Problém s dotazníkmi
Male softverové spolocnosti strácaju podnikové obchody kazde stvrtroky. Dôvodom je zriedkavo produkt. Je to papierovacka.
Podnikoví kupujúci posielajú dlhé bezpecnostné dotazníky. Typicky formulár má 150 otázok. Pyta sa na formálne hodnotenia rizík, riadenie zmien a záznamy z minulych auditov. Vacsina malych tímov nemá vyhradeny bezpecnostny personál. Kazdy formulár trvá 40 az 80 hodín na vyplnenie. To je cas odcerpany od vyvoja produktov a zákazníckej podpory.
Softvér casto nie je nebezpecny. Tim to len nemoze dostatocne rychlo preukázat.
Certifikácia ISO 27001 toto riesí. Certifikát a jeho Vyhlásenie o aplikovatelnosti odpovedajú na väcsinu toho, co formulár s 150 otázkami pyta. Certifikovany dodávatel nezostavuje znova dôkazovy spis pre kazdu novú dohodu. Certifikát je tym dôkazovym spisom.
Hodnota plynie dolu retazcom
Hodnota ISO 27001 sa nezastaví pri prvom kupujúcom. Presúva sa dolu dodávatelskym retazcom.
Vezmite si právnicky startup, ktory pouzíva certifikovany anonymizacny nastroj pre prácu s PII. Tento startup má vlastnych podnikových zákazníkov. Tí zákazníci sa pytajú: "Ake certifikácie má váš nastroj PII?" Startup zahrnuje certifikát ISO 27001 anonymizacneho nastroja do svojej odpovede. Podnikový bezpecnostny tím ho prehlada a uzavrie polozku hodnotenia.
Startup nerevidoval nastroj sám. Certifikát vykonal túto prácu. Jeden certifikovany dodávatel znizuje zátal kompliancii pre kazdy podnik nad nim v retazci.
Náklady a návratnost
Pociatocny audit ISO 27001 stojí 15 000 az 50 000 eur. Rocná kontrola pridáva dalsie náklady. Pre dodávatela na regulovanom trhu sa táto investícia casto vráti pri prvych dvoch alebo troch uzavretych podnikovych obchodoch - obchodoch, ktore by bez certifikátu uviazli.
Podnikoví kupujúci tiez ziskávajú. Setrí cas na hodnotiacej práci. Dostávajú nezávislé dôkazy namiesto samohlásených tvrdení. Môzu ukázat vlastnym audítorom, ze ich dodávatelsky retazec má zdokumentovane bezpecnostne kontroly.
Certifikácia premena opakujúce sa náklady na obchod na jednorazovú investíciu. Kazdy novy podnikový záujemca dostane rovnakú krátku odpoved: tu je certifikát, tu je kto ho vydal, tu je dátum.
Pozrite nás sprievodca riadením ICT dodávatelov DORA a ISO 27001 pre regulacny pohlaad na certifikáciu dodávatelského retazca. Nás sprievodca kompliancou PII pre podniky na startupovom rozpocte pokrýva siroky kompliancny balík pre mensie tímy. Sprievodca bezpecnostnym dotazníkom a predajnym cyklom ukazuje, ako certifikovana architektúra skracuje obstarávanie.