Vairāk nekā rokasspiediens: piegādātāju drošības pārvaldība ar ISO 27001 un GDPR

Jūsu piegādātāji ir jūsu organizācijas darbības paplašinājums, taču tie vienlaikus paplašina arī jūsu uzbrukuma virsmu. Vāja piegādātāju drošība var izraisīt personas datu aizsardzības pārkāpumus, regulatoru piemērotus sodus un darbības traucējumus, tāpēc stingra pārvaldība nav izvēles jautājums. Šajā ceļvedī sniegta praktiska pieeja piegādātāju drošības pārvaldībai, izmantojot ISO 27001:2022, un GDPR apstrādātāju pienākumu izpildei ar efektīviem līgumiem un pārraudzību.

Kas ir likts uz spēles

Mūsdienu savstarpēji saistītajā biznesa ekosistēmā neviena organizācija nedarbojas izolēti. Jūs paļaujaties uz piegādātāju tīklu — no mākoņpakalpojumu mitināšanas un programmatūras izstrādes līdz mārketinga analītikai un algu apstrādei. Lai gan šāda ārpakalpojumu izmantošana palielina efektivitāti, tā rada arī būtisku risku. Katru reizi, kad trešajai pusei piešķirat piekļuvi saviem datiem, sistēmām vai infrastruktūrai, jūs uzticaties, ka tā ievēros tādus pašus drošības standartus kā jūs. Ja šī uzticēšanās izrādās nepamatota, sekas var būt smagas un ievērojami pārsniegt vienkāršu pakalpojuma darbības traucējumu. Pārkāpums, kura avots ir jūsu piegādes ķēde, joprojām ir jūsu pārkāpums, un darbības, finanšu un reputācijas sekas skar tieši jūsu organizāciju.

Regulatīvā vide, īpaši Eiropā, neatstāj vietu neskaidrībām. GDPR saskaņā ar Article 28 skaidri nosaka, ka datu pārziņi ir atbildīgi par savu apstrādātāju darbībām. Tas nozīmē, ka jums ir juridisks pienākums veikt sākotnējo izvērtēšanu un pārliecināties, ka ikviens piegādātājs, kas apstrādā personas datus, sniedz pietiekamas garantijas par savu drošības stāvokli. Ar līguma parakstīšanu vien nepietiek; ir nepieciešams formāls, dokumentēts datu apstrādes līgums, kurā noteikti konkrēti drošības pasākumi, konfidencialitātes pienākumi, pārkāpumu paziņošanas procedūras un audita tiesības. Šī pienākuma neizpilde var radīt smagus sodus, taču kaitējums ar to nebeidzas. Tādi regulējumi kā NIS2 un DORA paplašina šīs prasības, pieprasot koordinētu risku izvērtēšanu un līgumiskas drošības saistības visā IKT piegādes ķēdē, jo īpaši kritiskajās un finanšu nozarēs.

Apsveriet nelielu e-komercijas uzņēmumu, kas piesaista trešās puses mārketinga aģentūru klientu e-pasta kampaņu pārvaldībai. Mārketinga aģentūra klientu sarakstu glabā slikti konfigurētā mākoņserverī. Uzbrucējs atklāj ievainojamību, neatļauti izgūst tūkstošiem klientu personas datus un publicē tos tiešsaistē. E-komercijas uzņēmumam ietekme ir tūlītēja un katastrofāla. Tam draud GDPR izmeklēšana, iespējamie sodi, klientu uzticēšanās zudums, kura atjaunošanai var būt nepieciešami gadi, kā arī darbības slogs, pārvaldot reaģēšanu uz incidentu un paziņošanas procesu. Pamatcēlonis nebija trūkums paša uzņēmuma sistēmās, bet gan nespēja pienācīgi izvērtēt piegādātāju un līgumiski piesaistīt to konkrētiem drošības standartiem. Šis scenārijs izgaismo būtisku patiesību: jūsu informācijas drošība ir tik stipra, cik stiprs ir jūsu vājākais piegādātājs.

Kā izskatās laba prakse

Spēcīga piegādātāju drošība nenozīmē necaursitamu sienu būvēšanu; tā nozīmē pārskatāma, uz risku balstīta ietvara izveidi trešo pušu attiecību pārvaldībai. Nobriedusi programma, kas saskaņota ar ISO 27001:2022, pārvērš piegādātāju pārvaldību no iepirkuma formalitātes par stratēģisku drošības funkciju. Tā sākas ar principiem, kas noteikti kontroles pasākumā A.5.19 un ir vērsti uz skaidras politikas izveidi un uzturēšanu informācijas drošības pārvaldībai piegādātāju attiecībās. Tas nozīmē, ka visiem piegādātājiem netiek piemērota viena un tā pati pieeja. Tā vietā tie tiek klasificēti līmeņos atbilstoši riskam, ko tie rada, ņemot vērā tādus faktorus kā to datu sensitivitāte, kuriem tie piekļūst, sniegtā pakalpojuma kritiskums darbībai un integrācija ar jūsu pamatsistēmām.

Šī uz risku balstītā pieeja tieši nosaka līgumiskās prasības, ko paredz kontroles pasākums A.5.20 un kas attiecas uz informācijas drošības iekļaušanu piegādātāju līgumos. Augsta riska piegādātājam, piemēram, mākoņinfrastruktūras pakalpojumu sniedzējam, līgumam jābūt visaptverošam. Tajā jānosaka tehniskie kontroles pasākumi, piemēram, šifrēšanas standarti, jāparedz regulāri drošības auditi, jādefinē stingri pārkāpumu paziņošanas termiņi un jānostiprina jūsu tiesības pārbaudīt piegādātāja atbilstību. Zema riska piegādātājam, piemēram, biroja uzkopšanas pakalpojuma sniedzējam, prasības var aprobežoties ar konfidencialitātes klauzulu. Mērķis ir nodrošināt, ka ikvienas piegādātāja attiecības reglamentē skaidras, izpildāmas drošības saistības, kas ir samērīgas ar attiecīgo risku. Šāds strukturēts process nodrošina, ka drošība tiek ņemta vērā jau brīdī, kad tiek apsvērta jauna piegādātāja piesaiste, nevis tikai pēc līguma parakstīšanas. Mūsu visaptverošā kontroles pasākumu bibliotēka palīdz definēt šos konkrētos pasākumus dažādiem piegādātāju līmeņiem.¹

Iedomājieties augošu fintech jaunuzņēmumu, kas apstrādā sensitīvus finanšu datus. Tā piegādātāju drošības programma ir efektivitātes paraugs. Kad uzņēmums piesaista jaunu mākoņpakalpojumu sniedzēju pamata lietojumprogrammas mitināšanai, pakalpojumu sniedzējs tiek klasificēts kā “kritisks risks”. Tas iedarbina stingru sākotnējās izvērtēšanas procesu, tostarp ISO 27001 sertifikāta un SOC 2 ziņojuma pārskatīšanu. Juridiskā un drošības komanda rūpīgi pārbauda datu apstrādes līgumu, lai pārliecinātos, ka tas atbilst GDPR prasībām attiecībā uz datu atrašanās vietu un apakšapstrādātāju pārvaldību. Savukārt, kad uzņēmums piesaista vietējo dizaina aģentūru vienreizējam mārketinga projektam, aģentūra tiek klasificēta kā “zems risks”. Tā vienkārši paraksta standarta konfidencialitātes līgumu un saņem piekļuvi tikai nesensitīviem zīmola aktīviem. Šī daudzlīmeņu un metodiskā pieeja ļauj jaunuzņēmumam koncentrēt resursus uz būtiskākajiem riskiem, vienlaikus saglabājot elastību.

Praktiskais ceļš

Ilgtspējīgas piegādātāju drošības programmas izveidei nepieciešama strukturēta, pakāpeniska pieeja, kas integrē drošību visā piegādātāja dzīves ciklā — no atlases līdz attiecību izbeigšanai. Tas nav vienreizējs projekts, bet gan pastāvīgs biznesa process, kas saskaņo iepirkuma, juridiskās un IT struktūrvienības. Sadalot ieviešanu pārvaldāmos soļos, var ātri panākt progresu un pierādīt vērtību, nepārslogojot komandas. Šī pieeja nodrošina, ka drošības prasības ir definētas, līgumi ir pietiekami stingri un uzraudzība ir nepārtraukta, veidojot kontroles sistēmu, kas apmierina auditorus un faktiski samazina risku. Mūsu informācijas drošības pārvaldības sistēmas ieviešanas ceļvedis Zenith Blueprint sniedz detalizētu projekta plānu šo pamatprocesu izveidei.²

Sākotnējā posma uzdevums ir izveidot pamatu. Tas ietver esošās piegādātāju vides izpratni un iesaistes noteikumu definēšanu visām turpmākajām attiecībām. Nevar aizsargāt to, kas nav zināms, tāpēc visaptveroša visu esošo piegādātāju uzskaite ir būtisks pirmais solis. Šis process bieži atklāj iepriekš nedokumentētas atkarības un riskus. Kad redzamība ir nodrošināta, var izstrādāt politikas un procedūras, kas reglamentēs programmu un nodrošinās, ka ikviens organizācijā saprot savu lomu piegādes ķēdes drošības uzturēšanā.

• 1. nedēļa: apzināšana un politikas pamats
  • Sagatavojiet pilnīgu visu esošo piegādātāju uzskaiti, norādot to sniegtos pakalpojumus un datus, kuriem tie piekļūst.
  • Izstrādājiet riska novērtēšanas metodoloģiju piegādātāju klasificēšanai līmeņos (piemēram, augsts, vidējs, zems), pamatojoties uz datu sensitivitāti, pakalpojuma kritiskumu un piekļuvi sistēmām.
  • Sagatavojiet formālu piegādātāju drošības politiku, kas definē prasības katram riska līmenim.
  • Izveidojiet standartizētu drošības anketu un datu apstrādes līguma veidni, kas atbilst GDPR Article 28.

Kad pamatpolitikas ir izveidotas, nākamajā posmā uzmanība jāpievērš jauno prasību iestrādei iepirkuma un juridiskajās darbplūsmās. Šajā brīdī programma pāriet no teorijas uz praksi. Ir kritiski svarīgi nodrošināt, ka neviens jauns piegādātājs netiek piesaistīts bez atbilstošas drošības pārskatīšanas. Tas prasa ciešu sadarbību ar komandām, kas pārvalda piegādātāju līgumus un maksājumus. Padarot drošību par obligātu kontrolpunktu iepirkuma procesā, jūs novēršat riskantu attiecību izveidošanos jau pašā sākumā un nodrošināt, ka visi līgumi ietver nepieciešamos juridiskos aizsardzības mehānismus.

• 2. nedēļa: integrācija un sākotnējā izvērtēšana
  • Integrējiet drošības pārskatīšanas procesu esošajā iepirkuma un piegādātāju piesaistes darbplūsmā.
  • Sāciet jauno piegādātāju izvērtēšanu, izmantojot drošības anketu un riska metodoloģiju.
  • Sadarbojieties ar juridisko komandu, lai nodrošinātu, ka visi jaunie līgumi, īpaši tie, kas ietver personas datus, iekļauj jūsu standarta datu apstrādes līgumu un drošības klauzulas.
  • Sāciet esošo augsta riska piegādātāju retrospektīvu izvērtēšanu un novērsiet līgumiskos trūkumus.

Trešajā posmā uzmanība pāriet uz nepārtrauktu uzraudzību un pārskatīšanu. Piegādātāju drošība nav darbība, kuru var “iestatīt un aizmirst”. Mainās apdraudējumu vide, attīstās piegādātāju pakalpojumi, un to drošības stāvoklis laika gaitā var pasliktināties. Nobriedusi programma ietver nepārtrauktas pārraudzības mehānismus, lai nodrošinātu, ka piegādātāji visu attiecību laikā turpina ievērot savas līgumiskās saistības. Tas ietver regulāras pārbaudes, audita ziņojumu pārskatīšanu un skaidru procesu piegādāto pakalpojumu izmaiņu pārvaldībai.

• 3. nedēļa: uzraudzība un izmaiņu pārvaldība
  • Izveidojiet augsta riska piegādātāju periodiskas pārskatīšanas grafiku (piemēram, reizi gadā). Tajā jāietver atjauninātu sertifikātu vai audita ziņojumu pieprasīšana.
  • Definējiet formālu procesu piegādātāju pakalpojumu izmaiņu pārvaldībai. Jebkuras būtiskas izmaiņas, piemēram, jauna apakšapstrādātāja iesaiste vai datu apstrādes vietas maiņa, ir pamats atkārtotai riska izvērtēšanai.
  • Ieviesiet sistēmu piegādātāju snieguma izsekošanai attiecībā pret drošības pakalpojumu līmeņa vienošanos (SLA) un līgumiskajām prasībām.

Visbeidzot, programmai jābūt gatavai droši pārvaldīt incidentus un piegādātāja attiecību beigas. Lai cik rūpīga būtu sākotnējā izvērtēšana, incidenti joprojām var notikt. Labi definēts incidentu reaģēšanas plāns, kurā iekļauti arī piegādātāji, ir kritiski svarīgs ātrai un efektīvai rīcībai. Tikpat svarīgs ir drošs piegādātāja attiecību izbeigšanas process. Kad līgums beidzas, jānodrošina, ka visi jūsu dati tiek atgriezti vai droši iznīcināti un visa piekļuve jūsu sistēmām tiek atsaukta, neatstājot drošības nepilnības.

• 4. nedēļa: reaģēšana uz incidentiem un attiecību izbeigšana
  • Integrējiet piegādātājus savā incidentu reaģēšanas plānā, precizējot to lomas, pienākumus un komunikācijas protokolus drošības incidenta gadījumā.
  • Izstrādājiet formālu piegādātāja attiecību izbeigšanas kontrolsarakstu. Tajā jāiekļauj soļi datu atgriešanai vai iznīcināšanai, visas fiziskās un loģiskās piekļuves atsaukšanai un galīgai norēķinu slēgšanai.
  • Veiciet piegādātāju incidentu komunikācijas plāna testu, lai pārliecinātos, ka tas darbojas kā paredzēts.
  • Sāciet piemērot attiecību izbeigšanas procesu piegādātāju attiecībām, kuras tiek pārtrauktas.

Politikas, kas nodrošina noturību

Praktisks ieviešanas plāns ir būtisks, taču bez skaidrām un izpildāmām politikām pat labākie procesi spiediena apstākļos zaudēs efektivitāti. Politikas ir piegādātāju drošības programmas mugurkauls, pārvēršot stratēģiskos mērķus konkrētos noteikumos, kas vada ikdienas lēmumus. Tās sniedz skaidrību darbiniekiem, nosaka nepārprotamas gaidas piegādātājiem un rada auditējamu ierakstu par jūsu pārvaldības ietvaru. Labi uzrakstīta politika novērš minējumus un nodrošina, ka drošības sākotnējā izvērtēšana tiek konsekventi piemērota visā organizācijā — no iepirkuma komandas, kas pārrunā jaunu līgumu, līdz IT komandai, kas piešķir piekļuvi trešās puses konsultantam.

Šī ietvara stūrakmens ir Trešo pušu un piegādātāju drošības politika.³ Šis dokuments ir centrālā autoritāte visos ar piegādātājiem saistītajos drošības jautājumos. Tas formāli definē organizācijas apņemšanos pārvaldīt piegādes ķēdes risku un no drošības perspektīvas apraksta visu piegādātāja attiecību dzīves ciklu. Tas nosaka riska līmeņošanas metodoloģiju, precizē minimālās drošības prasības katram līmenim un piešķir skaidras lomas un pienākumus. Šī politika nodrošina, ka drošība nav izvēles papildinājums, bet obligāta katras piegādātāja iesaistes sastāvdaļa, piešķirot pilnvaras nodrošināt atbilstību un noraidīt piegādātājus, kuri neatbilst jūsu standartiem.

Piemēram, vidēja lieluma loģistikas uzņēmums paļaujas uz vairākiem programmatūras piegādātājiem — no maršrutu plānošanas līdz noliktavas pārvaldībai. Tā Trešo pušu un piegādātāju drošības politika nosaka, ka jebkurš piegādātājs, kas apstrādā sūtījumu vai klientu datus, tiek klasificēts kā “augsts risks”. Pirms finanšu komanda var apstrādāt rēķinu par jaunu programmatūras abonementu, iepirkuma vadītājam centrālajā repozitorijā jāaugšupielādē parakstīts datu apstrādes līgums un aizpildīta drošības anketa. IT drošības vadītājs automātiski saņem paziņojumu dokumentu pārskatīšanai. Ja dokumentu trūkst vai piegādātāja atbildes ir nepietiekamas, sistēma neļauj apstiprināt maksājumu, faktiski apturot piesaistes procesu līdz drošības prasību izpildei. Šāda vienkārša, politikas vadīta darbplūsma nodrošina, ka neviens riskants piegādātājs neizslīd cauri kontroles nepilnībām.

Kontrolsaraksti

Lai nodrošinātu visaptverošu un atkārtojamu piegādātāju drošības procesu, galvenās darbības ir lietderīgi sadalīt praktiskos kontrolsarakstos. Šie saraksti palīdz komandām iziet cauri kritiskajiem programmas izveides, ikdienas darbības un efektivitātes pārbaudes posmiem. Tie standartizē pieeju, samazina cilvēkfaktora kļūdas risku un sniedz skaidrus pierādījumus auditoriem, ka kontroles pasākumi tiek ieviesti konsekventi.

Stingrs pamats ir būtisks jebkurai efektīvai drošības programmai. Pirms sākat izvērtēt atsevišķus piegādātājus, vispirms jāizveido iekšējais ietvars, kas atbalstīs visu procesu. Tas ietver riska apetītes definēšanu, nepieciešamās dokumentācijas izveidi un skaidras atbildības piešķiršanu. Bez šiem pamatelementiem centieni būs nesakārtoti, nekonsekventi un grūti mērogojami, organizācijai augot. Šis sākotnējās izveides posms ir par rīku un noteikumu radīšanu, kas reglamentēs visas turpmākās piegādātāju drošības darbības.

Izveidot: piegādātāju drošības ietvara izveide

• Izstrādāt un apstiprināt formālu Trešo pušu un piegādātāju drošības politiku.
• Izveidot visaptverošu visu esošo piegādātāju un tiem pieejamo datu uzskaiti.
• Definēt skaidru riska novērtēšanas metodoloģiju un kritērijus piegādātāju līmeņošanai.
• Izstrādāt standartizētu drošības anketu piegādātāju sākotnējās izvērtēšanas vajadzībām.
• Izveidot juridisku datu apstrādes līguma veidni, kas atbilst GDPR Article 28.
• Piešķirt skaidras lomas un pienākumus piegādātāju drošības pārvaldībai dažādās struktūrvienībās.

Kad ietvars ir izveidots, uzmanība pāriet uz operacionālajām, ikdienas darbībām piegādātāju attiecību pārvaldībā. Tas ietver drošības pārbaužu iestrādāšanu ierastajos biznesa procesos, jo īpaši iepirkumā un piegādātāju piesaistē. Ikvienam jaunam piegādātājam jāiziet šie drošības vārti, pirms tam tiek piešķirta piekļuve jūsu datiem vai sistēmām. Šis operacionālais kontrolsaraksts nodrošina, ka uzrakstītās politikas praksē tiek konsekventi piemērotas katrai piegādātāja iesaistei.

Darbināt: piegādātāja dzīves cikla pārvaldība

• Veikt drošības sākotnējo izvērtēšanu un risku izvērtēšanu visiem jaunajiem piegādātājiem pirms līguma parakstīšanas.
• Nodrošināt, ka visi attiecīgie piegādātāju līgumi ietver parakstītu datu apstrādes līgumu un atbilstošas drošības klauzulas.
• Piešķirt piegādātāju piekļuvi, pamatojoties uz minimālo privilēģiju principu.
• Izsekot un pārvaldīt visus ar drošību saistītos izņēmumus vai pieņemtos riskus konkrētiem piegādātājiem.
• Izpildīt formālu attiecību izbeigšanas procesu, kad piegādātāja līgums tiek pārtraukts, tostarp datu iznīcināšanu un piekļuves tiesību atsaukšanu.

Visbeidzot, drošības programma ir efektīva tikai tad, ja tā tiek regulāri uzraudzīta, pārskatīta un uzlabota. Posma “Pārbaudīt” mērķis ir pārliecināties, ka kontroles pasākumi darbojas kā paredzēts un ka piegādātāji laika gaitā turpina pildīt savas drošības saistības. Tas ietver periodiskas pārbaudes, formālus auditus un apņemšanos mācīties no jebkuriem incidentiem vai gandrīz notikušiem gadījumiem. Šis nepārtrauktās pārbaudes cikls pārvērš statisku noteikumu kopumu par dinamisku un noturīgu drošības funkciju.

Pārbaudīt: piegādātāju drošības uzraudzība un audits

• Plānot un veikt augsta riska piegādātāju periodiskas drošības pārskatīšanas.
• Pieprasīt un pārskatīt piegādātāju atbilstības pierādījumus, piemēram, ISO 27001 sertifikātus vai ielaušanās testu rezultātus.
• Veikt piegādātāju drošības procesa iekšējos auditus, lai pārliecinātos par atbilstību politikai.
• Pārskatīt un atjaunināt piegādātāju risku izvērtējumus, reaģējot uz būtiskām izmaiņām pakalpojumos vai apdraudējumu vidē.
• Iekļaut no ar piegādātājiem saistītiem drošības incidentiem gūtās mācības politikās un procedūrās.

Biežākās kļūdas

Pat ar labi izstrādātu programmu organizācijas bieži nonāk tipiskās lamatās, kas mazina piegādātāju drošības centienu efektivitāti. Šo kļūdu apzināšanās ir pirmais solis to novēršanā. Viena no biežākajām kļūdām ir piegādātāju drošības uztveršana kā vienreizēja “atzīmēt rūtiņu” darbība piesaistes laikā. Līguma parakstīšanas brīdī piegādātāja drošības stāvoklis var būt nevainojams, taču situācija var mainīties. Apvienošanās, iegādes, jauni apakšapstrādātāji vai pat vienkārša konfigurācijas novirze var radīt jaunas ievainojamības. Ja netiek veiktas periodiskas pārskatīšanas, īpaši augsta riska piegādātājiem, jūs balstāties uz novecojušiem un, iespējams, neprecīziem pieņēmumiem par to drošību.

Vēl viens būtisks risks ir akla piegādātāja dokumentu pieņemšana. Lieli pakalpojumu sniedzēji, īpaši mākoņpakalpojumu un SaaS tirgū, bieži iesniedz savus standarta līgumus un drošības noteikumus kā neapspriežamus. Daudzas organizācijas, vēloties ātri sākt projektu, paraksta šos līgumus bez rūpīgas juridiskās un drošības komandu pārskatīšanas. Tas var novest pie nelabvēlīgu nosacījumu pieņemšanas, piemēram, ārkārtīgi ierobežotas atbildības pārkāpuma gadījumā, neskaidrām datu īpašumtiesību klauzulām vai audita tiesību neesamības. Lai arī sarunas var būt sarežģītas, ir būtiski identificēt jebkādas atkāpes no jūsu drošības politikas un formāli dokumentēt riska pieņemšanu, ja nolemjat turpināt. Vienkārša piegādātāja noteikumu parakstīšana, neizprotot sekas, ir sākotnējās izvērtēšanas neveiksme.

Trešā biežā kļūda ir vāja iekšējā komunikācija un atbildības sadalījums. Piegādātāju drošība nav tikai IT vai drošības struktūrvienības atbildība. Iepirkumam jāpārvalda līgumi, juridiskajai funkcijai jāizvērtē noteikumi, un biznesa īpašniekiem, kuri paļaujas uz piegādātāja pakalpojumu, jāsaprot ar to saistītie riski. Ja šīs struktūrvienības darbojas izolēti, neizbēgami rodas nepilnības. Iepirkums var atjaunot līgumu, neizraisot nepieciešamo atkārtoto drošības izvērtēšanu, vai struktūrvienība var piesaistīt jaunu “zemas cenas” piegādātāju bez jebkādas drošības izvērtēšanas. Veiksmīgai programmai nepieciešama starpfunkcionāla komanda ar skaidrām lomām un kopīgu izpratni par procesu.

Visbeidzot, daudzas organizācijas neplāno attiecību beigas. Piegādātāja attiecību izbeigšana ir tikpat kritiska kā piesaiste. Bieža kļūda ir līguma izbeigšana, aizmirstot atsaukt piegādātāja piekļuvi sistēmām un datiem. Palikuši, neizmantoti konti ir prioritārs mērķis uzbrucējiem. Formāls attiecību izbeigšanas process, kas ietver kontrolsarakstu visu akreditācijas datu atsaukšanai, visu uzņēmuma datu atgriešanai vai iznīcināšanai un piekļuves pārtraukšanas apstiprināšanai, ir būtisks, lai novērstu šo “zombiju kontu” pārvēršanos nākotnes drošības incidentā.

Nākamie soļi

Vai esat gatavi izveidot noturīgu piegādātāju drošības programmu, kas iztur regulatoru pārbaudi un aizsargā jūsu organizāciju? Mūsu visaptverošie rīkkopi nodrošina politikas, kontroles pasākumus un ieviešanas vadlīnijas, kas nepieciešamas darba sākšanai.

• Zenith Suite
• Pilnā SME un uzņēmuma kombinētā pakotne
• Pilnā SME pakotne

Atsauces