Silpnoji grandis: CISO veiksmų planas kuriant NIS2 reikalavimus atitinkančią tiekimo grandinės rizikos valdymo programą
Įspėjimas atrodė nekaltas – nedidelis nukrypimas iš trečiosios šalies stebėsenos paslaugos. Anyai, vidutinio dydžio logistikos įmonės CISO, tai buvo jau trečias toks pranešimas per mėnesį iš to paties tiekėjo: „Aptikta prisijungimo anomalija“. Tiekėjas – nedidelis, bet kritiškai svarbus transporto parko valdymo programinės įrangos teikėjas – patikino, kad tai nieko rimto. Klaidingai teigiamas atvejis. Tačiau Anya žinojo geriau. Tai nebuvo vien techniniai trikdžiai; tai buvo signalai apie gilesnį nestabilumą kritinėje jos tiekimo grandinės dalyje. Dabar, kai jos įmonė pagal NIS2 direktyvą priskirta „svarbių subjektų“ kategorijai, šie signalai atrodė kaip artėjančio žemės drebėjimo priešženkliai.
Senasis tiekėjų valdymo būdas – rankos paspaudimas ir aptakiai suformuluota sutartis – oficialiai nebegalioja. NIS2 labai aiškiai parodo, kad organizacijos kibernetinio saugumo būklė yra tokia stipri, kokia stipri yra silpniausia jos grandis. Silpnoji grandis nebėra „kažkur išorėje“ – ji yra jūsų tiekimo grandinėje. Pagal NIS2 tiekėjų rizikos nevaldymas nėra tik techninis aplaidumas. Tai valdybos lygmens reglamentavimo rizika, turinti veiklos, reputacijos ir finansinių pasekmių. Anyos problema buvo ne vienas nepatikimas tiekėjas. Tai buvo sisteminis pažeidžiamumas, įaustas į jos veiklos struktūrą, ir auditoriai jo ieškos. Jai reikėjo ne greitos pataisos, o veiksmų plano.
Šis vadovas pateikia tokį veiksmų planą. Aptarsime struktūruotą požiūrį, kaip CISO, atitikties vadovams ir auditoriams sukurti pagrįstą, keliems reglamentams pritaikytą tiekimo grandinės rizikos valdymo programą. Pasitelkdami tvirtą sistemą, tokią kaip ISO/IEC 27001:2022, ir Clarysec ekspertinius priemonių rinkinius, galite susieti neatidėliotinas tiekimo grandinės rizikas su praktiškai taikomais metodais, padedančiais atitikti NIS2, DORA, GDPR ir kitus reikalavimus.
Rizikos mandatas: kaip NIS2 iš naujo apibrėžia tiekimo grandinės saugumą
NIS2 direktyva tiekimo grandinės saugumą iš paprastos gerosios praktikos paverčia teisiškai privalomu įpareigojimu. Ji reikalauja rizika grindžiamo ir nuolatinio požiūrio į IRT ir OT tiekimo grandinių saugumą, išplečia taikymo sritį į daugelį sektorių ir nustato tiesioginę vadovybės atsakomybę už atitikties nesėkmes. Tai reiškia:
- Išplėsta taikymo sritis: į taikymo sritį patenka kiekvienas tiekėjas, subtvarkytojas, debesijos paslaugų teikėjas ir išorės paslaugų teikėjas, turintis sąlytį su jūsų IRT aplinka.
- Nuolatinis tobulinimas: NIS2 reikalauja gyvo rizikos vertinimo, stebėsenos ir pritaikymo proceso, o ne vienkartinės peržiūros. Šį procesą turi lemti tiek vidaus įvykiai (incidentai, pažeidimai), tiek išorės pokyčiai (nauji teisės aktai, tiekėjo paslaugų atnaujinimai).
- Privalomos kontrolės priemonės: reagavimas į incidentus, pažeidžiamumų valdymas, reguliarus saugumo testavimas ir patikimas šifravimas dabar privalomi visoje tiekimo grandinėje, o ne tik jūsų organizacijos perimetre.
Tai panaikina ribas tarp vidinio saugumo ir trečiųjų šalių rizikos. Jūsų tiekėjo kibernetinio saugumo nesėkmė tampa jūsų reglamentavimo krize. Tokia struktūruota sistema kaip ISO/IEC 27001:2022 tampa būtina, nes ji pateikia kontrolės priemones ir procesus, reikalingus atspariai ir audituojamai programai, atitinkančiai NIS2 reikalavimus, sukurti. Kelias prasideda ne nuo technologijų, o nuo strategijos, sutelktos į tris pagrindines kontrolės priemones:
- 5.19 - Informacijos saugumas santykiuose su tiekėjais: strateginės sistemos tiekėjų rizikai valdyti sukūrimas.
- 5.20 - Informacijos saugumo įtraukimas į tiekėjų susitarimus: saugumo lūkesčių įtvirtinimas teisiškai privalomose sutartyse.
- 5.22 - Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas: nuolatinės priežiūros ir pritaikymo užtikrinimas viso tiekėjo gyvavimo ciklo metu.
Įvaldę šias tris sritis, tiekimo grandinę iš nerimo šaltinio paversite gerai valdoma, reikalavimus atitinkančia ir atsparia vertybe.
1 žingsnis: valdysenos pagrindo sukūrimas taikant kontrolę 5.19
Pirmasis Anyos suvokimas buvo paprastas: visų tiekėjų negalima vertinti vienodai. Biuro kanceliarijos tiekėjas nėra tas pats, kas kritinės transporto parko valdymo programinės įrangos teikėjas. Pirmasis žingsnis kuriant NIS2 reikalavimus atitinkančią programą – suprasti ir pagal riziką suklasifikuoti savo tiekėjų ekosistemą.
Kontrolė 5.19, Informacijos saugumas santykiuose su tiekėjais, yra strateginis kertinis akmuo. Ji reikalauja peržengti paprasto tiekėjų sąrašo ribas ir sukurti lygiuotą valdysenos sistemą. Šį procesą turi lemti aiški, valdybos patvirtinta politika. Clarysec Trečiųjų šalių ir tiekėjų saugumo politika šią veiklą tiesiogiai susieja su platesne organizacijos rizikos valdymo sistema:
„P6 – Rizikos valdymo politika. Nustato trečiųjų šalių santykių rizikų, įskaitant paveldėtas arba sistemines rizikas tiekėjų ekosistemose, identifikavimo, vertinimo ir mažinimo gaires.“ Iš skyriaus „Susijusios politikos ir sąsajos“, politikos nuostata 10.2.
Ši integracija užtikrina, kad rizikos, kylančios iš žemesnės grandies priklausomybių arba „ketvirtųjų šalių“ ekspozicijų, būtų valdomos kaip jūsų pačios ISVS dalis. Pats klasifikavimo procesas turi būti metodiškas. „Audito ir tobulinimo“ etapo 23 žingsnyje Zenith Blueprint: auditoriaus 30 žingsnių gairės padeda organizacijoms klasifikuoti tiekėjus remiantis esminiais klausimais:
- Ar tiekėjas tvarko jūsų jautrią arba reglamentuojamą informaciją?
- Ar jis teikia infrastruktūrą arba platformas, nuo kurių priklauso jūsų kritinės operacijos?
- Ar jis jūsų vardu valdo arba prižiūri sistemas?
- Ar jo kompromitavimas galėtų tiesiogiai paveikti jūsų konfidencialumo, vientisumo arba prieinamumo tikslus?
Anya pasinaudojo šia logika iš naujo įvertindama transporto parko valdymo programinės įrangos teikėją. Jis tvarkė realiojo laiko vietos duomenis (jautru), jo platforma buvo neatsiejama kasdienių operacijų dalis (kritinė infrastruktūra), o kompromitavimas galėjo sustabdyti pristatymus (didelis poveikis prieinamumui). Todėl tiekėjas buvo nedelsiant perklasifikuotas iš „standartinio tiekėjo“ į „kritinį, didelės rizikos tiekėją“.
Šis rizika grindžiamas lygiavimas lemia reikiamą deramo patikrinimo, sutartinio griežtumo ir nuolatinės stebėsenos lygį. Kaip paaiškina mūsų Zenith Controls: kryžminės atitikties vadovas, toks požiūris tiesiogiai dera su pagrindinių reglamentų lūkesčiais.
| Reglamentas | Reikalavimas | Kaip kontrolė 5.19 tai atliepia |
|---|---|---|
| NIS2 | Article 21(2)(d) įpareigoja valdyti tiekimo grandinių riziką. | Pateikia sistemą tiekėjų rizikai identifikuoti ir lygiuoti. |
| DORA | Articles 28-30 reikalauja klasifikuoti kritinius IT ir finansinių paslaugų tiekėjus. | Nustato IRT teikėjų klasifikavimo pagal kritiškumą procesą. |
| GDPR | Article 28 reikalauja, kad duomenų valdytojai naudotų tik pakankamas garantijas suteikiančius tvarkytojus. | Sudaro deramo patikrinimo pagrindą šioms garantijoms įvertinti. |
Šis pamatinis žingsnis nėra tik vidinė užduotis; tai pagrindas, ant kurio kuriama visa pagrįsta tiekimo grandinės saugumo programa.
2 žingsnis: tvirtų susitarimų sudarymas taikant kontrolę 5.20
Identifikavusi didelės rizikos tiekėją, Anya atsivertė sutartį. Tai buvo standartinis pirkimų šablonas su aptakia konfidencialumo nuostata ir beveik niekuo daugiau, kas būtų susiję su kibernetiniu saugumu. Joje nebuvo konkrečių saugumo kontrolės priemonių, pranešimo apie pažeidimą termino ir teisės atlikti auditą. NIS2 auditoriaus požiūriu tokia sutartis buvo bevertė.
Čia kritiškai svarbi tampa kontrolė 5.20, Informacijos saugumo įtraukimas į tiekėjų susitarimus. Ji yra mechanizmas, padedantis 5.19 nustatytas rizikas paversti įgyvendinamais, teisiškai privalomais įpareigojimais. Sutartis nėra vien komercinis dokumentas; tai pagrindinė saugumo kontrolės priemonė.
Šią transformaciją turi lemti jūsų politikos. Trečiųjų šalių ir tiekėjų saugumo politika tai įtvirtina kaip pagrindinį tikslą:
„Suderinti trečiųjų šalių saugumo kontrolės priemones su taikomais reglamentavimo ir sutartiniais įpareigojimais, įskaitant GDPR, NIS2, DORA ir ISO/IEC 27001 standartus.“ Iš skyriaus „Tikslai“, politikos nuostata 3.6.
Ši nuostata politiką iš gairių paverčia tiesioginiu įpareigojimu pirkimų ir teisės komandoms. Anyai tai reiškė grįžimą pas tiekėją ir sutarties persiderėjimą. Naujas sutarties priedas apėmė konkrečias, nederybines nuostatas:
- Pranešimas apie pažeidimą: tiekėjas privalo per 24 valandas pranešti apie bet kokį įtariamą saugumo incidentą, paveikiantį jos įmonės duomenis ar paslaugas, o ne „per protingą terminą“.
- Teisė atlikti auditą: įmonė pasilieka teisę kasmet atlikti saugumo vertinimus arba prašyti trečiųjų šalių audito ataskaitų, pavyzdžiui, SOC 2 Type II.
- Saugumo standartai: tiekėjas privalo laikytis konkrečių saugumo kontrolės priemonių, pavyzdžiui, taikyti daugiaveiksnį autentifikavimą visai administratoriaus lygmens prieigai ir reguliariai atlikti platformos pažeidžiamumų skenavimą.
- Subtvarkytojų valdymas: tiekėjas privalo atskleisti ir gauti išankstinį rašytinį patvirtinimą dėl bet kurių savo subtiekėjų, kurie tvarkys įmonės duomenis.
- Pasitraukimo strategija: sutartyje turi būti apibrėžtos saugaus duomenų grąžinimo arba sunaikinimo nutraukus sutartį procedūros, užtikrinančios tvarkingą santykių nutraukimo procesą.
Kaip pabrėžia Zenith Controls, ši praktika yra esminė keliose sistemose. GDPR Article 28(3) reikalauja išsamių duomenų tvarkymo sutarčių. DORA Article 30 nustato išsamų kritinių IRT teikėjams taikomų sutartinių nuostatų sąrašą. Įgyvendindama tvirtą kontrolę 5.20, Anya ne tik užtikrino ISO/IEC 27001:2022 laikymąsi; ji kartu kūrė pagrįstą poziciją NIS2, DORA ir GDPR auditams.
3 žingsnis: stebėjimo bokštas – nuolatinė stebėsena taikant kontrolę 5.22
Pradinė Anyos problema – pasikartojantys saugumo įspėjimai – kilo iš klasikinės nesėkmės: „pasirašyti ir pamiršti“. Tvirta sutartis bevertė, jei ji padedama į archyvą ir daugiau niekada nenaudojama. Paskutinė dėlionės dalis yra kontrolė 5.22, Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas. Tai operacinė kontrolės priemonė, užtikrinanti, kad sutartyje duoti pažadai būtų vykdomi.
Ši kontrolės priemonė tiekėjų valdymą paverčia iš statiškos įtraukimo veiklos į dinamišką, nuolatinį procesą. Pagal Zenith Controls tai apima kelias tarpusavyje susijusias veiklas:
- Veiklos peržiūros: reguliariai planuojami susitikimai (pvz., kas ketvirtį didelės rizikos tiekėjams), skirti aptarti veiklos rezultatus pagal saugumo SLA, peržiūrėti incidentų ataskaitas ir planuoti būsimus pakeitimus.
- Audito artefaktų peržiūra: proaktyvus tiekėjų audito ataskaitų, sertifikatų ir įsiskverbimo testavimo rezultatų prašymas bei analizė. Auditorius tikrins ne tik tai, ar šias ataskaitas renkate, bet ir ar aktyviai sekate bei valdote jose nurodytas išimtis.
- Pakeitimų valdymas: kai tiekėjas keičia savo paslaugą – migruoja pas naują debesijos paslaugų teikėją arba įdiegia naują taikomųjų programų sąsają – tai jūsų pusėje turi inicijuoti saugumo peržiūrą. Taip užkertamas kelias tiekėjams netyčia į jūsų aplinką įnešti naujų rizikų.
- Nuolatinė stebėsena: įrankių ir grėsmių žvalgybos srautų naudojimas siekiant žinoti tiekėjo išorinę saugumo būklę. Staigus saugumo reitingo sumažėjimas arba žinia apie pažeidimą turi inicijuoti nedelsiamą reagavimą.
Ši nuolatinė stebėsenos, peržiūros ir pritaikymo kilpa yra NIS2 reikalaujamo „nuolatinio rizikos valdymo proceso“ esmė. Ji užtikrina, kad pasitikėjimas nebūtų laikomas savaime suprantamu – jis nuolat tikrinamas.
Praktinis pavyzdys: tiekėjo peržiūros kontrolinis sąrašas
Kad tai taptų praktiška, Anyos komanda sukūrė kontrolinį sąrašą naujoms ketvirtinėms peržiūroms su transporto parko valdymo teikėju, remdamasi Zenith Controls aprašytomis audito metodikomis.
| Peržiūros sritis | Rinktini ir aptartini įrodymai | Siekiamas rezultatas |
|---|---|---|
| SLA ir veikimas | Veikimo nepertraukiamumo ataskaitos, incidentų žurnalai, pagalbos užklausų sprendimo terminai. | Patikrinti sutartinių prieinamumo ir palaikymo įsipareigojimų laikymąsi. |
| Saugumo incidentai | Išsami visų saugumo įspėjimų (įskaitant „klaidingai teigiamus atvejus“) ataskaita, pagrindinės priežasties analizė ir taisomieji veiksmai. | Patvirtinti skaidrų pranešimų teikimą ir veiksmingą incidentų valdymą. |
| Atitiktis ir auditai | Naujausia SOC 2 ataskaita arba įsiskverbimo testavimo santrauka. | Peržiūrėti išvadas ir stebėti tiekėjo taisomųjų veiksmų planą dėl nustatytų pažeidžiamumų. |
| Pažeidžiamumų valdymas | Kritinių sistemų pataisų diegimo periodiškumo ataskaitos. | Užtikrinti, kad tiekėjas laiku vykdytų įsipareigojimą diegti kritinių pažeidžiamumų pataisas. |
| Būsimi pakeitimai | Tiekėjo produkto veiksmų plano, infrastruktūros pakeitimų arba naujų subtvarkytojų aptarimas. | Proaktyviai įvertinti būsimų pakeitimų saugumo pasekmes prieš juos įgyvendinant. |
Šis paprastas įrankis pokalbį iš bendro pasikalbėjimo pavertė tikslingu, įrodymais grindžiamu saugumo valdysenos susitikimu, kuriame sukuriamas audituojamas nuolatinės priežiūros įrašas.
Ribos nustatymas: rizikos priėmimas NIS2 aplinkoje
Pradinis incidentas su tiekėju privertė Anyą atsakyti į esminį klausimą: koks rizikos lygis yra priimtinas? Net ir turint geriausias sutartis bei stebėseną, tam tikra liekamoji rizika visada išliks. Todėl aiškiai apibrėžti ir vadovybės patvirtinti rizikos priėmimo kriterijai yra būtini.
„Rizikos ir įgyvendinimo“ etapo 10 žingsnyje Zenith Blueprint šiuo klausimu pateikia kritines gaires. Nepakanka pasakyti „priimame mažas rizikas“. Turite apibrėžti, ką tai reiškia jūsų teisinių ir reglamentavimo įpareigojimų kontekste.
„Į priėmimo kriterijus taip pat įtraukite teisinius / reglamentavimo reikalavimus. Kai kurios rizikos gali būti nepriimtinos nepriklausomai nuo tikimybės dėl teisės aktų… Panašiai NIS2 ir DORA nustato tam tikrus bazinius saugumo reikalavimus – jų nevykdymas (net jei incidento tikimybė maža) gali kelti nepriimtiną atitikties riziką. Įtraukite šias perspektyvas, pvz.: „Bet kokia rizika, galinti lemti taikomų teisės aktų (GDPR ir kt.) nesilaikymą, yra nepriimtina ir turi būti sumažinta.““
Anyai tai tapo lūžio tašku. Ji kartu su teisės ir pirkimų komandomis atnaujino rizikos valdymo politiką. Naujuose kriterijuose aiškiai nurodyta, kad bet kuris kritinis tiekėjas, neatitinkantis NIS2 nustatytų bazinių saugumo reikalavimų, kelia nepriimtiną riziką ir dėl to nedelsiant turi būti inicijuojamas rizikos tvarkymo planas. Tai pašalino sprendimų priėmimo neapibrėžtumą ir sukūrė aiškų valdysenos paleidiklį. Kaip nurodyta Trečiųjų šalių ir tiekėjų saugumo politikoje:
„Didelės rizikos išimtis (pvz., tiekėjus, tvarkančius reglamentuojamus duomenis arba palaikančius kritines sistemas) turi patvirtinti CISO, Teisės funkcija ir Pirkimų vadovybė, o jos turi būti įtrauktos į ISVS išimčių registrą.“ Iš skyriaus „Rizikos tvarkymas ir išimtys“, politikos nuostata 7.3.
Auditorius atvyko: kelių perspektyvų patikros valdymas
Po šešių mėnesių, kai vidaus auditoriai atvyko atlikti NIS2 pasirengimo vertinimo, Anya buvo pasiruošusi. Ji žinojo, kad jos tiekimo grandinės programa bus vertinama per kelias perspektyvas.
ISO/IEC 27001:2022 auditorius: šis auditorius sutelkė dėmesį į procesą ir įrodymus. Jis paprašė tiekėjų apskaitos, patikrino rizikos kategorijas, atrankos būdu peržiūrėjo sutartis dėl konkrečių saugumo nuostatų ir įvertino ketvirtinių peržiūros susitikimų protokolus. Jos struktūruotas požiūris, paremtas kontrolėmis 5.19, 5.20 ir 5.22, sukūrė aiškų audito pėdsaką.
COBIT 2019 auditorius: valdysenos požiūrį taikęs auditorius norėjo matyti sąsają su verslo tikslais. Jis klausė, kaip tiekėjų rizika teikiama vykdomajam rizikos komitetui. Anya pateikė rizikų registrą, parodydama, kaip buvo nustatytas tiekėjo rizikos įvertis ir kaip jis susietas su bendru įmonės rizikos apetitu.
NIS2 vertintojas: šis asmuo ypač daug dėmesio skyrė sisteminei rizikai esminėms paslaugoms. Jam rūpėjo ne tik sutartis; jis norėjo žinoti, kas nutiktų, jei tiekėjas visiškai nustotų veikti. Anya pristatė veiklos tęstinumo planą (BCP), kuriame dabar buvo skyrius apie kritinio tiekėjo veiklos sutrikimą, parengtas vadovaujantis ISO/IEC 22301:2019 principais.
GDPR auditorius: matydamas, kad tiekėjas tvarko vietos duomenis, šis auditorius iš karto sutelkė dėmesį į duomenų apsaugą. Jis paprašė Duomenų tvarkymo sutarties (DPA) ir įrodymų, kad buvo atliktas deramas patikrinimas siekiant įsitikinti, jog tiekėjas suteikia „pakankamas garantijas“, kaip reikalaujama pagal Article 28. Kadangi privatumas į procesą buvo integruotas nuo pradžių, DPA buvo tvirta.
Ši kelių perspektyvų audito praktika rodo, kad tinkamai įgyvendinta ISO/IEC 27001:2022 pagrįsta ISVS ne tik atitinka vieną standartą. Ji sukuria atsparią ir pagrįstą poziciją visame reglamentavimo lauke. Toliau pateiktoje lentelėje apibendrinama, kaip šie žingsniai sukuria audituojamus įrodymus bet kokiai patikrai.
| Žingsnis | Politikos / kontrolės nuoroda | NIS2 sąsaja | GDPR sąsaja | DORA sąsaja | Veiksmo įrodymai |
|---|---|---|---|---|---|
| Tiekėjų lygiavimas | 5.19, Blueprint S10/S23 | Article 21 | Article 28 | Art. 28-30 | Pagal rizikos lygius suskirstytų tiekėjų apskaita ISVS. |
| Saugumo sutartinės nuostatos | 5.20, ISO/IEC 27036-2 | Article 22 | Article 28(3) | Art. 30 | Sutarčių pavyzdžiai su saugumo priedais, SLA. |
| Nuolatinė peržiūra | 5.22, ISO/IEC 22301 | Article 21 | Article 32 | Art. 31 | Posėdžių protokolai, veiklos valdymo skydai, audito žurnalai. |
| Duomenų apsaugos sąlygos | 5.20, ISO/IEC 27701 | Recital 54 | Arts. 28, 32 | Art. 30 | Pasirašytos duomenų tvarkymo sutartys (DPA). |
| Pranešimas apie incidentą | 5.22, ISO/IEC 27036-2 | Article 23 | Arts. 33, 34 | Art. 31 | Tiekėjo incidentų žurnalai, komunikacijos įrašai. |
| Pasitraukimas / nutraukimas | 5.20, ISO/IEC 27001:2022 A.5.11 | Aktualu atsparumui | Article 28(3) | Art. 30 | Duomenų sunaikinimo sertifikatai, santykių nutraukimo kontroliniai sąrašai. |
Jūsų veiksmų planas
Anyos istorija nėra išskirtinė. CISO ir atitikties vadovai visoje ES susiduria su tuo pačiu iššūkiu. Reglamentavimo baudų grėsmė ir NIS2 nustatyta asmeninė atsakomybė tiekimo grandinės riziką paverčia aukščiausio lygio verslo klausimu. Gera žinia ta, kad kelias į priekį aiškus. Pasitelkę struktūruotą, rizika grindžiamą ISO/IEC 27001:2022 požiūrį, galite sukurti programą, kuri yra ir reikalavimus atitinkanti, ir iš tiesų atspari.
Nelaukite, kol incidentas privers imtis veiksmų. Pradėkite kurti NIS2 reikalavimus atitinkančią tiekimo grandinės sistemą jau šiandien:
- Sukurkite valdyseną: naudokite Clarysec Trečiųjų šalių ir tiekėjų saugumo politika - MVĮ arba įmonės šablonus, kad apibrėžtumėte veiklos taisykles.
- Pažinkite savo ekosistemą: taikykite Zenith Blueprint klasifikavimo kriterijus, kad nustatytumėte ir pagal lygius suskirstytumėte kritinius, didelės rizikos tiekėjus.
- Sustiprinkite sutartis: audituokite esamus tiekėjų susitarimus pagal ISO/IEC 27001:2022 kontrolės 5.20 reikalavimus, naudodami Zenith Controls kryžminės atitikties gaires NIS2, DORA ir GDPR lūkesčiams įgyvendinti.
- Įgyvendinkite nuolatinę stebėseną: suplanuokite pirmąją ketvirtinę saugumo peržiūrą su svarbiausiu tiekėju ir naudokite mūsų kontrolinį sąrašą kaip gaires. Dokumentuokite visas išvadas savo ISVS.
- Parenkite audito įrodymus: surinkite sutarčių pavyzdžius, peržiūrų protokolus, incidentų žurnalus ir rizikos vertinimus, susietus su pagrindinėmis kiekvieno kritinio tiekėjo kontrolėmis.
Jūsų tiekimo grandinė neturi būti silpniausia grandis. Turėdami tinkamą sistemą, procesus ir įrankius, galite ją paversti stiprybės šaltiniu ir kibernetinio saugumo strategijos kertiniu akmeniu.
Pasirengę sukurti tiekimo grandinę, kuri tenkintų reguliuotojus ir valdybą? Atsisiųskite Clarysec Zenith Blueprint ir jau šiandien paspartinkite kelią į atitiktį bei atsparumą.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
