⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
FI EN BG CS DA DE EL ES ET FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
Compliance

Kädenpuristusta pidemmälle: toimittajien tietoturvan hallinta ISO 27001:n ja GDPR:n avulla

Igor Petreski
12 min read
#ISO 27001:2022 #GDPR #Toimittajahallinta #Riskienhallinta #Tietosuoja #NIS2 #DORA

Toimittajat ovat osa liiketoimintaasi, mutta samalla ne laajentavat hyökkäyspintaasi. Puutteellinen toimittajien tietoturvan hallinta voi johtaa tietomurtoihin, viranomaissakkoihin ja merkittäviin toiminnan häiriöihin, joten järjestelmällinen hallinta ei ole valinnaista. Tämä opas tarjoaa käytännön etenemispolun toimittajien tietoturvan hallintaan ISO 27001:2022 -standardin avulla sekä GDPR:n henkilötietojen käsittelijöitä koskevien velvoitteiden täyttämiseen vaikuttavien sopimusten ja valvonnan kautta.

Mikä on vaakalaudalla

Nykyisessä verkottuneessa liiketoimintaympäristössä yksikään organisaatio ei toimi tyhjiössä. Organisaatiot tukeutuvat toimittajaverkostoon kaikessa pilvipalvelujen ylläpidosta ja ohjelmistokehityksestä markkinointianalytiikkaan ja palkanlaskentaan. Ulkoistaminen tehostaa toimintaa, mutta tuo samalla mukanaan merkittäviä riskejä. Aina kun annat kolmannelle osapuolelle pääsyn tietoihisi, järjestelmiisi tai infrastruktuuriisi, luotat siihen, että se noudattaa samoja tietoturvavaatimuksia kuin organisaatiosi itse. Jos luottamus osoittautuu perusteettomaksi, seuraukset voivat olla vakavia ja ulottua paljon pidemmälle kuin yksittäiseen palvelukatkokseen. Toimitusketjusta alkunsa saanut loukkaus on edelleen sinun organisaatiosi loukkaus, ja operatiiviset, taloudelliset ja maineeseen kohdistuvat seuraukset kohdistuvat suoraan organisaatioosi.

Sääntely-ympäristö, erityisesti Euroopassa, ei jätä tulkinnanvaraa. GDPR tekee Article 28:ssa selväksi, että rekisterinpitäjät ovat vastuussa henkilötietojen käsittelijöidensä toiminnasta. Tämä tarkoittaa, että organisaatiolla on lakisääteinen velvollisuus tehdä huolellisuusarviointi ja varmistaa, että henkilötietoja käsittelevä toimittaja antaa riittävät takeet tietoturvansa tasosta. Pelkkä sopimuksen allekirjoittaminen ei riitä. Organisaatiolla on oltava muodollinen ja dokumentoitu henkilötietojen käsittelysopimus (DPA), jossa määritellään yksityiskohtaiset turvatoimet, luottamuksellisuusvelvoitteet, loukkauksista ilmoittamisen menettelyt ja tarkastusoikeudet. Laiminlyönti voi johtaa raskaisiin hallinnollisiin seuraamusmaksuihin, mutta vahinko ei rajoitu niihin. NIS2 ja DORA laajentavat näitä odotuksia ja edellyttävät koordinoituja riskinarviointeja sekä sopimusperusteisia tietoturvavelvoitteita koko ICT-toimitusketjussa, erityisesti kriittisillä ja finanssialan sektoreilla.

Kuvitellaan pieni verkkokauppayritys, joka käyttää kolmannen osapuolen markkinointitoimistoa asiakassähköpostikampanjoiden hallintaan. Markkinointitoimisto tallentaa asiakaslistan puutteellisesti konfiguroidulle pilvipalvelimelle. Uhkatoimija löytää haavoittuvuuden, siirtää tuhansien asiakkaiden henkilötiedot luvattomasti ulos järjestelmästä ja julkaisee ne verkossa. Verkkokauppayritykselle vaikutus on välitön ja vakava. Sitä odottaa GDPR-tutkinta, mahdolliset seuraamusmaksut, asiakasluottamuksen menetys, jonka palauttaminen voi viedä vuosia, sekä operatiivisesti raskas tietoturvapoikkeamiin reagointi- ja ilmoitusprosessi. Juurisyy ei ollut virhe yrityksen omissa järjestelmissä, vaan puutteellinen toimittaja-arviointi ja epäonnistuminen toimittajan sitomisessa sopimuksella tiettyihin tietoturvavaatimuksiin. Esimerkki korostaa olennaista periaatetta: tietoturvallisuutesi on vain niin vahva kuin heikoin toimittajasi.

Miltä hyvä näyttää

Vahva toimittajien tietoturvan hallinta ei tarkoita läpäisemättömien muurien rakentamista, vaan läpinäkyvän ja riskiperusteisen viitekehyksen luomista kolmansien osapuolten suhteiden hallintaan. Kypsä, ISO 27001:2022 -standardin mukainen ohjelma muuttaa toimittajahallinnan hankinnan muodollisuudesta strategiseksi tietoturvatoiminnoksi. Se perustuu hallintakeinossa A.5.19 kuvattuihin periaatteisiin, joissa keskitytään selkeän toimintaperiaatteen määrittämiseen ja ylläpitoon tietoturvallisuuden hallitsemiseksi toimittajasuhteissa. Tämä tarkoittaa, ettei kaikkia toimittajia käsitellä samalla tavalla. Sen sijaan toimittajat luokitellaan niiden aiheuttaman riskin perusteella ottaen huomioon esimerkiksi niiden käsittelemien tietojen arkaluonteisuus, palvelun kriittisyys ja integraatio organisaation ydinjärjestelmiin.

Tämä riskiperusteinen lähestymistapa ohjaa suoraan hallintakeinon A.5.20 edellyttämiä sopimusvaatimuksia, jotka koskevat tietoturvallisuuden käsittelyä toimittajasopimuksissa. Korkean riskin toimittajalle, kuten pilvi-infrastruktuurin tarjoajalle, sopimus on kattava. Siinä määritellään tekniset hallintakeinot, kuten salausstandardit, edellytetään säännöllisiä tietoturva-auditointeja, asetetaan tiukat ilmoitusmääräajat tietoturvaloukkauksille ja turvataan oikeus tarkastaa toimittajan vaatimustenmukaisuus. Matalan riskin toimittajalle, kuten toimistosiivouspalvelulle, vaatimukset voivat rajoittua luottamuksellisuuslausekkeeseen. Tavoitteena on varmistaa, että jokaista toimittajasuhdetta ohjaavat selkeät ja sitovat tietoturvavelvoitteet, jotka ovat oikeassa suhteessa riskiin. Jäsennelty prosessi varmistaa, että tietoturva otetaan huomioon heti, kun uutta toimittajaa harkitaan, eikä vasta sopimuksen allekirjoittamisen jälkeen. Kattava hallintakeinokirjastomme auttaa määrittämään nämä erityiset toimenpiteet eri toimittajatasoille.1

Kuvitellaan kasvava fintech-startup, joka käsittelee arkaluonteisia taloustietoja. Sen toimittajien tietoturvaohjelma on tehokas ja kohdennettu. Kun yritys ottaa käyttöön uuden pilvipalveluntarjoajan ydinsovelluksensa ylläpitoon, palveluntarjoaja luokitellaan kriittiseksi riskiksi. Tämä käynnistää perusteellisen huolellisuusarvioinnin, johon sisältyy ISO 27001 -sertifikaatin ja SOC 2 -raportin tarkastelu. Laki- ja tietoturvatiimit käyvät henkilötietojen käsittelysopimuksen läpi varmistaakseen, että se täyttää GDPR-vaatimukset tietojen sijainnista ja alikäsittelijöiden hallinnasta. Kun sama yritys palkkaa paikallisen design-toimiston kertaluonteiseen markkinointiprojektiin, toimisto luokitellaan matalan riskin toimittajaksi. Se allekirjoittaa tavanomaisen salassapitosopimuksen ja saa pääsyn vain ei-arkaluonteisiin brändiaineistoihin. Tämä porrastettu ja menetelmällinen toimintatapa mahdollistaa resurssien kohdentamisen suurimpiin riskeihin ilman, että ketteryys kärsii.

Käytännön etenemispolku

Kestävän toimittajien tietoturvaohjelman rakentaminen edellyttää jäsenneltyä ja vaiheittaista lähestymistapaa, jossa tietoturva integroidaan koko toimittajan elinkaareen valinnasta toimittajasuhteen päättämiseen. Kyse ei ole kertaluonteisesta projektista vaan jatkuvasta liiketoimintaprosessista, joka yhdistää hankinnan, lakiasiat ja IT:n. Kun toteutus jaetaan hallittaviin vaiheisiin, etenemistä voidaan vauhdittaa ja arvo osoittaa nopeasti ilman, että tiimit kuormittuvat liikaa. Tämä polku varmistaa, että tietoturvavaatimukset määritellään, sopimukset ovat kattavia ja seuranta on jatkuvaa. Näin syntyy hallintakeinojen kokonaisuus, joka täyttää auditoijien odotukset ja vähentää riskiä aidosti. Tietoturvallisuuden hallintajärjestelmän (ISMS) toteutusoppaamme Zenith Blueprint tarjoaa yksityiskohtaisen projektisuunnitelman näiden perustavien prosessien käyttöönottoon.2

Ensimmäisessä vaiheessa luodaan perusta. Tämä tarkoittaa nykyisen toimittajakentän ymmärtämistä ja toimintaperiaatteiden määrittämistä kaikille tuleville toimittajasuhteille. Et voi suojata sellaista, mistä sinulla ei ole näkyvyyttä, joten kattavan toimittajaluettelon luominen kaikista nykyisistä toimittajista on välttämätön ensimmäinen askel. Prosessi tuo usein esiin riippuvuuksia ja riskejä, joita ei ole aiemmin dokumentoitu. Kun näkyvyys on saavutettu, voidaan laatia ohjelmaa ohjaavat politiikat ja menettelyt sekä varmistaa, että kaikki organisaatiossa ymmärtävät roolinsa toimitusketjun tietoturvan ylläpitämisessä.

  • Viikko 1: Kartoitus ja politiikkaperusta
    • Kokoa täydellinen luettelo kaikista nykyisistä toimittajista ja kirjaa niiden tarjoamat palvelut sekä tiedot, joihin niillä on pääsy.
    • Laadi riskienarviointimenetelmä toimittajien luokittelemiseksi tasoihin, esimerkiksi korkea, keskitaso ja matala, tietojen arkaluonteisuuden, palvelun kriittisyyden ja järjestelmäpääsyn perusteella.
    • Laadi muodollinen toimittajien tietoturvapolitiikka, jossa määritellään vaatimukset kullekin riskitasolle.
    • Luo yhdenmukainen tietoturvakysely ja GDPR:n Article 28:n mukainen henkilötietojen käsittelysopimusten (DPA) mallipohja.

Kun perustavat politiikat ovat käytössä, seuraavassa vaiheessa uudet vaatimukset viedään osaksi hankinnan ja lakiasioiden työnkulkuja. Tässä ohjelma siirtyy teoriasta käytäntöön. On olennaista varmistaa, ettei uutta toimittajaa voida ottaa käyttöön ilman asianmukaista tietoturvakatselmointia. Tämä edellyttää tiivistä yhteistyötä niiden tiimien kanssa, jotka hallinnoivat toimittajasopimuksia ja maksuja. Kun tietoturvasta tehdään pakollinen portti hankintaprosessissa, riskialttiiden toimittajasuhteiden syntyminen voidaan estää jo ennalta ja varmistaa, että kaikki sopimukset sisältävät tarvittavat oikeudelliset suojat.

  • Viikko 2: Integrointi ja huolellisuusarviointi
    • Integroi tietoturvakatselmointiprosessi nykyiseen hankinta- ja toimittajan käyttöönottotyönkulkuun.
    • Aloita uusien toimittajien arviointi tietoturvakyselyn ja riskienarviointimenetelmän avulla.
    • Tee yhteistyötä lakitiimin kanssa varmistaaksesi, että kaikki uudet sopimukset, erityisesti henkilötietoja koskevat sopimukset, sisältävät vakiomuotoisen henkilötietojen käsittelysopimuksen ja tietoturvalausekkeet.
    • Aloita nykyisten korkean riskin toimittajien jälkikäteinen arviointi ja korjaa mahdolliset sopimuspuutteet.

Kolmannessa vaiheessa painopiste siirtyy jatkuvaan seurantaan ja katselmointiin. Toimittajien tietoturvan hallinta ei ole kertaluonteinen “aseta ja unohda” -toiminto. Uhkamaisema muuttuu, toimittajien palvelut kehittyvät ja niiden oma tietoturvan taso voi heikentyä ajan myötä. Kypsässä ohjelmassa on mekanismit jatkuvaan valvontaan, jotta toimittajat noudattavat sopimusvelvoitteitaan koko toimittajasuhteen ajan. Tämä sisältää säännölliset tilannekatsaukset, auditointiraporttien tarkastelun ja selkeän prosessin palveluihin tehtävien muutosten hallintaan.

  • Viikko 3: Seuranta ja muutoksenhallinta
    • Määritä aikataulu korkean riskin toimittajien säännöllisille katselmoinneille, esimerkiksi vuosittain. Tähän tulee sisällyttää päivitettyjen sertifiointien tai auditointiraporttien pyytäminen.
    • Määritä muodollinen prosessi toimittajapalvelujen muutosten hallintaan. Merkittävän muutoksen, kuten uuden alikäsittelijän käyttöönoton tai tietojenkäsittelyn sijainnin muutoksen, tulee käynnistää riskien uudelleenarviointi.
    • Ota käyttöön järjestelmä toimittajien suorituskyvyn seuraamiseksi tietoturvaa koskevia palvelutasosopimuksia ja sopimusvaatimuksia vasten.

Lopuksi ohjelman on oltava valmis käsittelemään poikkeamia ja hallitsemaan toimittajasuhteen päättäminen turvallisesti. Huolellisuusarvioinnin perusteellisuudesta riippumatta poikkeamia voi silti tapahtua. Hyvin määritelty tietoturvapoikkeamiin reagointisuunnitelma, johon myös toimittajat on sisällytetty, on välttämätön nopeaa ja vaikuttavaa reagointia varten. Yhtä tärkeä on turvallinen toimittajasuhteen päättämisprosessi. Kun sopimus päättyy, on varmistettava, että kaikki organisaation tiedot palautetaan tai hävitetään turvallisesti ja että kaikki pääsy järjestelmiin perutaan ilman jäljelle jääviä tietoturva-aukkoja.

  • Viikko 4: Tietoturvapoikkeamiin reagointi ja toimittajasuhteen päättäminen
    • Sisällytä toimittajat tietoturvapoikkeamiin reagointisuunnitelmaan ja selkeytä niiden roolit, vastuut ja viestintäprotokollat tietoturvaloukkauksen varalta.
    • Laadi muodollinen tarkistuslista toimittajasuhteen päättämiselle. Sen tulee sisältää vaiheet tietojen palauttamiseen tai hävittämiseen, kaiken fyysisen ja loogisen pääsyn perumiseen sekä loppuselvitykseen.
    • Testaa toimittajiin liittyvä poikkeamaviestintäsuunnitelma varmistaaksesi, että se toimii odotetusti.
    • Aloita päättämisprosessin soveltaminen toimittajasuhteisiin, jotka ovat päättymässä.

Politiikat, jotka varmistavat pysyvyyden

Käytännön toteutussuunnitelma on välttämätön, mutta ilman selkeitä ja sitovia politiikkoja parhaatkin prosessit horjuvat paineen alla. Politiikat ovat toimittajien tietoturvaohjelman selkäranka: ne muuttavat strategiset tavoitteet konkreettisiksi säännöiksi, jotka ohjaavat päivittäistä päätöksentekoa. Ne selkeyttävät työntekijöiden toimintaa, asettavat yksiselitteiset odotukset toimittajille ja muodostavat auditoitavissa olevan näytön hallintamallista. Hyvin laadittu politiikka poistaa arvailun ja varmistaa, että tietoturvaa koskeva huolellisuusarviointi tehdään johdonmukaisesti koko organisaatiossa, hankintatiimin neuvotellessa uutta sopimusta ja IT-tiimin myöntäessä käyttöoikeuksia kolmannen osapuolen konsultille.

Tämän viitekehyksen kulmakivi on Kolmansien osapuolten ja toimittajien tietoturvapolitiikka.3 Asiakirja toimii toimittajiin liittyvien tietoturva-asioiden keskeisenä ohjaavana lähteenä. Se määrittää muodollisesti organisaation sitoutumisen toimitusketjuriskin hallintaan ja kuvaa koko toimittajasuhteen elinkaaren tietoturvan näkökulmasta. Se vahvistaa riskiluokitusmenetelmän, määrittää kunkin tason vähimmäistietoturvavaatimukset sekä osoittaa selkeät roolit ja vastuut. Politiikka varmistaa, ettei tietoturva ole valinnainen lisä vaan pakollinen osa jokaista toimittajajärjestelyä, ja antaa tarvittavan toimivallan vaatimusten noudattamisen edellyttämiseen sekä niiden toimittajien hylkäämiseen, jotka eivät täytä organisaation vaatimuksia.

Esimerkiksi keskisuuri logistiikkayritys käyttää useita ohjelmistotoimittajia reittisuunnittelusta varastonhallintaan. Sen kolmansien osapuolten ja toimittajien tietoturvapolitiikka edellyttää, että kaikki lähetys- tai asiakastietoja käsittelevät toimittajat luokitellaan korkean riskin toimittajiksi. Ennen kuin taloustiimi voi käsitellä uuden ohjelmistotilauksen laskun, hankintapäällikön on ladattava allekirjoitettu henkilötietojen käsittelysopimus ja täytetty tietoturvakysely keskitettyyn tietovarastoon. IT-tietoturvapäällikkö saa automaattisesti ilmoituksen asiakirjojen tarkastamista varten. Jos asiakirjat puuttuvat tai toimittajan vastaukset ovat puutteellisia, järjestelmä estää maksun hyväksymisen ja pysäyttää käyttöönoton, kunnes tietoturvavaatimukset täyttyvät. Tämä yksinkertainen, politiikkaan perustuva työnkulku varmistaa, ettei riskialtis toimittaja pääse prosessin läpi huomaamatta.

Tarkistuslistat

Kattavan ja toistettavan toimittajien tietoturvaprosessin varmistamiseksi keskeiset tehtävät kannattaa jakaa käytännön tarkistuslistoiksi. Listat ohjaavat tiimejä ohjelman rakentamisen, päivittäisen toiminnan ja vaikuttavuuden varmentamisen kriittisissä vaiheissa. Ne yhdenmukaistavat toimintatavan, vähentävät inhimillisen virheen riskiä ja tarjoavat auditoijille selkeää näyttöä siitä, että hallintakeinot toteutetaan johdonmukaisesti.

Vahva perusta on välttämätön kaikille vaikuttaville tietoturvaohjelmille. Ennen yksittäisten toimittajien arviointia on rakennettava sisäinen viitekehys, joka tukee koko prosessia. Tämä edellyttää riskinottohalukkuuden määrittämistä, tarvittavan dokumentaation laatimista ja selkeän omistajuuden osoittamista. Ilman näitä perustavia elementtejä toiminta jää hajanaiseksi, epäjohdonmukaiseksi ja vaikeasti skaalattavaksi organisaation kasvaessa. Alkuvaiheen tarkoituksena on luoda työkalut ja säännöt, jotka ohjaavat kaikkea tulevaa toimittajien tietoturvaa koskevaa toimintaa.

Rakenna: toimittajien tietoturvaviitekehyksen perustaminen

  • Laadi ja hyväksy muodollinen kolmansien osapuolten ja toimittajien tietoturvapolitiikka.
  • Luo kattava luettelo kaikista nykyisistä toimittajista ja tiedoista, joihin niillä on pääsy.
  • Määritä selkeä riskienarviointimenetelmä ja kriteerit toimittajien luokittelemiseksi tasoihin.
  • Suunnittele yhdenmukainen tietoturvakysely toimittajien huolellisuusarviointia varten.
  • Luo GDPR:n Article 28:n mukainen oikeudellinen mallipohja henkilötietojen käsittelysopimuksille (DPA).
  • Määritä selkeät roolit ja vastuut toimittajien tietoturvan hallintaan eri osastoilla.

Kun viitekehys on käytössä, painopiste siirtyy toimittajasuhteiden päivittäiseen operatiiviseen hallintaan. Tämä tarkoittaa tietoturvatarkastusten sisällyttämistä tavanomaisiin liiketoimintaprosesseihin, erityisesti hankintaan ja toimittajien käyttöönottoon. Jokaisen uuden toimittajan on läpäistävä nämä tietoturvaportit ennen kuin sille annetaan pääsy organisaation tietoihin tai järjestelmiin. Operatiivinen tarkistuslista varmistaa, että laadittuja politiikkoja sovelletaan käytännössä johdonmukaisesti jokaisessa toimittajajärjestelyssä.

Hallinnoi: toimittajan elinkaaren hallinta

  • Tee tietoturvaa koskeva huolellisuusarviointi ja riskien arviointi kaikille uusille toimittajille ennen sopimuksen allekirjoittamista.
  • Varmista, että kaikkiin olennaisiin toimittajasopimuksiin sisältyy allekirjoitettu henkilötietojen käsittelysopimus ja asianmukaiset tietoturvalausekkeet.
  • Myönnä toimittajien käyttöoikeudet vähimpien oikeuksien periaatteen mukaisesti.
  • Seuraa ja hallitse toimittajakohtaisia tietoturvapoikkeuksia tai hyväksyttyjä riskejä.
  • Toteuta muodollinen toimittajasuhteen päättämisprosessi, kun toimittajasopimus päättyy, mukaan lukien tietojen hävittäminen ja käyttöoikeuksien peruminen.

Tietoturvaohjelma on vaikuttava vain, jos sitä seurataan, katselmoidaan ja parannetaan säännöllisesti. “Varmenna”-vaiheen tarkoituksena on varmistaa, että hallintakeinot toimivat tarkoitetulla tavalla ja että toimittajat täyttävät tietoturvavelvoitteensa myös ajan kuluessa. Tämä edellyttää määräaikaisia tarkastuksia, muodollisia auditointeja ja sitoutumista poikkeamista ja läheltä piti -tilanteista oppimiseen. Jatkuva varmennussilmukka muuttaa staattiset säännöt dynaamiseksi ja häiriönsietokykyiseksi tietoturvatoiminnoksi.

Varmenna: toimittajien tietoturvan seuranta ja auditointi

  • Aikatauluta ja toteuta korkean riskin toimittajien säännölliset tietoturvakatselmoinnit.
  • Pyydä ja tarkasta toimittajan vaatimustenmukaisuusnäyttö, kuten ISO 27001 -sertifikaatit tai penetraatiotestausten tulokset.
  • Tee sisäisiä tarkastuksia toimittajien tietoturvaprosessista varmistaaksesi politiikan noudattamisen.
  • Katselmoi ja päivitä toimittajien riskien arvioinnit merkittävien palvelumuutosten tai uhkamaiseman muutosten perusteella.
  • Sisällytä toimittajiin liittyvistä tietoturvapoikkeamista saadut opit politiikkoihin ja menettelyihin.

Yleiset sudenkuopat

Hyvin suunnitellustakin ohjelmasta huolimatta organisaatiot kompastuvat usein samoihin sudenkuoppiin, jotka heikentävät toimittajien tietoturvaa. Näiden riskien tunnistaminen on ensimmäinen askel niiden välttämiseen. Yksi yleisimmistä virheistä on käsitellä toimittajien tietoturvaa kertaluonteisena rastitettavana tehtävänä käyttöönoton yhteydessä. Toimittajan tietoturvan taso voi olla sopimuksen allekirjoitushetkellä erinomainen, mutta tilanne voi muuttua. Yritysjärjestelyt, uudet alikäsittelijät tai jopa yksinkertainen konfiguraatiopoikkeama voivat synnyttää uusia haavoittuvuuksia. Jos määräaikaisia katselmointeja ei tehdä erityisesti korkean riskin toimittajille, organisaatio toimii vanhentuneiden ja mahdollisesti virheellisten oletusten varassa.

Toinen merkittävä sudenkuoppa on toimittajan dokumentaation kritiikitön hyväksyminen. Suuret palveluntarjoajat, erityisesti pilvi- ja SaaS-markkinoilla, esittävät usein vakiosopimuksensa ja tietoturvaehtonsa neuvottelemattomina. Monet organisaatiot, jotka haluavat saada projektin nopeasti käyntiin, allekirjoittavat sopimukset ilman laki- ja tietoturvatiimien perusteellista tarkastelua. Tämä voi johtaa epäedullisten ehtojen hyväksymiseen, kuten erittäin rajattuun vastuuseen loukkaustilanteessa, epäselviin tietojen omistajuuslausekkeisiin tai auditointioikeuden puuttumiseen. Vaikka neuvottelu olisi vaikeaa, poikkeamat organisaation omasta tietoturvapolitiikasta on tunnistettava ja riskin hyväksyminen dokumentoitava muodollisesti, jos eteneminen päätetään sallia. Ehtojen allekirjoittaminen ilman niiden vaikutusten ymmärtämistä on huolellisuusarvioinnin epäonnistuminen.

Kolmas yleinen virhe liittyy heikkoon sisäiseen viestintään ja omistajuuteen. Toimittajien tietoturva ei ole yksin IT- tai tietoturvaosaston vastuulla. Hankinnan on hallittava sopimuksia, lakiasioiden on tarkastettava ehdot ja toimittajan palveluun tukeutuvien liiketoimintavastaavien on ymmärrettävä siihen liittyvät riskit. Kun osastot toimivat siiloissa, aukkoja syntyy väistämättä. Hankinta voi uusia sopimuksen käynnistämättä vaadittua tietoturvan uudelleenarviointia, tai liiketoimintayksikkö voi ottaa käyttöön uuden “edullisen” toimittajan ilman minkäänlaista tietoturva-arviointia. Onnistunut ohjelma edellyttää poikkitoiminnallista tiimiä, selkeitä rooleja ja yhteistä ymmärrystä prosessista.

Lopuksi monet organisaatiot eivät suunnittele toimittajasuhteen päättymistä. Toimittajasuhteen päättäminen on yhtä kriittistä kuin toimittajan käyttöönotto. Yleinen virhe on sopimuksen päättäminen mutta toimittajan järjestelmä- ja tietopääsyn perumisen unohtaminen. Jäljelle jäävät käyttämättömät tunnukset ovat hyökkääjille ensisijainen kohde. Muodollinen päättämisprosessi, johon sisältyy tarkistuslista kaikkien tunnistetietojen perumisesta, kaikkien yrityksen tietojen palauttamisesta tai hävittämisestä sekä pääsyn päättymisen varmistamisesta, on välttämätön, jotta nämä orvot käyttäjätilit eivät muodostu tulevaksi tietoturvapoikkeamaksi.

Seuraavat vaiheet

Haluatko rakentaa häiriönsietokykyisen toimittajien tietoturvaohjelman, joka kestää sääntelyvalvonnan ja suojaa liiketoimintaasi? Kattavat työkalupakettimme tarjoavat politiikat, hallintakeinot ja toteutusohjeet, joiden avulla pääset alkuun.

Lähteet

  1. Zenith Controls ↩︎

  2. Zenith Blueprint ↩︎

  3. Kolmansien osapuolten ja toimittajien tietoturvapolitiikka ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ISO 27001:2022 -standardin käyttöönoton aloittaminen: käytännön opas

ISO 27001:2022 -standardin käyttöönoton aloittaminen: käytännön opas

Johdanto

ISO 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmille (ISMS). Tämä kattava opas käy läpi keskeiset vaiheet ISO 27001 -standardin käyttöönotossa organisaatiossasi alkuvaiheen suunnittelusta sertifiointiin asti.

Mikä ISO 27001 on?

ISO 27001 tarjoaa järjestelmällisen lähestymistavan organisaation arkaluonteisten tietojen hallintaan ja suojaamiseen. Se kattaa henkilöstön, prosessit ja IT-järjestelmät riskienhallintaprosessin avulla.

Keskeiset hyödyt

  • Parantunut tietoturvallisuus: järjestelmällinen lähestymistapa tietovarojen suojaamiseen
  • Vaatimustenmukaisuus: tukee erilaisten sääntelyvaatimusten täyttämistä
  • Liiketoiminnan jatkuvuus: vähentää tietoturvapoikkeamien riskiä
  • Kilpailuetu: osoittaa sitoutumisen tietoturvallisuuteen
  • Asiakkaiden luottamus: vahvistaa asiakkaiden ja kumppaneiden luottamusta

Käyttöönottoprosessi

1. Puuteanalyysi

Aloita tekemällä perusteellinen puuteanalyysi nykyisen tietoturvatilanteen ymmärtämiseksi: