Ocena bezpieczeństwa dostawców
Transkrypt
Ocena bezpieczeństwa dostawców
Ocena bezpieczeństwa dostawców Jak skutecznie wdrożyć procesy oceny bezpieczeństwa dostawców oraz jak zapewnić odpowiedni poziom dostępności usług zewnętrznych? Kongres Bezpieczeństwa Sieci Warszawa, 1 marca 2016 IS Classification: PUBLIC Andrzej Sobczak 2014 - Senior Assurance Analyst EMEA 2015 - Corporate Security Services Middle East Africa CISA ISO27001 LA ISO22301 LA Ocena bezpieczeństwa dostawców Jak skutecznie wdrożyć procesy oceny bezpieczeństwa dostawców oraz jak zapewnić odpowiedni poziom dostępności usług zewnętrznych? Dlaczego? Co? Jak? Jak to się udało? Co dalej? Dlaczego? Ochrona klientów i pracowników Zagrożenia Wymagania regulacyjne Ocena dostawców The Supply Chain Services Third Party Assurance team (SCS Assurance) perform Assurance Reviews at our most critical third party suppliers to ensure the confidentiality and integrity of RBS data is maintained and critical services have appropriate resilience. Ocena zapewnienia Poufności, Integralności i Dostępności informacji Ocena zapewnienia ciągłości działania Ocena systemu zarządzania bezpieczeństwem i ciągłością działania Proces SIA – Service Impact Assesment Wymagane przed podpisaniem kontraktu na usługę Wymagane do wykonania płatności Cele: Ocena PID, BC Klasyfikacja kontraktu (ryzyko, tier) Wymagania kontraktowe Około 5000 rocznie Około 1600 wymaga oceny konsultanta SIA – Service Impact Assesment SIA w liczbach Liczba 'autoapproved' SIA Liczba 'approved' SIA 4,000 3,500 3,000 UK EMEA A&A 2,500 2,000 1,500 1,000 500 0 2014 2015 A&A EMEA UK UK EMEA A&A Auto Process 1,800 1,600 1,400 1,200 1,000 800 600 400 200 0 UK EMEA A&A 2014 2015 SIA – i co dalej Ocena CIA (PID) Ocena BC Tier kontraktu Wymagane klauzule umowy Bezieczeństwo fizyczne Bezpieczeństwo Zarządzaie Przepisy PES .....i płatności danymi BHP – ocena pracowników wiele innych Przeglądy Full on-site - raz na 3 lata, budżet 10 rd Szczegółowy Wizyta w miejscu świadczenia usługi Zbieranie kwestionariusz dowodów audytowych Revalidation - co roku, budżet 3 rd Krótki kwestionariusz Telekonferencja Refresh - zależnie od potrzeb Termination review – na zakończneie współpracy Analiza ryzyka Certyfikat zniszczenia informacji Przeglądy 2015 roku 728 przeglądów, 50/50 on-site i desk-based Zespół PL zrealizował 46 on-site i 146 desk-based 450 400 350 300 250 On-site Desk-based 200 150 100 50 0 Americas India APAC EMEA UK&I Narzędzia SIA Baza dostawców Assurance Tracker Dokumentacja audytów Rejestr Ryzyk Przeszkody Brak narzędzi SIA Narzędzia audytowe Proces Zmiany w wymaganiach i apetycie na ryzyko Ludzie – konsultanci oraz interesariusze Opór dostawców Podział odpowiedzialności Różnice w wymaganiach regulacyjnych Identyfikacja dostawców kluczowych (legacy) Bariera językowa