Пропускът в сертифицирането в корпоративните поръчки
Enterprise SaaS procurement разработи последователен филтър за квалификация: сертификат ISO 27001. Проучване на корпоративни CISO от 2025 г. установи, че „липса на признат сертификат за сигурност“ е причина №2 за дисквалифициране на доставчици на SaaS, след само „недостатъчна архитектура за криптиране“.
Причината е структурна. Екипите за корпоративна сигурност отговарят за проверката на десетки до стотици доставчици годишно. Провеждането на пълна персонализирана оценка на сигурността за всеки доставчик – преглед на политики, контроли за тестване, оценка на архитектурата – изисква значителна честотна лента на екипа по сигурността. Сертифицирането по ISO 27001 предоставя пряк път: независим одитор вече е оценил системата за управление на информационната сигурност на доставчика спрямо признат стандарт с 93 контрола в 11 домейна.
За доставчици без ISO 27001 всяка корпоративна сделка изисква изграждане на доказателствения случай от нулата. За доставчици с ISO 27001 пакетът с доказателства съществува и е независимо валидиран.
Какво всъщност обхваща приложение A към ISO 27001:2022
ISO 27001:2022 Приложение A включва 93 контрола в четири теми: организационни, хора, физически и технологични. За инструментите за поверителност в облака, контролите, върху които екипите за обществени поръчки на предприятието се фокусират най-силно, са:
Криптографски контроли (Приложение A 8.24): Изисква организацията да дефинира правила за използване на криптографски контроли, включително управление на ключове. Сертификацията демонстрира, че доставчикът има документирана, проверена политика за това как се генерират, съхраняват, осъществяват достъп и унищожават ключовете за криптиране.
Контрол на достъпа (Приложение A 8.2-8.5): Изисква достъпът до информация да бъде ограничен въз основа на принципа на най-малката привилегия. Сертифицирането показва, че достъпът на персонала на доставчика до клиентските данни е контролиран и документиран.
Отношения с доставчици (Приложение A 5.19-5.22): Изисква изискванията за сигурност за взаимоотношенията с доставчици да бъдат документирани и наблюдавани. Уместно за предприятия, чиито собствени клиенти изискват от тях да документират сигурността на своите доставчици.
Сертификационният документ по ISO 27001 не отговаря на всеки въпрос за обществена поръчка — той установява, че съществуват организационни и процесни контроли. Сертифицирането намалява обхвата на персонализираната оценка до специфични за архитектурата въпроси, които стандартът не разглежда.
Архитектурният въпрос, на който стандартът не отговаря
Сертификацията по ISO 27001 отговаря на въпроси за контрол на процеси и организация. Той не отговаря на основния архитектурен въпрос, който интересува най-много регулираните предприятия: „Може ли доставчикът да има достъп до нашите данни?“
Доставчик със сертификат ISO 27001 все още може да работи с ключове за шифроване от страна на сървъра. Сертификацията потвърждава, че управлението на ключове следва документирана политика — не че политиката предотвратява достъпа на доставчика.
Архитектурата с нулево знание отговаря на въпроса, който ISO 27001 оставя отворен. Архитектурата — извличане на ключ от страна на клиента, без съхранение на ключ от страна на сървъра, AES-256-GCM криптиране преди предаване — дава отговор на въпроса „може ли доставчикът да има достъп до нашите данни?“ категорично отрицателен.
Въздействието върху обществените поръчки от комбинирането на ISO 27001 с архитектура с нулево знание: ISO 27001 удовлетворява организационните изисквания и изискванията за контрол на процесите, които въпросниците за обществени поръчки проверяват. Архитектурата с нулево знание удовлетворява изискванията за достъп до данни, които са грижа с най-висок приоритет за регулираните индустрии. Заедно те разглеждат двата основни критерия за квалификация за одобрение на облачни доставчици в здравеопазването, финансовите услуги и правните пазари.
Намаляването на времето на практика
Сроковете за оценка на сигурността на доставчика в регулираните отрасли обикновено варират от 3 до 6 месеца без признато сертифициране. Оценката включва попълване на въпросник за сигурността, преглед на документацията, преглед на техническата архитектура и често разговор с екипа по сигурността.
Със сертифицирането по ISO 27001 предприятията могат да съкратят фазата на преглед на документацията - сертификатът и свързаната декларация за приложимост предоставят доказателствата. С документация за архитектура с нулево знание, фазата на преглед на архитектурата се решава бързо. Графикът за оценка се съкращава до 3 до 6 седмици за най-ефективните процеси на обществени поръчки на предприятието.
За доставчици, насочени към регулирани корпоративни сделки в индустрията, изчислението на разходите и ползите от сертифицирането по ISO 27001 е лесно: сертифицирането съкращава цикъла на продажби от месеци на седмици във всяка регулирана корпоративна сделка. При размери на корпоративни сделки съкращаването на времето води до значително ускоряване на приходите.
За предприятията, които купуват инструменти за поверителност, сертификационната комбинация осигурява качествено различна рискова позиция: доставчик, който няма достъп до клиентски данни (нулево знание) и който има независимо проверени организационни контроли (ISO 27001), представлява най-силното налично доказателство за ангажимент за сигурност в облачен доставчик.
Източници:
- [Шаблон за оценка на доставчици по ISO 27001 и ръководство за процеса] (https://www.atlassystems.com/blog/how-to-manage-third-party-risks-with-an-iso-27001-vendor-assessment)
- Проучване CISO: Причини за дисквалификация на доставчик на SaaS 2025 г.
- [ISO 27001:2022 Приложение A Резюме на контрола] (https://www.isms.online/iso-27001/annex-a/)