Problem infrastruktury dokumentacyjnej
Małe i średnie organizacje poszukujące klientów korporacyjnych stają w obliczu asymetrycznego obciążenia oceną bezpieczeństwa. Zespoły zakupowe przedsiębiorstw wysyłają 150-pytaniowy kwestionariusz bezpieczeństwa zaprojektowany dla organizacji z dedykowanymi zespołami ds. bezpieczeństwa, formalnymi programami ISMS i wieloletnimi historiami audytów. Wiele z tych pytań — dotyczących formalnych procesów zarządzania zmianami, udokumentowanych ocen ryzyka, programów ryzyka dostawców — opisuje dojrzałe programy bezpieczeństwa, których większość małych organizacji nie posiada.
Wynik: wiele możliwości zakupowych dla przedsiębiorstw jest traconych nie dlatego, że produkt dostawcy jest niebezpieczny, ale dlatego, że dostawca nie ma infrastruktury dokumentacyjnej, aby udowodnić swoją postawę bezpieczeństwa. 40–80 godzin wymaganych na kwestionariusz dla przedsiębiorstw (bez certyfikacji) stanowi znaczący koszt utraconej możliwości dla małych zespołów — czas poświęcony na rozwój produktu, wsparcie klientów i operacje biznesowe.
Certyfikacja ISO 27001 rozwiązuje tę asymetrię, zapewniając niezależną dokumentację postawy bezpieczeństwa. Certyfikat, Oświadczenie o zastosowaniu i podsumowanie mapowania kontroli zastępują większość 150-pytaniowego kwestionariusza. Zespół ds. bezpieczeństwa dostawcy nie musi odbudowywać pakietu dowodowego dla każdego klienta korporacyjnego — certyfikacja jest pakietem dowodowym.
Przepływ certyfikacji w dół
Wartość zgodności certyfikacji ISO 27001 w łańcuchu dostaw technologii przepływa w dół. Kiedy startup technologii prawnej korzysta z certyfikowanego narzędzia do anonimizacji do przetwarzania PII, ten startup może uwzględnić certyfikację narzędzia w swojej dokumentacji bezpieczeństwa dostawcy, odpowiadając na kwestionariusze bezpieczeństwa klientów korporacyjnych.
Klient korporacyjny startupu pyta: "Jakie certyfikaty bezpieczeństwa ma Twój dostawca przetwarzania PII?" Startup dołącza certyfikat ISO 27001 narzędzia do anonimizacji do swojego pakietu dokumentacji dostawcy. Zespół ds. bezpieczeństwa klienta korporacyjnego przegląda certyfikat, mapuje go do swoich wymagań dotyczących ryzyka zewnętrznego i zamyka element oceny dostawcy. Startup nie musiał przeprowadzać własnej oceny bezpieczeństwa narzędzia PII; polegał na niezależnej certyfikacji narzędzia.
Ta wartość w dół oznacza, że certyfikacja ISO 27001 w narzędziu do przetwarzania danych przynosi korzyści nie tylko bezpośrednim klientom korporacyjnym narzędzia, ale także klientom klientów narzędzia — całemu łańcuchowi dostaw w dół.
Koszt i korzyści certyfikacji
Certyfikacja ISO 27001 zazwyczaj kosztuje od 15 000 do 50 000 € za początkowy audyt certyfikacyjny, plus bieżące koszty nadzoru (coroczne audyty). Dla dostawcy obsługującego klientów korporacyjnych w regulowanych branżach certyfikacja zazwyczaj zwraca się w pierwszych kilku zamkniętych transakcjach z przedsiębiorstwami — transakcjach, które zostałyby utracone bez certyfikacji.
Dla klientów korporacyjnych wybierających certyfikowane narzędzia korzyść jest wzajemna: zmniejszone koszty due diligence (oszczędności godzin na ocenie dostawcy), zmniejszone ryzyko audytu (niezależna weryfikacja zamiast samodzielnego poświadczenia) oraz udokumentowane bezpieczeństwo łańcucha dostaw dla ich własnych wymagań audytowych.
Źródła: