Vandamál kannananna
Smá hugbúnaðarfyrirtæki tapa stórfyrirtækjasamningum hvern fjórðung. Ástæðan er sjaldan varan. Það er pappírsvinnulagið.
Stórfyrirtækjakaupendur senda langar öryggiskannanir. Dæmigerð eyðublað hefur 150 spurningar. Það spyr um formlegar áhættumat, breytingastjórnun og fyrri endurskoðunarskrár. Flest smá teymi hafa enga sérnæman öryggisfulltrúa. Hvert eyðublað tekur 40-80 klukkustundir að fylla út. Þetta er tími tekinn frá vöruþróun og þjónustu við viðskiptavini.
Hugbúnaðurinn er oft ekki óöruggur. Teymið getur bara ekki sannað það nógu hratt.
ISO 27001-vottun lagar þetta. Vottunin og yfirlýsing um gildissvið svara mestu því sem 150-spurninga eyðublað spyr um. Vottaður birgir endurbyggir ekki sönnunarskrána fyrir hverja nýja samningsskiptingu. Vottunin er sönnunarskráin.
Gildið flæðir niður keðjuna
ISO 27001-gildið stöðvast ekki hjá fyrsta kaupandanum. Það flæðir niður birgðakeðjuna.
Tekum lögfræðitækniræsifyrirtæki sem notar vottað nafnleyngjatæki fyrir PII-vinnslu. Þetta ræsifyrirtæki hefur eigin stórfyrirtækjaviðskiptavini. Þeir viðskiptavinir spyrja: "Hvaða vottanir hefur PII-tækið þitt?" Ræsifyrirtækið tekur með ISO 27001-vottun nafnleyngjatækisins í svarið. Öryggishópur stórfyrirtækisins fer yfir hana og lokar matsspurningunni.
Ræsifyrirtækið endurskoðaði ekki tækið sjálft. Vottunin gerði þá vinnu. Einn vottaður birgir dregur úr reglufylgnibyrðinni fyrir hvert fyrirtæki ofan þess í keðjunni.
Kostnaður og ávöxtun
Upphafleg ISO 27001-endurskoðun kostar 15.000-50.000 evra. Árlegar endurskoðanir bæta við frekari kostnað. Fyrir birgja á eftirlitsskyldum markaði greiðist þessi fjárfesting oft upp á fyrstu tveimur eða þremur lokuðum stórfyrirtækjasamningum -- samningum sem hefðu stöðnast án vottunarinnar.
Stórfyrirtækjakaupendur fá líka gott í skiptum. Þeir spara tíma við matsvinnuna. Þeir fá óháða sönnun frekar en sjálftilkynntar fullyrðingar. Þeir geta sýnt eigin endurskoðendum að birgðakeðja þeirra hefur skjalfstar öryggisráðstafanir.
Vottun breytir endurteknum kostnaði á hverja samningsskiptingu í einstaka fjárfestingu. Hvert nýtt stórfyrirtækistilboð fær sama stutta svarið: hér er vottunin, hér er sá sem gaf hana út, hér er dagsetningin.
Sjá DORA ICT-birgðastjórnun og ISO 27001-leiðbeiningar okkar fyrir reglusetningarskoðun á birgðakeðjuvottun. Stórfyrirtækja PII-reglufylgni á ræsifyrirtækjafjárhagsáætlun okkar ná yfir víðara reglufylgnistafla fyrir minni teymi. Öryggiskönnun og söluferla-leiðbeiningarnar sýna hvernig vottaður arkitektúr styttir innkaupaferlið.