Problem vprasalnikov
Majhna programska podjetja vsako cetrtletje izgubijo posle z velikimi podjetji. Razlog redko tici v izdelku. Tici v papirnem delu.
Kupci iz velikih podjetij posiljajo dolge varnostne vprasalnike. Tipicen obrazec ima 150 vprasanj. Sprasuje o formalnih ocenah tveganj, upravljanju sprememb in preteklih revizijskih zapisih. Vecina majhnih ekip nima namenskega varnostnega osebja. Vsak obrazec zahteva 40 do 80 ur izpolnjevanja. To je cas, odvzet od razvoja izdelkov in podpore strankam.
Programska oprema pogosto ni nevarna. Ekipa je enostavno ne more dovolj hitro dokazati.
Certifikacija ISO 27001 to resi. Certifikat in njegova Izjava o primernosti odgovorita na vecino tistega, kar vprasalnik s 150 vprasanji sprasa. Certificirani dobavitelj ne gradi datoteke z dokazi za vsak nov posel. Certifikat je datoteka z dokazi.
Vrednost tece po verigi navzdol
Vrednost ISO 27001 se ne ustavi pri prvem kupcu. Premika se po dobaviteljski verigi navzdol.
Vzemite pravnotehnolosko zagonsko podjetje, ki za delo s PII uporablja certificirano orodje za anonimizacijo. To zagonsko podjetje ima svoje lastne stranke iz velikih podjetij. Te stranke vprasajo: "Katere certifikate ima vase orodje za PII?" Zagonsko podjetje v odgovor vkljuci certifikat ISO 27001 orodja za anonimizacijo. Varnostna ekipa velikega podjetja ga pregleda in zakljuci ocenjevalno tocko.
Zagonsko podjetje orodja ni revidiralo samo. To je storil certifikat. En certificirani dobavitelj zmanjsa breme skladnosti za vsako podjetje nad njim v verigi.
Stroski in donosi
Zacetna revizija ISO 27001 stane med 15.000 in 50.000 EUR. Letni pregled doda nadaljnje stroske. Za dobavitelja na reguliranem trgu se ta nalozba pogosto povrne ze pri prvih dveh ali treh sklenjenih poslih z velikimi podjetji - poslih, ki bi brez certifikata zastali.
Kupci iz velikih podjetij prav tako pridobijo. Prihranijo cas pri ocenjevalnem delu. Dobijo neodvisne dokaze namesto samoprijavljenih trditev. Svojim lastnim revizorjem lahko pokazejo, da je njihova dobaviteljska veriga dokumentirala varnostne kontrole.
Certifikacija pretvori ponavljajoci se strosek na posel v enkratno nalozbo. Vsak nov potencialni kupec iz velikega podjetja dobi isti kratek odgovor: tukaj je certifikat, tukaj je, kdo ga je izdal, tukaj je datum.
Oglejte si nas vodic o upravljanju ICT dobaviteljev DORA in ISO 27001 za regulativni vidik certifikacije v dobaviteljski verigi. Nas vodic o skladnosti PII za velika podjetja pri proracunu zagonskega podjetja pokriva sirsji sklad skladnosti za manjse ekipe. Vodic po varnostnih vprasalnikih in prodajnih ciklih prikazuje, kako certificirana arhitektura krci nabavne roke.