Vendor risk checklist: co chtít od klíčových dodavatelů
Dodavatelský risk management není jen tabulka kontaktů. Pokud dodavatel pracuje s daty, identitami nebo provozem, potřebujete vědět, co dodává, jaké má riziko a kdy naposledy doložil bezpečnostní stav.
Autor: Marco Zoratto, zakladatel Splnit.eu
Které dodavatele řešit jako první
Začněte dodavateli, kteří mají přístup k osobním údajům, produkčním systémům, identitám, logům nebo službám důležitým pro provoz zákazníků. U malých týmů je lepší mít deset dobře zmapovaných kritických dodavatelů než padesát neaktuálních záznamů.
U každého dodavatele určete vlastníka ve firmě, typ přístupu, data nebo službu, kterou ovlivňuje, a dopad výpadku nebo incidentu.
- cloud, hosting, identity provider a monitoring
- CRM, support, účetnictví a marketingové nástroje
- externí vývoj, IT správa a bezpečnostní služby
- dodavatelé, které pravidelně zmiňujete v tendrech nebo DPA
Jaké důkazy chtít
Ne každý dodavatel musí posílat stejný balík dokumentů. U nízkého rizika může stačit bezpečnostní stránka a DPA. U vyššího rizika chtějte certifikace, popis incident response, subdodavatele, umístění dat a kontakty pro bezpečnostní incident.
Důležité je uchovat nejen dokument, ale i datum kontroly, výsledek, výjimky a další termín revize. Bez toho vendor review rychle zestárne.
Jak to napojit na NIS2 a GDPR
NIS2 tlačí na řízení rizik v dodavatelském řetězci, GDPR na zpracovatele a přenosy dat. Praktická evidence by proto měla umět ukázat obojí: provozní riziko dodavatele i právní vztah ke zpracování osobních údajů.
Související přehled předpisu
Otevřít přehled: NIS2 →Převést dodavatele na pravidelné kontroly
Splnit.eu pomáhá vést dodavatele, jejich rizika, smluvní podklady a bezpečnostní důkazy jako opakovatelný proces místo jednorázového dotazníku.
Otevřít NIS2 přehled