सरकारी खरीद सुरक्षा गेट
प्रौद्योगिकी उपकरणों के लिए सरकारी खरीद प्रक्रियाएं सुरक्षा प्रमाणपत्रों द्वारा सबसे व्यवस्थित रूप से गेटेड होती हैं। क्लाउड सेवाओं के लिए US संघीय अनुबंधों के लिए FedRAMP (Federal Risk and Authorization Management Program) प्राधिकरण की आवश्यकता होती है — एक प्रक्रिया जो आमतौर पर 12–24 महीने लगती है और अनुपालन तैयारी में लाखों डॉलर खर्च होते हैं। अधिकांश सॉफ़्टवेयर विक्रेता FedRAMP प्राधिकरण का पीछा नहीं करते, जिससे वे US संघीय खरीद से प्रभावी रूप से बाहर हो जाते हैं।
EU सरकारी निकायों के लिए, समकक्ष मानक ISO 27001 है, जिसे अक्सर देश-विशिष्ट प्रमाणपत्रों (जर्मनी का BSI C5 क्लाउड सेवाओं के लिए, फ्रांस का SecNumCloud संवेदनशील सरकारी डेटा के लिए) के साथ जोड़ा जाता है। व्यक्तिगत डेटा को संभालने वाले सॉफ़्टवेयर के लिए UK सरकारी खरीद आमतौर पर ISO 27001 को एक आधार रेखा के रूप में आवश्यक मानती है, जिसमें सीधे सरकारी सिस्टम तक पहुंच वाले उपकरणों के लिए Cyber Essentials या Cyber Essentials Plus एक अतिरिक्त आवश्यकता होती है।
व्यावहारिक परिणाम: ISO 27001 प्रमाणपत्र के बिना एक SaaS उपकरण आमतौर पर EU और UK सरकारी खरीद में विचार के लिए अयोग्य होता है, इसकी कार्यात्मक क्षमताओं, मूल्य निर्धारण, या प्रतिष्ठा की परवाह किए बिना। सुरक्षा गेट कार्यात्मक मूल्यांकन से पहले लागू किया जाता है।
राज्य और स्थानीय सरकारी बाजार
राज्य और स्थानीय सरकारी निकाय और अंतरराष्ट्रीय सरकारी संगठन (EU एजेंसियां, UN निकाय, NATO) आमतौर पर राष्ट्रीय सरकारों की तुलना में अधिक लचीले खरीद नियम रखते हैं। कई ISO 27001 को अपनी सुरक्षा आधार रेखा के रूप में स्वीकार करते हैं बजाय इसके कि वे देश-विशिष्ट प्रमाणन कार्यक्रमों की आवश्यकता करें।
व्यक्तिगत डेटा को संसाधित करने वाले स्थानीय सरकारी निकायों के लिए — नगर परिषद, क्षेत्रीय प्राधिकरण, सार्वजनिक स्वास्थ्य संगठन — GDPR अनुपालन के लिए उन डेटा प्रोसेसरों का चयन करना आवश्यक है जो उचित तकनीकी उपायों को लागू करते हैं। ISO 27001 प्रमाणपत्र सरकारी खरीद संदर्भों में इन उपायों को प्रदर्शित करने के लिए मानक तंत्र है।
डाउनस्ट्रीम सरकारी अनुबंध आवश्यकता
सरकारी अनुबंधों को धारण करने वाले संगठनों के पास अक्सर "प्रधान अनुबंध" डेटा सुरक्षा आवश्यकताएं होती हैं जो उनके उप-ठेकेदारों और प्रौद्योगिकी विक्रेताओं तक पहुंचती हैं। एक रक्षा ठेकेदार जो सरकारी-संबंधित डेटा को संसाधित कर रहा है, उसे अपने प्रधान अनुबंध के तहत केवल ISO 27001 प्रमाणित सॉफ़्टवेयर का उपयोग करने की आवश्यकता हो सकती है। एक EU एजेंसी सेवा प्रदाता को परियोजना डेटा को छूने वाले उपकरणों के लिए समान आवश्यकताओं का सामना करना पड़ सकता है।
यह प्रधान अनुबंध प्रवाह का अर्थ है कि ISO 27001 प्रमाणन न केवल सीधे सरकारी खरीद के अवसरों को खोलता है बल्कि बहुत बड़े अप्रत्यक्ष सरकारी बाजार को भी — प्रधान ठेकेदारों के लिए प्रौद्योगिकी विक्रेता, सरकारी ग्राहकों की सेवा करने वाली परामर्श फर्में, और प्रौद्योगिकी पुनर्विक्रेता जिनके ग्राहक सरकारी-संबंधित संगठन हैं।
एक UK सरकारी एजेंसी का डिजिटल परिवर्तन कार्यक्रम जो सभी विक्रेताओं के लिए ISO 27001 की आवश्यकता करता है, उपकरण को तुरंत मंजूरी दे सकता है, बिना किसी अलग सुरक्षा मूल्यांकन के। प्रमाणन साक्ष्य पैकेज है। परियोजना की समयसीमा विक्रेता सुरक्षा मूल्यांकन में देरी से बढ़ाई नहीं जाती।
स्रोत: