Asiakirja-infrastruktuurin ongelma
Pienet ja keskikokoiset organisaatiot, jotka etsivät yritysasiakkaita, kohtaavat epäsymmetrisen turvallisuusarvioinnin taakan. Yritysten hankintatiimit lähettävät 150 kysymyksen turvallisuuskyselyitä, jotka on suunniteltu organisaatioille, joilla on omat turvallisuustiimit, muodolliset ISMS-ohjelmat ja usean vuoden auditointihistoriat. Monet näistä kysymyksistä — muodollisista muutoksenhallintaprosesseista, dokumentoiduista riskinarvioinneista, toimittajariskiohjelmista — kuvaavat kypsiä turvallisuusohjelmia, joita useimmilla pienillä organisaatioilla ei ole.
Tuloksena: monet yrityshankintamahdollisuudet menetetään ei siksi, että toimittajan tuote on epävarma, vaan siksi, että toimittajalta puuttuu asiakirja-infrastruktuuri todistaakseen turvallisuusasennettaan. 40–80 tuntia, joka vaaditaan per yrityskysely (ilman sertifiointia), edustaa merkittävää mahdollisuuskustannusta pienille tiimeille — aikaa, joka otetaan pois tuotekehityksestä, asiakastuesta ja liiketoimintatoiminnoista.
ISO 27001 -sertifiointi ratkaisee tämän epäsymmetrian tarjoamalla riippumatonta asiakirjaa turvallisuusasenteesta. Sertifikaatti, soveltuvuusilmoitus ja yhteenvetokontrollikartoitus korvaavat suurimman osan 150 kysymyksen kyselystä. Toimittajan turvallisuustiimin ei tarvitse rakentaa todistepakettia jokaiselle yritysasiakkaalle — sertifiointi on todistepaketti.
Alavirran sertifiointivirta
ISO 27001 -sertifioinnin vaatimustenmukaisuusarvo teknologiatoimitusketjussa virtaa alavirtaan. Kun oikeudellinen teknologiastartup käyttää sertifioitua anonymisointityökalua PII-käsittelyynsä, tämä startup voi sisällyttää työkalun sertifioinnin omaan toimittajan turvallisuusasiakirjaansa vastatessaan yritysasiakkaidensa turvallisuuskyselyihin.
Startupin yritysasiakas kysyy: "Mitä turvallisuussertifikaatteja PII-käsittelytoimittajallasi on?" Startup sisällyttää anonymisointityökalun ISO 27001 -sertifikaatin toimittajan asiakirjapakettiinsa. Yritysasiakkaan turvallisuustiimi tarkistaa sertifikaatin, kartoittaa sen kolmannen osapuolen riskivaatimuksiin ja sulkee toimittajan arviointikohteen. Startupin ei tarvinnut suorittaa omaa PII-työkalun turvallisuusarviointia; he luottivat työkalun riippumattomaan sertifiointiin.
Tämä alavirran arvo tarkoittaa, että ISO 27001 -sertifiointi tietojenkäsittelytyökalussa hyödyttää ei vain työkalun suoria yritysasiakkaita, vaan myös työkalun asiakkaiden asiakkaita — koko alavirran toimitusketjua.
Sertifioinnin kustannus-hyöty
ISO 27001 -sertifiointi maksaa tyypillisesti 15 000–50 000 euroa alkuperäisestä sertifiointiauditoinnista plus jatkuvat valvontakustannukset (vuosittaiset auditoinnit). Toimittajalle, joka palvelee yritysasiakkaita säännellyillä aloilla, sertifiointi maksaa itsensä takaisin tyypillisesti ensimmäisten muutaman suljetun yritysdiilin aikana — diilit, jotka olisivat menetetty ilman sertifiointia.
Sertifioituja työkaluja valitseville yritysasiakkaille etu on vastavuoroinen: vähentynyt huolellisuusmaksu (tunnit, jotka säästyvät toimittajan arvioinnista), vähentynyt auditointiriski (riippumaton vahvistus sen sijaan, että itseattestoisi) ja dokumentoitu toimitusketjun turvallisuus omia auditointivaatimuksia varten.
Lähteet: