Gauntlet bezpečnostních dotazníků
Podnikové zadávání zakázek pro software zpracovávající osobní data zahrnuje proces bezpečnostního hodnocení, který může být stejně časově náročný jako samotné rozhodnutí o zadávání zakázek. Pro dodavatele bez uznávaných bezpečnostních certifikací je typický postup následující:
Podnikový bezpečnostní tým zasílá vlastní dotazník: 100–200 otázek pokrývajících přístupové kontroly, šifrovací standardy, správu zranitelností, reakce na incidenty, kontinuitu podnikání, fyzickou bezpečnost a řízení rizik třetích stran. Tým dodavatele vyplní dotazník — obvykle vyžadující 40–80 hodin úsilí pro komplexní posouzení. Podnikový bezpečnostní tým přezkoumá odpovědi, požádá o objasnění a potenciálně vyžádá balíčky důkazů (zásady, zprávy o auditech, výsledky penetračních testů). Celková lhůta: 4–12 týdnů.
Na konci tohoto procesu může podnikový bezpečnostní tým stále odmítnout schválení dodavatele — nikoli proto, že dodavatel není bezpečný, ale proto, že dokumentace nesplňuje interní standardy podniku pro formát důkazů, komplexnost nebo nezávislé ověření.
Certifikace ISO 27001 tento proces výrazně urychluje. Globální finanční instituce zkrátila dobu vyplňování dotazníků o 52 % po standardizaci na ISO 27001 pro mezinárodní dodavatele (BSI 2025). Certifikace prokazuje, že nezávislý auditní orgán posoudil bezpečnostní kontroly dodavatele podle uznávaného standardu se 93 kontrolami ve čtyřech tematických oblastech. Podnikový bezpečnostní tým mapuje certifikaci na své interní požadavky spíše než aby sestavoval balíček důkazů od nuly.
Požadavek 77 % zadávání zakázek
Průzkum rizik dodavatelského řetězce ISC2 z roku 2025 zjistil, že 77 % podnikových bezpečnostních nákupních týmů uvádí shodu s ISO 27001 nebo SOC 2 jako svůj nejvyšší požadavek na dodavatele. V regulovaných odvětvích — finančních službách, zdravotnictví, právní oblasti — se toto číslo blíží 90 %: nástroje bez uznávané certifikace jsou obvykle vyřazeny ještě před zahájením funkčního hodnocení.
Tato dynamika zadávání zakázek nepřiměřeně nesouvisí s faktickým bezpečnostním postavením. Jde o auditovatelnost: bezpečnostní tým, který schválil dodavatele, musí být schopen prokázat při následném auditu, že provedl náležitou hloubkovou kontrolu. Uznávaná certifikace je nejefektivnější formou zdokumentované hloubkové kontroly.
Pro tým pro řízení rizik dodavatelů německé banky, který hodnotí nový nástroj pro anonymizaci: certifikát ISO 27001 spouští zjednodušenou cestu hodnocení namísto plného vlastního dotazníkového procesu. Rámec pro řízení rizik dodavatelů banky mapuje kontroly ISO 27001 na jejich interní kontrolní rámec. Hodnocení je dokončeno za 3 týdny namísto 4–6 měsíců. Nástroj je schválen pro termín dodržování předpisů Q1.
Hodnota pro downstream
Certifikační prémium plyne nejen certifikovanému dodavateli, ale také organizacím, které si vybírají certifikované dodavatele. Když podnik vybere nástroj pro anonymizaci s certifikací ISO 27001, může tuto certifikaci zahrnout do svých vlastních balíčků dokumentace pro dodavatele — čímž prokáže svým zákazníkům a regulátorům, že jejich dodavatelský řetězec pro zpracování PII byl posouzen podle uznávaných standardů.
Zdroje: