Приложение A 5.20 стандарта ISO 27001: Объяснение соглашений с поставщиками | Подкаст ведущего ау... скачать в хорошем качестве

Приложение A 5.20 стандарта ISO 27001: Объяснение соглашений с поставщиками | Подкаст ведущего ау...

В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают раздел 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками». В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям. ✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki... Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001. Читайте полную статью: Полное руководство по разделу 5.20 Приложения A стандарта ISO 27001 «Определение информационной безопасности в соглашениях с поставщиками» - https://hightable.io/iso-27001-annex-... Мы рассматриваем раздел 5.20 Приложения A стандарта ISO 27001. Это правило призвано управлять рисками, связанными с поставщиками. В нем указано, какие доказательства необходимы для прохождения аудита. Официальное правило гласит, что вы должны согласовать правила безопасности с каждым поставщиком. Проще говоря, не доверяйте им просто так. Вам нужен юридически оформленный договор. В этом договоре должно быть четко указано, что они должны делать для обеспечения безопасности ваших данных. Это превентивная мера. Вы устанавливаете правила до того, как передадите им какие-либо данные. Вы не контролируете их офис, поэтому договор — ваша единственная защита. Примечание: Мы даем советы по безопасности. Всегда обращайтесь к юристу для составления юридических документов. Что должно быть в договоре? Ваш договор — это контрольный список для обеспечения доверия. Вот что вы должны включить: Подробности: Точно укажите, какие данные они получают. Укажите, как они могут получить к ним доступ. Не будьте расплывчаты. Соответствие требованиям: Перечислите законы, которым они должны следовать, например, GDPR или правила авторского права. Контроль безопасности: Укажите, какая безопасность им необходима. Нужно ли им шифрование? Нужна ли им двухфакторная аутентификация? Включите свою политику безопасности в договор. Штрафы: Это очень важно. Кто заплатит, если они нарушат правила? Вам необходимо знать, кто оплачивает юридические расходы и штрафы. Право на аудит: Вам необходимо иметь право проверять их работу. Можете ли вы увидеть их сертификат безопасности? Планы действий в чрезвычайных ситуациях: Если их серверы выйдут из строя, сможете ли вы продолжать работать? Разрыв договора: Что произойдет, когда сделка закончится? У вас должны быть правила восстановления данных и удаления кодов доступа. Как пройти аудит Вам необходимо воплотить эти правила в действие. Вот четыре шага для этого: Политика: Напишите основной документ, в котором будет указано, что вы будете делать. Процесс: Создайте руководство для вашей команды о том, как безопасно нанимать поставщиков. Реестр: Составьте список всех ваших поставщиков. Это ваша карта рисков. Она отслеживает, кто имеет доступ к вашим данным и когда истекает срок действия их сертификатов безопасности. Доказательства: Имейте подписанные соглашения с каждым поставщиком. Что будет проверять аудитор? Когда аудитор посетит вас, он будет проверять три вещи: Соглашения: Он выберет несколько поставщиков. Они хотят увидеть подписанный, актуальный договор, в котором перечислены ваши правила безопасности. Реестр: Они проверят ваш список. Соответствует ли он действительности? Актуален ли он? Гигиена: Они проверят документы. Правильно ли они подписаны? Были ли они подписаны недавно? Правильны ли номера версий? Три главные ошибки, которых следует избегать Избегайте этих ошибок, чтобы оставаться в безопасности: Отсутствие договора: Вы используете поставщика для обработки конфиденциальных данных, но у вас нет подписанного соглашения. Это мгновенный провал. Отсутствие доказательств: Вы доверяете им, когда они говорят, что они безопасны. Вы должны увидеть их фактический сертификат безопасности. Проверьте мелкий шрифт. Некачественная документация: Ваши документы устарели или не подписаны. Это показывает, что вам безразлична система. Как ускорить этот процесс Сделать это самостоятельно занимает много времени. Вам нужно написать политики и составить списки. Это может занять от одного до трех месяцев. Это стоит много времени и денег. Есть более быстрый способ. Вы можете использовать готовые шаблоны. В «Полном комплекте инструментов ISO 27001» есть все необходимое. В него входят готовые политики, процедуры и реестр поставщиков. Использование такого комплекта инструментов может сократить месяцы работы до одного дня. Вы можете пропустить этап составления документов и сосредоточиться на обеспечении безопасности. #iso27001 #iso27001certification