Att bekräfta att dina leverantörer följer ISO 27001-standarderna är avgörande för att skydda dina data. Bekräfta deras certifiering för att säkra dina känsliga uppgifter.
Säkerhet och integritet är ledord i den moderna eran. Med varje nytt uppmärksammat intrång och med ökningen av dataskyddslagarna globalt sett är det upp till varje företag och organisation att visa att de vidtar rimliga åtgärder för att skydda den personliga information de använder. Här spelar säkerhetsstandarder som ISO 27001 en viktig roll.
Vad är ISO 27001-certifiering?
ISO 27001 är ett sätt för dig att visa att du har analyserat din verksamhet, identifierat risker, vidtagit åtgärder för att minimera sannolikheten för och/eller effekterna av dessa risker och att du sedan har låtit en oberoende extern part kontrollera att allt du gör är rimligt. Eftersom denna kontroll sker varje år är det ett fortlöpande åtagande om efterlevnad.
När du väljer leverantörer, oavsett om det är en outsourcingleverantör som hanterar ditt pappersarbete eller en SaaS-leverantör som hanterar dina information i molnet, eller någon annan tjänst där du kommer att förlita dig på deras säkerhetsstandarder för att skydda dina uppgifter och ditt rykte, är ISO 27001 en värdefull certifiering. Men hur kan du vara säker på att det företag som du har en giltig certifiering?
ISO 27001-efterlevnad vs. ISO 27001-certifiering
Det första du bör göra är att be om en kopia av ISO-certifikatet. Det är vanligt att hitta leverantörer som stolt hävdar att de är "anpassade till ISO 27001", men tänk efter vad detta innebär. Anpassad och certifierad är mycket olika saker. Om ett företag gör allt det hårda arbetet för att "anpassa sig" till ISO-standarden, varför inte ta det sista steget och bli certifierad? Eller har de tidigare varit certifierade och fått sin certifiering upphävd på grund av att de inte uppfyllde kraven?
Tillämpningsområdet för ISO 27001-standarden
När du har fått certifikatet är nästa sak att kontrollera att det är giltigt och att det täcker de områden som du tänker använda leverantören för. Det första steget är alltså att kontrollera certifikatets utgångsdatum. Om det har gått ut är det inte giltigt. Kontrollera därefter att det organ som utfärdat certifikatet är ackrediterat. I IAF:s medlemsförteckning dokumenterar tydligt vem som är behörig att ackreditera certifieringsorgan. I Storbritannien är det till exempel UKAS. Kontrollera sedan att det organ som har ackrediterat säljarens certifikat finns med på det specifika landets webbplats.
Vi vet nu att certifikatet är giltigt, men vi är inte klara än. Därefter måste vi kontrollera att certifikatet täcker aktiviteter som vi vill att leverantören ska utföra på de platser där arbetet ska utföras. äga rum. ISO 27001 gör det möjligt för dig att välja vad du vill bli certifierad för och och vilka specifika platser som det gäller. Detta är certifieringens omfattning.
Låt oss till exempel säga att ett företag som arbetar med säker hantering av pappersarbete expanderar sin verksamhet till en ny plats. Företaget har en ISO-certifiering för sin ursprungliga anläggning. Certifieringen omfattar inte den nya anläggningen förrän certifieringsprocessen för den är avslutad. Nu kan en certifiering omfatta flera anläggningar, men bara om det uttryckligen anges. Eller vad händer om samma företag bestämmer sig för att köpa en SaaS-leverantör av löner? ISO-certifikatet gäller endast för säker hantering av pappersarbete, det täcker inte SaaS-verksamheten.
Slutligen, när du är övertygad om att certifikatet täcker den omfattning som du behöver, måste du kontrollera de kontroller som leverantören har infört för att se till att de uppfyller dina krav och förväntningar. ISO-certifiering är en pågående och utvecklande process. I takt med att riskernas natur och kundernas krav förändras, gör även kontrollerna det. Kontrollera därför leverantören. kontroller, om de inte uppfyller dina krav, insistera då på att ytterligare kontroller införs. Detta kommer att ge dig den sinnesro du behöver, samtidigt som du samtidigt som det gör det lättare för leverantören att återcertifiera sig, eftersom de kan visa att de aktivt utvärderar och uppdaterar de kontroller de använder dem vid behov.
Hur du väljer leverantörer och utvärderar dem är en viktig aspekt för att upprätthålla din egen ISO 27001-certifiering, så kom ihåg dessa tre steg:
Kontrollera först att leverantörens certifikat är giltigt.
För det andra - kontrollera att tillämpningsområdet är tillämpligt.
Slutligen - kontrollera att kontrollerna uppfyller dina behov och förväntningar.
MetaCompliance är stolt över att vara ISO 27001-kompatibelt. På MetaCompliance har vi alltid strävat efter att förse våra kunder med den starkaste infrastrukturen för informationssäkerhet. Denna certifiering garanterar att våra produkter är inställda på de högsta standarderna via godkända och dokumenterade processer och att vi är engagerade i den högsta standarden för informationssäkerhet. Kontakta oss för mer information.