנפירונג ענדערונגען צו סאַפּלייער באַדינונגס

א גוט קאָנטראָל באשרייבט ווי קיין ענדערונגען צו די טנייַ פון סערוויסעס דורך סאַפּלייערז, אַרייַנגערעכנט מיינטיינינג און ימפּרוווינג יגזיסטינג אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, ​​​​פּראָוסידזשערז און קאָנטראָלס, זענען געראטן. עס נעמט אין חשבון די קריטיקאַטי פון געשעפט אינפֿאָרמאַציע, די נאַטור פון די ענדערונג, די סאַפּלייער טיפּ / s אַפעקטאַד, די סיסטעמען און פּראַסעסאַז ינוואַלווד און אַ שייַעך-אַסעסמאַנט פון ריסקס. ענדערונגען צו סאַפּלייערז באַדינונגס זאָל אויך נעמען אין חשבון די ינטימאַסי פון די שייכות און די פיייקייט פון דער אָרגאַניזאַציע צו השפּעה אָדער קאָנטראָלירן ענדערונגען אין די סאַפּלייער.

ווי קען ISMS.online העלפֿן מיט סאַפּלייער רעלאַטיאָנשיפּס?

ISMS.online האט געמאכט דעם קאָנטראָל אָביעקטיוו זייער גרינג דורך פּראַוויידינג זאָגן אַז דיין באציונגען זענען קערפאַלי עלעקטעד, געראטן געזונט אין לעבן, אַרייַנגערעכנט מאָניטאָרינג און ריוויוד. אונדזער גרינג-צו-נוצן אַקאַונץ באַציונגען (למשל סאַפּלייער) געגנט טוט פּונקט דאָס. די ווערקפּלייסיז מיט קאַלאַבערייטיוו פּראַדזשעקס איז גרויס פֿאַר וויכטיק סאַפּלייער אָנבאָאַרדינג, שלאָס ינישאַטיווז, אָפבאָאַרדינג עטק אַלע וואָס דער אָדיטאָר קענען אויך זען מיט יז ווען פארלאנגט.

ISMS.online האט אויך געמאכט דעם קאָנטראָל אָביעקטיוו גרינגער פֿאַר דיין אָרגאַניזאַציע דורך געבן איר צו צושטעלן זאָגן אַז דער סאַפּלייער האט פאָרמאַלי באגאנגען צו נאָכקומען מיט די רעקווירעמענץ און האט פארשטאנען זיין ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט דורך אונדזער פּאָליטיק פּאַקס. פּאָליטיק פּאַקס זענען ידעאַל ווו די אָרגאַניזאַציע האט ספּעציפיש פּאַלאַסיז און קאָנטראָלס, עס וויל סאַפּלייער שטעקן צו נאָכפאָלגן און נעמען בטחון זיי האָבן לייענען זיי און באגאנגען צו נאָכקומען - ווייַטער פון די ברייטערער אַגרימאַנץ צווישן קונה און סאַפּלייער.