Khoảng trống chứng nhận trong lựa chọn nhà cung cấp
Các nhóm bảo mật doanh nghiệp thẩm định hàng chục nhà cung cấp mỗi năm. Họ cần bộ lọc nhanh. Chứng nhận ISO 27001 cung cấp điều đó. Kiểm toán viên đã xem xét các kiểm soát của nhà cung cấp. Điều này giúp nhóm nội bộ tiết kiệm công việc mà họ sẽ phải tự thực hiện.
Các nhà cung cấp không có chứng nhận này phải xây dựng lập luận trong mỗi cuộc đàm phán giao dịch. Điều này tốn thời gian của cả hai phía. Thời gian thẩm định kéo dài và nguy cơ thất bại trong xem xét tăng lên.
Những gì tiêu chuẩn hiện tại bao gồm
Phụ lục A của phiên bản hiện tại có 93 kiểm soát trong bốn nhóm: tổ chức, nhân sự, vật lý và công nghệ. Các nhóm tập trung vào một số lĩnh vực chính.
Kiểm soát mật mã (Phụ lục A 8.24): Nhà cung cấp phải xác định các quy tắc sử dụng khóa. Các quy tắc này bao gồm cách tạo, lưu trữ, truy cập và xóa khóa. Chứng nhận chứng minh kiểm toán viên đã xác nhận chính sách này là hoạt động.
Kiểm soát truy cập (Phụ lục A 8.2–8.5): Quyền truy cập của nhân viên vào dữ liệu khách hàng phải tuân theo nguyên tắc đặc quyền tối thiểu. Chứng nhận chứng minh các hạn chế này được ghi lại và thực thi.
Quan hệ nhà cung cấp (Phụ lục A 5.19–5.22): Nhà cung cấp phải ghi lại các quy tắc bảo mật cho nhà thầu phụ của chính họ. Điều này quan trọng khi khách hàng phải chứng minh bảo mật của chuỗi cung ứng nhà cung cấp của họ.
Chứng nhận xác nhận rằng các kiểm soát quy trình và tổ chức đang có hiệu lực. Nó giới hạn quá trình thẩm định riêng cho một tập nhỏ hơn các câu hỏi kiến trúc mà tiêu chuẩn không giải quyết.
Câu hỏi mà chứng nhận không trả lời
Tiêu chuẩn trả lời các câu hỏi quy trình. Nó không trả lời điều mà các công ty được quản lý quan tâm nhất: nhà cung cấp có thể đọc dữ liệu của chúng tôi không?
Một nhà cung cấp được chứng nhận vẫn có thể giữ khóa phía máy chủ. Chứng nhận xác nhận quản lý khóa tuân theo chính sách. Nó không xác nhận rằng chính sách đó chặn quyền truy cập của nhà cung cấp vào văn bản thuần.
Kiến trúc zero-knowledge trả lời những gì tiêu chuẩn để ngỏ. Các khóa được tạo ở phía máy khách. Không có khóa nào trên máy chủ. Dữ liệu được mã hóa bằng AES-256-GCM trước khi rời máy khách. Nhà cung cấp không thể đọc dữ liệu khách hàng. Đây là thực tế cấu trúc, không phải lựa chọn chính sách.
Điều này bao gồm hai khía cạnh riêng biệt. Chứng nhận đáp ứng các yêu cầu quy trình và tổ chức trong biểu mẫu mua sắm. Kiến trúc zero-knowledge đáp ứng khía cạnh truy cập dữ liệu mà các công ty được quản lý đánh giá cao nhất. Cùng nhau, chúng vượt qua hai rào cản chính để phê duyệt nhà cung cấp đám mây trong y tế, tài chính và pháp lý.
Xem cách kiến trúc zero-knowledge trả lời bảng câu hỏi bảo mật và xem xét tổng quan bảo mật và tuân thủ.
Tác động đến thời gian thẩm định
Thẩm định nhà cung cấp trong thị trường được quản lý mất thời gian. Bao gồm công việc bảng câu hỏi, xem xét tài liệu, thẩm định kiến trúc và thường có cuộc gọi với nhóm bảo mật.
Chứng nhận rút ngắn việc xem xét tài liệu. Chứng chỉ và Tuyên bố về Khả năng Áp dụng đóng vai trò bằng chứng. Kiểm toán viên đã xem xét các kiểm soát. Nhóm mua sắm không cần lặp lại công việc đó.
Kiến trúc zero-knowledge rút ngắn thẩm định kiến trúc. Câu hỏi truy cập dữ liệu có câu trả lời cấu trúc rõ ràng. Không có gì để đàm phán ngoài kiến trúc chính nó.
Cả hai yếu tố đều làm giảm số lượng trao đổi kéo dài các đợt thẩm định nhà cung cấp. Các nhóm tiến lên nhanh hơn khi những câu hỏi khó nhận được câu trả lời trực tiếp trong lần nộp đầu tiên. Ít vòng hơn có nghĩa là ít chậm trễ hơn.
Đối với nhà cung cấp trong thị trường được quản lý, điều này tác động đến mọi cuộc đàm phán giao dịch. Thời gian thẩm định ngắn hơn có nghĩa là chu kỳ bán hàng ngắn hơn. Với quy mô các giao dịch doanh nghiệp, sự khác biệt này tích lũy nhanh chóng. Các nhà cung cấp có thể trả lời những câu hỏi khó nhất ngay trong ngày đầu tiên gặp ít ma sát hơn trong toàn bộ quy trình.
Đối với khách hàng doanh nghiệp, sự kết hợp này có nghĩa là tư thế bảo mật mạnh hơn. Nhà cung cấp không thể đọc dữ liệu khách hàng và có các kiểm soát tổ chức được kiểm toán cung cấp bằng chứng rõ ràng về cam kết bảo mật. Xem thêm tại trung tâm FAQ.