SIS CERT HƯỚNG DẪN QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO TIÊU CHUẨN ISO 27001

SƠ LƯỢC VỀ QUẢN LÝ MỐI QUAN HỆ NHÀ CUNG ỨNG THEO ISO 27001

ISO 27001 Kiểm soát mục tiêu chính của mối quan hệ với Nhà cung cấp là cải thiện các quy trình kinh doanh giữa bạn và các nhà cung cấp của bạn. Bằng cách tạo ra một cách tiếp cận hợp lý, bạn cải thiện hiệu quả cho cả doanh nghiệp và nhà cung cấp của bạn. Đây là điều khoản rất quan trọng nếu bạn đang muốn đạt được chứng chỉ ISO 27001: 2013

Các nhà cung cấp được sử dụng vì hai lý do chính; một: bạn muốn họ làm công việc mà bạn đã chọn không làm trong nội bộ bản thân, hoặc; hai: bạn không thể dễ dàng thực hiện công việc cũng như hiệu quả về chi phí như các nhà cung cấp.

Có nhiều điều quan trọng cần xem xét trong cách tiếp cận lựa chọn và quản lý nhà cung cấp nhưng một quy mô không phù hợp với tất cả và một số nhà cung cấp sẽ quan trọng hơn những nhà cung cấp khác. Do đó, các biện pháp kiểm soát và chính sách của bạn cũng phải phản ánh điều đó và việc phân đoạn chuỗi cung ứng là hợp lý; chúng tôi ủng hộ bốn loại nhà cung cấp dựa trên giá trị và rủi ro trong mối quan hệ. Những người này bao gồm từ những người quan trọng trong kinh doanh cho đến các nhà cung cấp khác, những người không có ảnh hưởng quan trọng đến tổ chức của bạn.

Một số nhà cung cấp cũng mạnh mẽ hơn khách hàng của họ vì vậy việc có các biện pháp kiểm soát và chính sách mà các nhà cung cấp sẽ không tuân thủ sẽ là vô nghĩa  . Do đó, việc phụ thuộc vào các chính sách, kiểm soát và thỏa thuận tiêu chuẩn của họ có nhiều khả năng hơn – nghĩa là việc lựa chọn nhà cung cấp và quản lý rủi ro càng trở nên quan trọng hơn.

Để có cách tiếp cận thuận lợi hơn đối với bảo mật thông tin trong chuỗi cung ứng với các nhà cung cấp chiến lược hơn (giá trị cao / rủi ro cao hơn), các tổ chức cũng nên tránh các thực hành chuyển giao rủi ro ‘tuân thủ hoặc chết’ nhị phân, ví dụ như các hợp đồng tồi tệ ngăn cản sự hợp tác tốt. Thay vào đó, chúng tôi khuyên họ nên phát triển các mối quan hệ làm việc chặt chẽ hơn với những nhà cung cấp mà thông tin và tài sản có giá trị cao đang gặp rủi ro hoặc họ đang thêm vào tài sản thông tin của bạn theo một cách nào đó (tích cực). Điều này có khả năng dẫn đến cải thiện các mối quan hệ công việc và do đó cũng mang lại kết quả kinh doanh tốt hơn.

Một chính sách tốt mô tả việc phân khúc, lựa chọn, quản lý, rút lui của nhà cung cấp, cách các tài sản thông tin xung quanh nhà cung cấp được kiểm soát để giảm thiểu rủi ro liên quan, nhưng vẫn cho phép đạt được các mục tiêu và mục tiêu kinh doanh. Các tổ chức thông minh sẽ đưa chính sách bảo mật thông tin của họ cho các nhà cung cấp vào một khuôn khổ quan hệ rộng lớn hơn và tránh chỉ tập trung vào bảo mật mà còn xem xét các khía cạnh khác.

TẠI SAO PHẢI QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO ISO 27001

Mục tiêu đầu tiên trong danh mục này là bảo vệ tài sản có thể được tiếp cận bởi các nhà cung cấp. Để thực hiện điều này, các yêu cầu về bảo mật thông tin nhằm giảm thiểu rủi ro liên quan đến việc nhà cung cấp có quyền truy cập vào tài sản phải được ghi chép đầy đủ trong chính sách quản lý nhà cung cấp.  

Do đó, các thỏa thuận chính thức cũng phải được thiết lập và thực hiện với từng nhà cung cấp, bao gồm tất cả các yêu cầu liên quan, như đã lưu ý trong chính sách quản lý nhà cung cấp.  

Các thỏa thuận chính thức này phải bao gồm việc giải quyết các rủi ro an toàn thông tin liên quan đến các dịch vụ công nghệ thông tin và truyền thông và chuỗi cung ứng. 

Mục tiêu thứ hai là duy trì mức độ bảo mật thông tin và cung cấp dịch vụ đã thỏa thuận, phù hợp với các thỏa thuận của nhà cung cấp.  

Để đạt được điều này, các nhà cung cấp phải thường xuyên được theo dõi, xem xét và trong một số trường hợp phải được kiểm toán.  

Các thay đổi đối với dịch vụ của nhà cung cấp cũng cần được quản lý như việc duy trì và cải thiện các chính sách, thủ tục và kiểm soát an toàn thông tin hiện có; xem xét mức độ quan trọng của thông tin kinh doanh, hệ thống, các quá trình liên quan và đánh giá lại rủi ro.  

NỘI DUNG CẦN PHẢI CÓ TRONG QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO ISO 27001

Các cuộc kiểm tra này phải giải quyết các quy trình và thủ tục của tổ chức cũng như các quá trình và thủ tục mà tổ chức phải tuân thủ, bao gồm các điểm sau: 

1. Nhận dạng và báo cáo các hình thức nhà cung cấp, ví dụ như dịch vụ CNTT, dịch vụ hậu cần, dịch vụ tài chính, các thành phần cơ sở hạ tầng CNTT mà tổ chức có thể truy cập được;
2. khuôn khổ và vòng đời quản lý mối quan hệ nhà cung cấp được tiêu chuẩn hóa;
3. Xác định các loại quyền truy cập thông tin được cho phép bởi các loại nhà cung cấp khác nhau và giám sát và kiểm soát việc truy cập;
4. Các tiêu chuẩn bảo vệ thông tin tối thiểu cho bất kỳ loại thông tin nào và phương pháp truy cập để cung cấp cơ sở cho từng thỏa thuận với nhà cung cấp dựa trên nhu cầu và yêu cầu kinh doanh và hồ sơ rủi ro của tổ chức;
5. Các quy trình và thủ tục để giám sát sự tuân thủ, bao gồm đánh giá của bên thứ ba và xác nhận sản phẩm, với các tiêu chuẩn bảo mật thông tin được xác định cho bất kỳ loại nhà cung cấp và loại hình truy cập nào;
6. Kiểm soát tính chính xác và đầy đủ của thông tin và việc truyền tải thông tin được nhận bởi bất kỳ bên nào để đảm bảo chất lượng của thông tin;
7. Các loại nghĩa vụ áp dụng cho các nhà cung cấp để bảo vệ thông tin của tổ chức;
8. Xử lý các sự kiện kiểm soát của khách hàng và các trường hợp dự phòng, bao gồm cả trách nhiệm của công ty và khách hàng;
9. Khả năng phục hồi và, nếu cần, các kế hoạch phục hồi và dự phòng để đảm bảo sự sẵn có của tất cả các bên về thông tin hoặc quá trình xử lý;
10. Đào tạo nâng cao nhận thức về các chính sách, quy trình và thủ tục áp dụng cho các nhân viên của tổ chức liên quan đến hoạt động mua lại;
11. Đào tạo nhận thức về cách nhân viên của tổ chức tương tác với nhân viên của nhà cung cấp về các quy tắc tham gia và hành vi thích hợp dựa trên loại hình nhà cung cấp và mức độ tiếp cận của nhà cung cấp đối với hệ thống và thông tin của tổ chức;
12. Các điều kiện để lập thành văn bản các yêu cầu về bảo mật thông tin và kiểm soát trong một thỏa thuận mà hai bên đã ký kết;
13. Quản lý và duy trì bảo mật thông tin trong giai đoạn chuyển tiếp của các thay đổi thông tin bắt buộc, xử lý thông tin và mọi thứ khác cần chuyển giao.

LÀM THẾ NÀO ĐỂ SOẠN THẢO CHÍNH SÁCH QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO ISO 27001

Quản lý mối quan hệ với nhà cung ứng  được đáp ứng theo quy trình “Quy định an toàn thông tin đối với các đối tác bên ngoài” của bộ tài liệu ISO 27001 bao gồm các nội dung sau:

Chính sách an ninh

1. Nhà cung cấp thiết bị liên quan đến an ninh thông tin
2. Phân loại chọn lựa ban đầu nhà cung cấp thiết bị

• Nhà cung cấp ngoài phải được chọn lựa và phê duyệt trước khi tiến hành công việc. Việc chọn lựa này phải được lập hồ sơ, xem xét và được sự đồng ý của ban giám đốc

• Nhà cung cấp thuộc nhóm có nguy cơ cao phải ký làm cam kết bảo mật trước khi thực hiện những công việc có liên quan đến truy cập, xử lý, lưu trữ, hoặc cung cấp thiết bị. Trong khi thực hiện công việc, nhà cung cấp phải được giám sát (ví dụ: sử dụng Camera)

• Các sự cố an ninh tiềm ẩn phải được báo cáo kịp thời để xử lý

• Khách hàng: (là những đối tác, quản lý các giao dịch, các script để chạy quảng cáo)
• Việc giao dịch với nhóm đối tác này chỉ được thực hiện thông qua đường truyền hoặc hệ thống riêng biệt mà những thiết bị truy cập vào đường truyền này không thể truy cập đến các tài nguyên nội bộ của công ty như các server, các máy tính trong mạng cũng như các máy in, máy fax.
• Quản lý kết nối với khách hàng dịch vụ SMS 1 hoặc 2 chiều: cung cấp tài  cho đối tác được bảo mật IP chỉ cho phép các IP đối tác khai báo được phép truy cập và gọi dịch vụ.
• Cá nhân bên ngoài tới công ty thực hiện công việc:
• Chỉ được làm việc tại khu vực khách hàng hoặc phòng họp. Không được lên khu vực làm việc của các bộ phận. Trường hợp cần lên khu vực làm việc phải có sự đồng ý của cấp quản lý
• Chỉ có thể sử dụng mạng không dây mà công ty cung cấp riêng. Hệ thống này thuộc 1 đường truyền riêng biệt mà những thiết bị truy cập vào đường truyền này không thể truy cập đến các tài nguyên nội bộ của công ty như các server, các máy tính trong mạng cũng như các máy in, máy fax

Quy trình mua hàng và kiểm soát nhà cung cấp

TRÁCH NHIỆM SOẠN THẢO PHÊ DUYỆT

Trách nhiệm soạn thảo chính sách quản lý mối quan hệ với nhà cung ứng theo ISO 27001 sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra. Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ

CHÍNH SÁCH QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO ISO 27001 ĐƯỢC ÁP DỤNG NHƯ THẾ NÀO?

Chính sách quản lý mối quan hệ với nhà cung ứng được viết trong Phụ lúc A.15  của bộ tài liệu ISO 27001: Tổ chức cần định nghĩa và áp dụng các quy trình quản lý mối quan hệ với nhà cung ứng, từ đó đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó.

TÓM LƯỢC KHẲNG ĐỊNH YÊU CẦU CỦA QUẢN LÝ MỐI QUAN HỆ VỚI NHÀ CUNG ỨNG THEO ISO 27001

Thông tin có thể bị rủi ro bởi các nhà cung cấp có quản lý an ninh thông tin không đầy đủ. Các biện pháp kiểm tra cần được xác định và áp dụng để quản lý các quyền truy cập của nhà cung cấp vào các phương tiện xử lý thông tin. Ví dụ, nếu có nhu cầu đặc biệt về tính bảo mật của thông tin, các thông tin thỏa thuận không có tiết lộ thông tin có thể được sử dụng. Một ví dụ khác là dữ liệu bảo vệ rủi ro khi thỏa thuận nhà cung cấp liên kết đến việc chuyển giao hoặc truy cập thông tin qua biên giới. Tổ chức cần biết trách nhiệm tổ chức hoặc hợp đồng về thông tin bảo vệ vẫn thuộc về tổ chức.

ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT

Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh

Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh

Hotline: 0918 991 146

Liên hệ nhân viên kinh doanh:

Mr. Nhất Duy: 0932 321 236

Ms. Quỳnh Như: 0827 796 518

Ms. Thu Thúy: 0774 416 158

Email: info@isosig.com; Website: www.isosig.com

Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất

Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…