Koks pagrindinis NIS2 ir DORA skirtumas tiekėjų rizikos valdymo srityje?

Nors abu režimai reikalauja tvirtos tiekėjų priežiūros, DORA taikomas finansų sektoriui ir labai detaliai reglamentuoja IRT trečiųjų šalių riziką, įskaitant konkrečias sutartines nuostatas, koncentracijos rizikos analizę ir reguliuotojų prieigos teises. NIS2 plačiau taikoma „esminiams“ ir „svarbiems“ subjektams ir reikalauja rizika grindžiamo požiūrio visai tiekimo grandinei apsaugoti, tačiau nėra tokia detali dėl konkrečių sutartinių sąlygų kaip DORA.

Ar tiekėjo ISO/IEC 27001:2022 sertifikato pakanka įrodyti, kad jis yra saugus?

Ne. Nors ISO/IEC 27001:2022 sertifikatas yra teigiamas brandžios saugumo programos rodiklis, jis nepakeičia jūsų pačių deramo patikrinimo. Tokie reglamentai kaip DORA ir NIS2 reikalauja įvertinti rizikas, būdingas tiekėjo jums teikiamoms paslaugoms. Turite patikrinti jų kontrolės priemones, peržiūrėti jų audito ataskaitose nurodytas išimtis ir užtikrinti, kad sutartiniuose susitarimuose būtų konkrečios nuostatos dėl pranešimų apie pažeidimus, audito teisių ir saugaus duomenų tvarkymo.

Kaip dažnai turėtume audituoti didelės rizikos tiekėjus?

Didelės rizikos ir kritinių tiekėjų auditai neturi būti vienkartinis veiksmas. Reikalingas nuolatinės stebėsenos požiūris. Tai apima formalią išsamią peržiūrą bent kartą per metus arba įvykus reikšmingiems paslaugos pokyčiams. Ją turėtų papildyti ketvirtinės įrodymų, pavyzdžiui, SOC 2 ataskaitų ir pažeidžiamumų skenavimo rezultatų, peržiūros, taip pat realiojo laiko jų saugumo būklės ir viešai paskelbtų incidentų stebėsena.

Kas yra „ketvirtosios šalies“ arba tolesnės grandies rizikos ir kodėl jos kritinės?

Ketvirtosios šalies rizikos yra rizikos, kurias sukelia jūsų tiekėjo tiekėjai, t. y. subtiekėjai arba subtvarkytojai. Jei jūsų debesijos paslaugų teikėjas naudojasi trečiosios šalies duomenų analizės įmone, tos įmonės kompromitavimas gali paveikti jūsų duomenis. Reguliuotojai tikisi, kad turėsite matomumą į šias tolesnės grandies priklausomybes, susijusias su jūsų kritiniais tiekėjais. Sutartyse turi būti reikalaujama, kad tiekėjai taikytų jūsų saugumo standartus savo subtiekėjams ir praneštų jums apie visus pokyčius.

Koks svarbiausias elementas sutartyje su didelės rizikos tiekėju?

„Teisės atlikti auditą“ nuostata, tikėtina, yra kritiškiausia. Ši nuostata sutartimi suteikia jums teisę tikrinti tiekėjo saugumo kontrolės priemones tiesiogiai arba per trečiąją šalį. Be jos visi tiekėjo saugumo pažadai remiasi vien pasitikėjimu. Ši nuostata yra pagrindinė priemonė pereiti už klausimyno ribų ir surinkti apčiuopiamus, dokumentuotais įrodymais pagrįstus jų saugumo būklės įrodymus.

NIS2 DORA Supplier Management Risk Management

Už klausimyno ribų: išsamus CISO vadovas, kaip audituoti didelės rizikos tiekėjus pagal NIS2 ir DORA

Clarysec AI redaktorius

November 15, 2025

18 min read

#Trečiųjų šalių rizika #Auditas #ISO 27001 #Atitiktis #ISVS #Reagavimas į incidentus

Didelės rizikos tiekėjų audito proceso schema, vaizduojanti 4 etapų gyvavimo ciklą nuo pradinio rizikos vertinimo ir sutarties peržiūros iki nuolatinės stebėsenos, techninių auditų ir reguliacinių įrodymų saugojimo NIS2 ir DORA atitikčiai užtikrinti.

Ataskaita ant CISO Marijos Valen stalo nukrito tyliai, bet jos svoris priminė sireną. Tai buvo išankstinis audito vertinimas prieš būsimą DORA atitikties peržiūrą, o viena eilutė buvo ryškiai pažymėta raudonai: „Nepakankamas patikinimas dėl kritinio trečiosios šalies paslaugų teikėjo CloudSphere.“

CloudSphere nebuvo eilinis tiekėjas. Tai buvo naujos bendrovės skaitmeninės bankininkystės platformos pagrindas, kasdien apdorojantis milijonus operacijų. Marija turėjo jų ISO/IEC 27001:2022 sertifikatą. Ji turėjo jų užpildytą saugumo klausimyną – solidų 200 klausimų dokumentą. Tačiau išankstinio audito vertintojai aiškiai signalizavo: didelės rizikos, kritiniam tiekėjui varnelėmis pažymimos atitikties nebepakanka. Taisyklės pasikeitė.

Įsigaliojus ir NIS2 direktyvai, ir Skaitmeninės veiklos atsparumo aktui (DORA), reguliuotojai nebeapsiriboja dokumentų pėdsaku. Jie reikalauja apčiuopiamų deramo patikrinimo, nuolatinės stebėsenos ir tvirtos visos tiekimo grandinės valdysenos įrodymų. Marijos iššūkis aktualus CISO visur: kaip pereiti už klausimyno ribų ir iš tikrųjų audituoti bei apsaugoti kritiškiausius tiekėjus? Tam reikia strateginio poslinkio nuo pasyvaus tikrinimo prie aktyvaus, įrodymais grindžiamo patikinimo.

Statinio klausimyno trūkumai dinamiškame pasaulyje

Daugelį metų saugumo klausimynas buvo trečiųjų šalių rizikos valdymo pagrindas. Tačiau tai tik statiška momentinė nuotrauka dinamiškoje grėsmių aplinkoje. Tiekėjo rizikos profilis nėra nekintamas; jis kinta su kiekviena nauja grėsme, sistemos pakeitimu ar įtrauktu subtiekėju. Vien savęs vertinimu pasikliauti vertinant tokį kritinį tiekėją kaip CloudSphere yra tas pats, kas audroje naviguoti pagal praėjusių metų orų žemėlapį.

NIS2 direktyva aiškiai reikalauja rizika grindžiamo požiūrio ir numato, kad saugumo priemonės turi būti proporcingos faktinėms rizikoms. Tai reiškia, kad visiems vienodai taikomas klausimynas iš esmės neatitinka šiuolaikinių reguliacinių lūkesčių. Laikai, kai sertifikatas ar užpildytas kontrolinis sąrašas galėjo pakeisti įrodymus, baigėsi. Tikroji rizika slypi už dokumentų pėdsako ribų.

Čia būtinas struktūruotas, gyvavimo ciklu grindžiamas požiūris. Esmė nėra atsisakyti klausimynų, o papildyti juos gilesniu ir nuodugnesniu patikrinimu tiekėjams, kurie iš tiesų svarbūs. Šis principas įtvirtintas Clarysec Trečiųjų šalių ir tiekėjų saugumo politikoje. Vienas iš jos pamatinių tikslų yra:

„Reikalauti formalaus deramo patikrinimo ir dokumentuotų rizikos vertinimų prieš pasitelkiant naujus tiekėjus arba atnaujinant didelės rizikos paslaugų susitarimus.“
Iš skyriaus „Tikslai“, politikos nuostata 3.3

Ši nuostata keičia požiūrį nuo paprastos patikros prie formalaus tyrimo – tai būtinas pirmasis žingsnis kuriant pagrįstą programą, atsparią reguliuotojų patikrai.

Tiekėjų rizika pagal NIS2 ir DORA: nauji lūkesčiai

NIS2 ir DORA reikalauja, kad organizacijos sistemiškai identifikuotų, vertintų ir nuolat stebėtų rizikas visoje tiekėjų aplinkoje. Jos tiekėjų valdymą iš pirkimų funkcijos paverčia pagrindiniu veiklos atsparumo ir informacijos saugumo ramsčiu.

Nauja reguliacinė aplinka reikalauja aiškių sistemų, glaudžiai susietų su pripažintais standartais, tokiais kaip ISO/IEC 27001:2022. Toliau pateikiama aukšto lygio santrauka, ko šios sistemos tikisi iš jūsų tiekėjų valdysenos programos:

Reikalavimas	NIS2	DORA	ISO/IEC 27001:2022 kontrolės priemonės
Tiekėjų rizikos vertinimas	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Sutartinės saugumo nuostatos	Article 21(3), Article 22	Article 30	5.20
Nuolatinė stebėsena	Article 21, Article 22	Articles 30, 31	5.22
Pažeidžiamumų valdymas ir reagavimas į incidentus	Article 23	Article 9, 11	5.29, 8.8

Tvirtos tiekėjų audito programos nereikia kurti nuo nulio. ISO/IEC 27001:2022 sistema, ypač jos A priedo kontrolės priemonės, suteikia veiksmingą planą. Clarysec klientams rekomenduojame programą kurti aplink tris tarpusavyje susijusias kontrolės priemones, kurios sudaro visą tiekėjų valdysenos gyvavimo ciklą.

Pagrįstos audito sistemos kūrimas: ISO 27001:2022 gyvavimo ciklas

Norint sukurti programą, kuri atitiktų reguliuotojų lūkesčius, reikia struktūruoto požiūrio, pagrįsto pasauliniu mastu pripažintu standartu. ISO/IEC 27001:2022 tiekėjų saugumo kontrolės priemonės nustato gyvavimo ciklą trečiųjų šalių rizikai valdyti nuo santykių pradžios iki jų nutraukimo. Pažiūrėkime, kaip Marija gali pasitelkti šį gyvavimo ciklą, kad parengtų pagrįstą CloudSphere audito planą.

1 žingsnis: pagrindas – informacijos saugumas tiekėjų santykiuose (5.19)

Kontrolės priemonė 5.19 yra strateginis pradžios taškas. Ji reikalauja nustatyti formalius procesus informacijos saugumo rizikoms, susijusioms su visa tiekėjų ekosistema, identifikuoti, vertinti ir valdyti. Čia apibrėžiate, ką „didelė rizika“ reiškia jūsų organizacijai, ir nustatote veikimo taisykles.

Clarysec Zenith Controls: kryžminės atitikties vadovas pateikia išsamų 5.19 išskaidymą ir parodo jos vaidmenį kaip centrinio tiekėjų valdysenos mazgo. Ši kontrolės priemonė neatsiejamai susijusi su kitomis kontrolės priemonėmis, pavyzdžiui, 5.21 (Informacijos saugumas IRT tiekimo grandinėje), apimančia aparatinės ir programinės įrangos komponentus, ir 5.14 (Informacijos perdavimas), reguliuojančia saugų duomenų mainus. Neįmanoma veiksmingai valdyti tiekėjo santykių nekontroliuojant jų teikiamos technologijos ir duomenų, kuriais dalijatės.

Marijai tai reiškia, kad CloudSphere auditas turi peržengti jų organizacinės saugumo būklės vertinimą ir gilintis į realiai teikiamos platformos saugumą. Zenith Controls vadove pabrėžiama, kad tinkamas 5.19 įgyvendinimas tiesiogiai palaiko atitiktį svarbiausiems reglamentams:

NIS2 (Article 21(2)(d)): įpareigoja organizacijas valdyti tiekimo grandinės riziką kaip esminę savo saugumo sistemos dalį.
DORA (Articles 28–30): nustato privalomą tvirtą IRT trečiųjų šalių rizikos valdymo sistemą, įskaitant kritiškumo klasifikavimą ir ikisutartinį deramą patikrinimą.
GDPR (Article 28): reikalauja, kad valdytojai pasitelktų tik tuos tvarkytojus, kurie suteikia pakankamas duomenų apsaugos garantijas.

Ši kontrolės priemonė reikalauja tiekėjų rizikos klasifikavimo pagal lygius, nuolatinės stebėsenos ir savalaikio prieigos panaikinimo. Jos tikslas – užtikrinti, kad saugumas būtų integruotas į tiekėjo gyvavimo ciklą, o ne pridėtas vėliau kaip papildoma priemonė.

2 žingsnis: įgyvendinimas – informacijos saugumo įtvirtinimas tiekėjų susitarimuose (5.20)

Saugumo reikalavimas, kurio nėra sutartyje, tėra rekomendacija. Kontrolės priemonė 5.20 yra ta vieta, kur valdysena tampa teisiškai įgyvendinama. Didelės rizikos tiekėjo atveju sutartis yra stipriausia jūsų audito priemonė.

Kaip pabrėžia Zenith Controls, šie susitarimai turi būti aiškūs. Migloti pažadai dėl „geriausio pramonės lygio saugumo“ yra beverčiai. Tokiam tiekėjui kaip CloudSphere Marija turi patikrinti, ar sutartyje yra konkrečios, išmatuojamos nuostatos, suteikiančios jos organizacijai realią priežiūrą:

Teisė atlikti auditą: nuostata, aiškiai suteikianti jos organizacijai teisę atlikti techninius vertinimus, peržiūrėti įrodymus arba pasitelkti trečiąją šalį auditui jos vardu atlikti.
Pranešimų apie pažeidimus terminai: konkretūs, griežti terminai, pavyzdžiui, per 24 valandas nuo nustatymo, pranešti jos įmonei apie saugumo incidentą, o ne miglota formuluotė „nepagrįstai nedelsiant“.
Subtiekėjų (ketvirtųjų šalių) valdymas: nuostata, reikalaujanti, kad tiekėjas taikytų tokius pačius saugumo standartus savo kritiniams subtiekėjams ir praneštų apie bet kokius pokyčius. Tai būtina tolesnės grandies rizikai valdyti.
Saugi pasitraukimo strategija: aiškūs įpareigojimai grąžinti duomenis arba pateikti sertifikuotą jų sunaikinimą nutraukus sutartį.

DORA šioje srityje yra ypač detalus. Article 30 nurodo privalomas sutartines nuostatas, įskaitant netrukdomą auditorių ir reguliuotojų prieigą, konkrečią informaciją apie paslaugų teikimo vietas ir išsamias pasitraukimo strategijas. Auditoriai atrinks didelės rizikos tiekėjų sutartis ir tiesiogiai tikrins šias nuostatas.

3 žingsnis: nuolatinis ciklas – tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas (5.22)

Paskutinė gyvavimo ciklo dalis yra kontrolės priemonė 5.22, kuri tiekėjų priežiūrą paverčia ne vienkartine patikra, o tęstiniu procesu. Auditas neturėtų būti netikėtas įvykis; jis turėtų būti tik patvirtinimo taškas skaidriais santykiais grindžiamame nuolatiniame bendradarbiavime.

Čia daug organizacijų suklumpa. Jos pasirašo sutartį ir padeda ją į archyvą. Tačiau didelės rizikos tiekėjų atveju tikrasis darbas prasideda po tiekėjo įtraukimo. Zenith Controls vadovas susieja 5.22 su kritiniais operaciniais procesais, tokiais kaip 8.8 (Techninių pažeidžiamumų valdymas) ir 5.29 (Informacijos saugumas sutrikimų metu). Tai reiškia, kad veiksminga stebėsena yra kur kas daugiau nei metinis peržiūros susitikimas. Ji apima:

Trečiųjų šalių įrodymų peržiūrą: aktyvų jų SOC 2 Type II ataskaitų, ISO 27001 priežiūros audito rezultatų ar įsiskverbimo testavimo santraukų gavimą ir analizę. Svarbiausia – peržiūrėti išimtis ir sekti jų šalinimą.
Incidentų stebėseną: viešai paskelbtų pažeidimų ar saugumo incidentų, susijusių su tiekėju, sekimą ir formalų galimo poveikio jūsų organizacijai vertinimą.
Pakeitimų valdymą: proceso įgyvendinimą, kai bet koks reikšmingas tiekėjo paslaugos pokytis, pavyzdžiui, nauja duomenų centro vieta ar naujas kritinis subtiekėjas, automatiškai inicijuoja pakartotinį rizikos vertinimą.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas pateikia praktines gaires šia tema, ypač 24 žingsnyje, kuriame aptariama subtiekėjų rizika. Jame rekomenduojama:

„Kiekvienam kritiniam tiekėjui nustatykite, ar jis naudoja subtiekėjus (subtvarkytojus), kurie gali turėti prieigą prie jūsų duomenų ar sistemų. Dokumentuokite, kaip jūsų informacijos saugumo reikalavimai perduodami šioms šalims… Kai įmanoma, paprašykite pagrindinių subtiekėjų sąrašo ir įsitikinkite, kad jūsų teisė atlikti auditą arba gauti patikinimą taikoma ir jiems.“

Tai Marijai yra esminis klausimas. Ar CloudSphere naudoja trečiosios šalies duomenų analizės įmonę? Ar jų infrastruktūra veikia didelėje viešosios debesijos aplinkoje? Šios tolesnės grandies priklausomybės kelia reikšmingą, dažnai nematomą riziką, kurią jos auditas turi atskleisti.

Nuo teorijos prie veiksmų: praktinis Marijos CloudSphere audito planas

Remdamasi šiuo ISO 27001:2022 gyvavimo ciklu, Marijos komanda parengia naują CloudSphere audito planą, kuris gerokai peržengia klausimyno ribas ir parodo brandžią, rizika grindžiamą valdyseną, kurios reikalauja reguliuotojai.

Sutarties peržiūra: komanda pradeda nuo esamos CloudSphere sutarties susiejimo su DORA Article 30 ir gerosiomis kontrolės priemonės 5.20 praktikomis. Jie parengia spragų analizės ataskaitą, kad informuotų kitą atnaujinimo ciklą ir nustatytų dabartinio audito prioritetus.
Tikslinė įrodymų užklausa: vietoj bendro klausimyno jie išsiunčia formalų prašymą pateikti konkrečius įrodymus, įskaitant:
- naujausią SOC 2 Type II ataskaitą ir santrauką, kaip buvo pašalintos visos nurodytos išimtys;
- naujausio išorinio įsiskverbimo testavimo vadovybei skirtą santrauką;
- išsamų visų subtiekėjų (ketvirtųjų šalių), kurie tvarkys jų duomenis arba turės prie jų prieigą, sąrašą;
- įrodymą, kad saugumo reikalavimai sutartimis perduodami šiems subtiekėjams;
- žurnalus arba ataskaitas, įrodančias savalaikį kritinių pažeidžiamumų, pavyzdžiui, Log4j, MOVEit, pataisų diegimą per pastaruosius šešis mėnesius.
Techninis patvirtinimas: jie pasinaudoja „teisės atlikti auditą“ nuostata ir suplanuoja techninės giluminės analizės sesiją su CloudSphere saugumo komanda. Darbotvarkėje daugiausia dėmesio skiriama jų reagavimo į incidentus planams, debesijos saugumo būklės valdymo (CSPM) priemonėms ir duomenų nutekėjimo prevencijos kontrolės priemonėms.
Formalus išimčių valdymas: jei CloudSphere prieštarauja dėl tam tikrų įrodymų pateikimo, Marija yra pasirengusi. Jos organizacijos valdysenos procesas, apibrėžtas Trečiųjų šalių ir tiekėjų saugumo politikoje, yra aiškus:

„Didelės rizikos išimtys, pavyzdžiui, tiekėjai, tvarkantys reglamentuojamus duomenis arba palaikantys kritines sistemas, turi būti patvirtintos CISO, teisės funkcijos ir pirkimų vadovybės bei įtrauktos į ISVS išimčių registrą.“
Iš skyriaus „Rizikos tvarkymas ir išimtys“, politikos nuostata 7.3

Tai užtikrina, kad bet koks atsisakymas pateikti įrodymus nebūtų paprasčiausiai ignoruojamas, o būtų formaliai priimtas kaip rizika aukščiausiais organizacijos lygmenimis – procesas, kurį auditoriai vertina palankiai.

Auditoriaus perspektyva: ko reikalaus skirtingi auditoriai

Norint sukurti iš tiesų atsparią programą, reikia mąstyti kaip auditoriui. Skirtingos audito sistemos taiko skirtingus vertinimo kampus, todėl jų klausimų numatymas yra sėkmės sąlyga. Toliau pateikiamas apibendrintas vaizdas, ko skirtingi auditoriai reikalautų peržiūrėdami jūsų tiekėjų valdysenos programą:

Auditoriaus profilis	Pagrindinė sritis ir kontrolės priemonės	Reikalaujami įrodymai
ISO/IEC 27001:2022 auditorius	5.19, 5.20, 5.22	Tiekėjų registras su rizikos klasifikacijomis; atrinktos didelės rizikos tiekėjų sutartys saugumo nuostatoms patikrinti; deramo patikrinimo ir tęstinių peržiūros susitikimų įrašai.
COBIT 2019 auditorius	APO10 (Manage Suppliers), DSS04 (Manage Continuity)	Įrodymai apie nuolatinę veiklos stebėseną pagal SLA; dokumentacija, kaip valdomi su tiekėjais susiję incidentai; tiekėjų rizikos peržiūrų ir pakeitimų valdymo įrašai.
DORA / finansų reguliuotojas	Articles 28-30	Sutartis su kritiniu IRT paslaugų teikėju, susieta su privalomomis DORA nuostatomis; koncentracijos rizikos vertinimas; pasitraukimo strategijos testavimo arba peržiūros įrodymai.
NIST SP 800-53 auditorius	SA-9 (External System Services), SR Family (Supply Chain)	Tiekimo grandinės rizikos valdymo plano įrodymai; tiekėjo atitikties įrodymų įrašai, pavyzdžiui, FedRAMP, SOC 2; ketvirtųjų šalių rizikos matomumo dokumentacija.
ISACA / IT auditorius	ITAF Performance Standard 2402	Žurnalai, įrodantys, kad nutraukus tiekėjo personalo prieigą ji buvo nedelsiant panaikinta; įrodymai apie unikalias, MFA apsaugotas trečiųjų šalių prieigos paskyras; reagavimo į incidentus įrašai.

Ši daugialypė perspektyva rodo, kad tvirta programa nėra vieno standarto tenkinimas; tai holistinės valdysenos sistemos kūrimas, generuojantis įrodymus, reikalingus visiems šiems lūkesčiams patenkinti.

Kritinės klaidos: kur žlunga tiekėjų auditai

Daugelis tiekėjų priežiūros programų nepasiekia tikslo dėl dažnų ir išvengiamų klaidų. Būkite ypač atidūs šioms kritinėms rizikoms:

Auditas kaip vienkartinis įvykis: pasikliovimas vienkartiniais auditais tiekėjo įtraukimo arba sutarties atnaujinimo metu, užuot įgyvendinus nuolatinę stebėseną.
Pasikliovimas vien sertifikavimu: ISO arba SOC 2 sertifikato priėmimas nekritiškai, neperžiūrint ataskaitos detalių, taikymo srities ir išimčių.
Miglotos sutartys: aiškių ir įgyvendinamų nuostatų dėl audito teisių, pranešimų apie pažeidimus ir duomenų tvarkymo neįtraukimas.
Prastas registro valdymas: negalėjimas pateikti išsamaus visų tiekėjų ir jų pasiekiamų duomenų registro, suskirstyto pagal rizikos lygius.
Tolesnės grandies rizikos ignoravimas: nesugebėjimas identifikuoti ir valdyti rizikų, kurias kelia paties tiekėjo kritiniai subtiekėjai, t. y. ketvirtosios šalies rizika.
Nepatikrintas pažeidžiamumų valdymas: pasitikėjimas, kad tiekėjas diegia kritinių pažeidžiamumų pataisas, neprašant įrodymų.

Praktinis kontrolinis sąrašas didelės rizikos tiekėjų auditams

Naudokite šį iš Zenith Blueprint pritaikytą kontrolinį sąrašą, kad kiekvieno didelės rizikos tiekėjo audito procesas būtų išsamus ir pagrįstas.

Žingsnis	Veiksmas	Rinktini ir saugotini įrodymai
Deramas patikrinimas	Atlikti ir dokumentuoti formalų rizikos vertinimą prieš įtraukimą arba atnaujinimą.	Užpildytas tiekėjo rizikos darbo lapas; klasifikavimo įrašas; deramo patikrinimo ataskaita.
Sutarties peržiūra	Patikrinti, ar saugumo, privatumo ir audito nuostatos yra įtrauktos ir įgyvendinamos.	Pasirašyta sutartis su pažymėtomis nuostatomis; teisinės peržiūros patvirtinimas; duomenų tvarkymo sutartis.
Nuolatinė stebėsena	Suplanuoti ir atlikti ketvirtines arba metines peržiūras pagal rizikos lygį.	Posėdžių protokolai; peržiūrėtos SOC 2 / ISO 27001 ataskaitos; pažeidžiamumų skenavimo santraukos.
Subtiekėjų priežiūra	Identifikuoti ir dokumentuoti visus kritinius tolesnės grandies tiekėjus (ketvirtąsias šalis).	Tiekėjo pateiktas subtvarkytojų sąrašas; įrodymai apie saugumo reikalavimų perdavimo nuostatas.
Pažeidžiamumų valdymas	Reikalauti brandžios pažeidžiamumų valdymo programos įrodymų.	Naujausio įsiskverbimo testavimo vadovybei skirta santrauka; pažeidžiamumų skenavimo ataskaitų pavyzdžiai; pataisų diegimo terminai.
Pranešimas apie incidentus	Testuoti ir patvirtinti tiekėjo incidentų pranešimo procesą.	Ankstesnių pranešimų apie incidentus įrašai; dokumentuoti pranešimų apie pažeidimus SLA.
Pakeitimų valdymas	Peržiūrėti visus reikšmingus techninius arba organizacinius tiekėjo pakeitimus.	Tiekėjo pakeitimų žurnalai; pakeitimų inicijuotos pakartotinio rizikos vertinimo ataskaitos.
Reguliacinis susiejimas	Tiesiogiai susieti įgyvendintas kontrolės priemones su NIS2, DORA ir GDPR reikalavimais.	Vidinė atitikties susiejimo lentelė; reguliuotojams skirtas įrodymų žurnalas.

Išvada: atsparios ir pagrįstos tiekimo grandinės kūrimas

Kritinių tiekėjų atitikties, grindžiamos vien varnelėmis, era baigėsi. Griežta tokių reglamentų kaip NIS2 ir DORA priežiūra reikalauja esminio poslinkio prie nuolatinio, įrodymais grindžiamo patikinimo modelio. Tokie CISO kaip Marija turi vadovauti organizacijų perėjimui už statinio klausimyno ribų.

Kurdami programą pagal patikrintą ISO/IEC 27001:2022 kontrolės priemonių gyvavimo ciklą, sukuriate sistemą, kuri ne tik atitinka reikalavimus, bet ir iš tiesų veiksmingai mažina riziką. Tai reiškia, kad tiekėjų saugumas turi būti traktuojamas kaip strateginė disciplina, sutartyse turi būti įtvirtinti įgyvendinami reikalavimai, o viso santykio metu turi būti palaikoma nuosekli priežiūra.

Jūsų organizacijos saugumas yra toks stiprus, kokia stipri yra silpniausia grandis, o šiandienos tarpusavyje susietoje ekosistemoje ta grandis dažnai yra trečioji šalis. Laikas susigrąžinti kontrolę.

Pasirengę pereiti už klausimyno ribų?

Integruoti Clarysec įrankių rinkiniai suteikia pagrindą, kurio reikia pasaulinio lygio tiekėjų rizikos valdymo programai sukurti – tokiai, kuri atlaiko bet kokį auditą.

Atsisiųskite mūsų politikų šablonus: įgyvendinkite tvirtą valdysenos sistemą naudodami mūsų organizacinio lygio Trečiųjų šalių ir tiekėjų saugumo politiką ir jos atitikmenį MVĮ.
Vadovaukitės Zenith Blueprint: naudokite mūsų Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, kad įgyvendintumėte ir audituotumėte reikalavimus atitinkančią ISVS, su atskirais žingsniais tiekėjų rizikai valdyti.
Pasitelkite Zenith Controls: užsisakykite mūsų Zenith Controls: kryžminės atitikties vadovo demonstraciją, kad susietumėte tiekėjų kontrolės priemones su NIS2, DORA, GDPR, NIST ir kitais reikalavimais ir užtikrintumėte, jog jūsų audito planas būtų išsamus ir pagrįstas.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council