Ocena bezpieczeństwa dostawców

Ocena bezpieczeństwa dostawców
Jak skutecznie wdrożyć procesy oceny bezpieczeństwa dostawców oraz jak
zapewnić odpowiedni poziom dostępności usług zewnętrznych?
Kongres Bezpieczeństwa Sieci
Warszawa, 1 marca 2016
IS Classification: PUBLIC
Andrzej Sobczak
2014 - Senior Assurance Analyst EMEA
2015 - Corporate Security Services Middle East Africa
CISA
ISO27001 LA
ISO22301 LA
Ocena bezpieczeństwa dostawców
Jak skutecznie wdrożyć procesy oceny bezpieczeństwa dostawców oraz
jak zapewnić odpowiedni poziom dostępności usług zewnętrznych?
Dlaczego? Co? Jak? Jak to się udało? Co dalej?
Dlaczego?

Ochrona klientów i pracowników

Zagrożenia

Wymagania regulacyjne
Ocena dostawców

The Supply Chain Services Third Party Assurance team (SCS
Assurance) perform Assurance Reviews at our most critical third party
suppliers to ensure the confidentiality and integrity of RBS data is
maintained and critical services have appropriate resilience.

Ocena zapewnienia Poufności, Integralności i Dostępności informacji

Ocena zapewnienia ciągłości działania

Ocena systemu zarządzania bezpieczeństwem i ciągłością działania
Proces
SIA – Service Impact Assesment

Wymagane przed podpisaniem kontraktu na usługę

Wymagane do wykonania płatności

Cele:
Ocena
PID, BC
Klasyfikacja
kontraktu (ryzyko, tier)
Wymagania
kontraktowe

Około 5000 rocznie

Około 1600 wymaga oceny konsultanta
SIA – Service Impact Assesment
SIA w liczbach
Liczba 'autoapproved' SIA
Liczba 'approved' SIA
4,000
3,500
3,000
UK
EMEA
A&A
2,500
2,000
1,500
1,000
500
0
2014
2015
A&A
EMEA
UK
UK
EMEA
A&A
Auto
Process
1,800
1,600
1,400
1,200
1,000
800
600
400
200
0
UK
EMEA
A&A
2014
2015
SIA – i co dalej

Ocena CIA (PID)

Ocena BC

Tier kontraktu

Wymagane klauzule umowy
Bezieczeństwo
fizyczne
Bezpieczeństwo
Zarządzaie
Przepisy
PES
.....i
płatności
danymi
BHP
– ocena pracowników
wiele innych
Przeglądy

Full on-site - raz na 3 lata, budżet 10 rd
Szczegółowy
Wizyta
w miejscu świadczenia usługi
Zbieranie

kwestionariusz
dowodów audytowych
Revalidation - co roku, budżet 3 rd
Krótki
kwestionariusz
Telekonferencja

Refresh - zależnie od potrzeb

Termination review – na zakończneie współpracy
Analiza
ryzyka
Certyfikat
zniszczenia informacji
Przeglądy

2015 roku 728 przeglądów, 50/50 on-site i desk-based

Zespół PL zrealizował 46 on-site i 146 desk-based
450
400
350
300
250
On-site
Desk-based
200
150
100
50
0
Americas
India
APAC
EMEA
UK&I
Narzędzia

SIA

Baza dostawców

Assurance Tracker

Dokumentacja audytów

Rejestr Ryzyk
Przeszkody

Brak narzędzi
SIA
Narzędzia
audytowe
Proces

Zmiany w wymaganiach i apetycie na ryzyko

Ludzie – konsultanci oraz interesariusze

Opór dostawców

Podział odpowiedzialności

Różnice w wymaganiach regulacyjnych

Identyfikacja dostawców kluczowych (legacy)

Bariera językowa