Valtion Hankintojen Turvallisuusportti
Valtion hankintaprosessit teknologiatyökaluille ovat järjestelmällisesti eniten turvallisuustodistusten säätelemät. Yhdysvaltojen liittovaltion sopimukset pilvipalveluille vaativat FedRAMP (Federal Risk and Authorization Management Program) -hyväksynnän — prosessin, joka tyypillisesti vie 12–24 kuukautta ja maksaa satoja tuhansia dollareita vaatimustenmukaisuuden valmistelussa. Useimmat ohjelmistotoimittajat eivät tavoittele FedRAMP-hyväksyntää, mikä käytännössä sulkee heidät pois Yhdysvaltojen liittovaltion hankinnoista.
EU:n valtion viranomaisille vastaava standardi on ISO 27001, jota usein yhdistetään maakohtaisiin sertifikaatioihin (Saksan BSI C5 pilvipalveluille, Ranskan SecNumCloud herkkiä hallituksen tietoja varten). UK:n valtion hankinnat henkilökohtaisia tietoja käsitteleville ohjelmistoille vaativat tyypillisesti ISO 27001:n perustana, ja Cyber Essentials tai Cyber Essentials Plus on lisävaatimuksena työkaluilla, joilla on suora pääsy hallituksen järjestelmiin.
Käytännön seuraus: SaaS-työkalu, jolla ei ole ISO 27001 -sertifikaattia, on tyypillisesti kelvoton harkintaan EU- ja UK-valtion hankinnoissa, riippumatta sen toiminnallisista kyvyistä, hinnoista tai maineesta. Turvallisuusportti sovelletaan ennen toiminnallista arviointia.
Osavaltion ja Paikallisen Hallinnon Markkinat
Osavaltion ja paikalliset hallintoviranomaiset sekä kansainväliset hallintojärjestöt (EU:n virastot, YK:n elimet, NATO) omaavat tyypillisesti joustavammat hankintasäännöt kuin kansalliset hallitukset. Monet hyväksyvät ISO 27001:n turvallisuusperustana sen sijaan, että vaatisivat maakohtaisia sertifiointiohjelmia.
Paikallisille hallintoviranomaisille, jotka käsittelevät asukkaidensa henkilökohtaisia tietoja — kaupunginvaltuustot, alueviranomaiset, julkiset terveysorganisaatiot — GDPR-vaatimustenmukaisuus edellyttää, että valitaan tietojenkäsittelijöitä, jotka toteuttavat asianmukaisia teknisiä toimenpiteitä. ISO 27001 -sertifikaatti on standardimekanismi näiden toimenpiteiden osoittamiseksi hallituksen hankintakonteksteissa.
Alueellisten Hallintokontaktien Vaatimus
Organisaatiot, joilla on valtion sopimuksia, omaavat usein "pääsopimuksen" tietosuojavaatimuksia, jotka siirtyvät alihankkijoilleen ja teknologiatoimittajilleen. Puolustusteollisuuden alihankkija, joka käsittelee hallitukseen liittyviä tietoja, saattaa olla velvoitettu pääsopimuksensa mukaan käyttämään vain ISO 27001 -sertifioitua ohjelmistoa tietojenkäsittelyyn. EU-viraston palveluntarjoajalla saattaa olla samanlaisia vaatimuksia työkaluista, jotka käsittelevät projektitietoja.
Tämä pääsopimuksen siirtovaatimus tarkoittaa, että ISO 27001 -sertifikaatti avaa paitsi suoria valtion hankintamahdollisuuksia myös paljon suuremman epäsuoran valtion markkinan — teknologiatoimittajat pääsopimusten tekijöille, konsultointiyritykset, jotka palvelevat hallitusasiakkaita, ja teknologiatuotteiden jälleenmyyjät, joiden asiakkaina on hallitukseen liittyviä organisaatioita.
UK:n valtion viraston digitaalisen transformaation ohjelma, joka vaatii ISO 27001:stä kaikilta toimittajilta, voi hyväksyä työkalun välittömästi ilman erillistä turvallisuusarviointia. Sertifikaatti on todistepaketti. Projektiaikatauluja ei pidennetä toimittajan turvallisuusarvioinnin viivästysten vuoksi.
Lähteet: