प्रश्नावली की समस्या
छोटी सॉफ़्टवेयर कंपनियाँ हर तिमाही उद्यम सौदे खोती हैं। कारण शायद ही कभी उत्पाद होता है। यह कागजी कार्रवाई है।
उद्यम खरीदार लंबी सुरक्षा प्रश्नावलियाँ भेजते हैं। एक सामान्य फॉर्म में 150 प्रश्न होते हैं। यह औपचारिक जोखिम आकलन, परिवर्तन प्रबंधन, और पिछले ऑडिट रिकॉर्ड के बारे में पूछता है। अधिकांश छोटी टीमों के पास कोई समर्पित सुरक्षा कर्मचारी नहीं होता। प्रत्येक फॉर्म भरने में 40-80 घंटे लगते हैं। यह उत्पाद कार्य और ग्राहक सहायता से लिया गया समय है।
सॉफ़्टवेयर अक्सर असुरक्षित नहीं होता। टीम बस इसे काफी तेजी से साबित नहीं कर सकती।
ISO 27001 प्रमाणन इसे ठीक करता है। प्रमाणपत्र और इसका Statement of Applicability 150-प्रश्न फॉर्म की अधिकांश माँगों का उत्तर देते हैं। एक प्रमाणित आपूर्तिकर्ता हर नए सौदे के लिए साक्ष्य फाइल नहीं बनाता। प्रमाणपत्र ही साक्ष्य फाइल है।
मूल्य श्रृंखला के नीचे बहता है
ISO 27001 का मूल्य पहले खरीदार पर नहीं रुकता। यह आपूर्ति श्रृंखला के नीचे जाता है।
एक legal tech startup लें जो PII काम के लिए एक प्रमाणित अनामीकरण टूल का उपयोग करता है। उस startup के अपने उद्यम ग्राहक हैं। वे ग्राहक पूछते हैं: "आपके PII टूल के पास कौन से प्रमाणपत्र हैं?" startup अपने जवाब में अनामीकरण टूल का ISO 27001 प्रमाणपत्र शामिल करता है। उद्यम सुरक्षा टीम इसकी समीक्षा करती है और मूल्यांकन आइटम बंद करती है।
startup ने टूल को अपने आप ऑडिट नहीं किया। प्रमाणपत्र ने वह काम किया। एक प्रमाणित आपूर्तिकर्ता श्रृंखला में हर ऊपर के व्यवसाय के लिए अनुपालन बोझ कम करता है।
लागत और रिटर्न
एक प्रारंभिक ISO 27001 ऑडिट में €15,000-€50,000 खर्च होता है। वार्षिक समीक्षा अतिरिक्त लागत जोड़ती है। एक विनियमित बाजार में आपूर्तिकर्ता के लिए, वह निवेश अक्सर पहले दो या तीन बंद उद्यम सौदों पर वापस आता है — ऐसे सौदे जो प्रमाणपत्र के बिना रुक गए होते।
उद्यम खरीदारों को भी लाभ होता है। वे मूल्यांकन कार्य पर समय बचाते हैं। उन्हें स्व-रिपोर्ट किए गए दावों के बजाय स्वतंत्र प्रमाण मिलता है। वे अपने स्वयं के ऑडिटर को दिखा सकते हैं कि उनकी आपूर्ति श्रृंखला में प्रलेखित सुरक्षा नियंत्रण हैं।
प्रमाणन एक आवर्ती प्रति-सौदा लागत को एक बार के निवेश में बदलता है। प्रत्येक नए उद्यम संभावित को एक ही संक्षिप्त उत्तर मिलता है: यहाँ प्रमाणपत्र है, इसे किसने जारी किया, यह तारीख है।
आपूर्ति श्रृंखला प्रमाणन के नियामक कोण के लिए हमारा DORA ICT vendor management और ISO 27001 गाइड देखें। छोटी टीमों के लिए व्यापक अनुपालन स्टैक के लिए हमारा startup बजट पर उद्यम PII अनुपालन देखें। सुरक्षा प्रश्नावली और बिक्री चक्र गाइड दिखाता है कि प्रमाणित आर्किटेक्चर खरीद समयरेखाओं को कैसे छोटा करता है।