Downstream Hodnota Certifikace Dodavatele
Když podnik vybere ISO 27001 certifikovaný anonymizační nástroj, certifikace slouží dvěma účelům: přímě validaci bezpečnostního postoje dodavatele, a downstream jako důkaz due diligence pro zákazníky a regulátory.
Scénář: Konzultantská firma (Firma A) uzavírá smlouvu pro vládní agenturu (Vládní zákazník). Vládní zákazník vyžaduje důkaz, že Firma A používá certifikované dodavatele pro veškeré zpracování vládních dat. Firma A odkazuje na certifikaci ISO 27001 jejich anonymizačního nástroje jako na důkaz, že jejich datové zpracovávací dodavatelé splňují uznané bezpečnostní standardy.
Certifikace dodavatele se stává dokumentem záznamu v zákaznickém bezpečnostním přezkumu zákazníka.
Mapování Certifikace na Zákazníkovy Rámce
Různí zákazníci používají různé bezpečnostní rámce pro posouzení dodavatelů. ISO 27001 mapuje na:
NIST Cybersecurity Framework (CSF):
| ISO 27001 Oblast kontroly | NIST CSF Kategorie |
|---|---|
| Řízení přístupu (A.9) | PR.AC - Správa identity |
| Kryptografie (A.10) | PR.DS - Bezpečnost dat |
| Fyzická bezpečnost (A.11) | PR.IP - Procesy ochrany informací |
| Správa incidentů (A.16) | DE.CM, RS.RP |
SOC 2 Mapování: ISO 27001 pokrývá většinu požadavků SOC 2 Trust Services Criteria. Organizace s ISO 27001 mohou zkrátit SOC 2 přípravy přezkumem rozdílových kontrol.
EU NIS2 Direktiva: ISO 27001 je uznána jako vhodná sada bezpečnostních kontrol pro NIS2 soulad. Certifikovaní dodavatelé mohou poskytnout dokumentaci NIS2 splnění pro zákazníky v nezbytných sektorech.
Zdroje: