ISO 27001 est une norme internationale pour l'évaluation rigoureuse de cyber et des pratiques de sécurité de l'information. Elle fournit un cadre pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue des systèmes de gestion de la sécurité de l'information. Basée sur un ensemble d'exigences internationales, elle décrit une approche systématique de la gestion sécurisée des informations sensibles de l'entreprise.
Deux suppléments sont à considérer comme des corollaires importants de la norme ISO 27001 en matière de gestion des risques liés aux tiers, à savoir
L'ISO 27002 est une norme supplémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité énumérés dans l'annexe A de l'ISO 27001. Elle aide les organisations à examiner ce qu'elles doivent mettre en place pour répondre à ces exigences.
Ensemble, les normes ISO 27001 et 27002 constituent le fondement de la plupart des normes ISO relatives à la cybersécurité. En ce qui concerne la gestion de la sécurité de l'information dans les relations avec les fournisseurs, la section 15 des normes ISO 27001 et ISO 27002 résume les exigences à respecter pour traiter en toute sécurité avec différents types de tiers.
La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour la définition, la mise en œuvre, l'exploitation, la surveillance, l'examen, le maintien et l'amélioration des relations avec les fournisseurs et les acquéreurs. Cette norme est particulièrement pertinente pour la gestion des risques liés aux tiers, car les exigences couvrent l'achat et la fourniture de produits et de services.
Les clauses 6 et 7 de la norme ISO 27036-2 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de chaque étape du cycle de vie de la relation fournisseur.
Aligner votre programme TPRM sur les normes ISO
La liste de contrôle ISO pour la conformité des tiers est un guide de 30 pages qui révèle quelles pratiques de gestion des risques technologiques correspondent aux recommandations énoncées dans les normes ISO 27001, 27002 et 27036-2.
En utilisant une approche descendante, basée sur le risque, les normes ISO fournissent les directives suivantes pour la gestion des fournisseurs :
Prevalent permet de répondre à chacune de ces exigences.
Voici comment Prevalent peut vous aider à répondre aux normes de gestion des risques des tiers dans les normes ISO 27001, 27002 et 27036-2.
Contrôles ISO 27001 | Quelle aide nous apportons |
---|---|
5 Contrôles organisationnels |
|
5.1 Politiques de sécurité de l'information "La politique de sécurité de l'information et les politiques spécifiques doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel concerné et les parties intéressées, et réexaminées à intervalles planifiés et en cas de changements importants." 5.2 Rôles et responsabilités en matière de sécurité de l'information "Les rôles et responsabilités en matière de sécurité de l'information doivent être définis et attribués en fonction des besoins de l'organisation. |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques par des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information, de cybersécurité et de protection de la vie privée, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
5.7 Renseignements sur les menaces "Les informations relatives aux menaces pesant sur la sécurité de l'information sont collectées et analysées afin de produire des renseignements sur les menaces. |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Les sources de surveillance comprennent :
Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. |
5.11 Rendement des actifs "Le personnel et les autres parties intéressées, le cas échéant, doivent restituer tous les biens de l'organisation en leur possession en cas de changement ou de cessation de leur emploi, de leur contrat ou de leur accord. |
Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent utilise des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité avec les lois pertinentes, des paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire. |
5.19 Sécurité de l'information dans les relations avec les fournisseurs "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information associés à l'utilisation des produits ou services du fournisseur. |
Prevalent offre une bibliothèque de plus de 200 modèles prédéfinis, y compris des questionnaires ISO dédiés, pour évaluer les risques de sécurité de l'information associés aux tiers. Les évaluations sont gérées de manière centralisée sur la plateforme Prevalent . Elles s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves pour permettre une visibilité des risques liés aux tiers tout au long de la relation avec le fournisseur. Il est important de noter que Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante. Pour les organisations disposant de ressources et d'une expertise limitées, Prevalent peut gérer le cycle de vie des risques liés aux tiers en votre nom - depuis l'intégration des fournisseurs et la collecte de preuves, jusqu'à la fourniture de conseils en matière de remédiation et l'établissement de rapports sur les accords de niveau de service (SLA) contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir le personnel interne. |
5.20 Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs "Les exigences pertinentes en matière de sécurité de l'information sont établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec lui." |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de flux de travail permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les capacités clés comprennent :
|
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC) "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC. |
Prevalent standardise les évaluations par rapport aux meilleures pratiques ISO et à d'autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plate-forme centrale pour mesurer et démontrer le respect des pratiques de développement de logiciels sécurisés et du cycle de vie du développement logiciel (SDLC). |
5.22 Suivi, révision et gestion des changements des services des fournisseurs "L'organisme doit régulièrement contrôler, examiner, évaluer et gérer les changements apportés aux pratiques de sécurité de l'information des fournisseurs et à la prestation de services. |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Les sources de surveillance comprennent :
Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. |
5.23 Sécurité de l'information pour l'utilisation des services en nuage "Les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis conformément aux exigences de l'organisation en matière de sécurité de l'information." |
Prevalent standardise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, en fournissant des évaluations des contrôles clés par rapport aux exigences des services en nuage. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information lors de l'abandon des services en nuage. |
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information "L'organisme doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents de sécurité de l'information. 5.25 Évaluation et décision concernant les événements liés à la sécurité de l'information "L'organisme doit évaluer les événements liés à la sécurité de l'information et décider s'ils doivent être classés dans la catégorie des incidents de sécurité de l'information. 5.26 Réponse aux incidents liés à la sécurité de l'information "Les incidents de sécurité de l'information font l'objet d'une réponse conformément aux procédures documentées. 5.28 Collecte de preuves "L'organisme doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux événements liés à la sécurité de l'information. |
Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents de fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les capacités clés comprennent :
|
5.30 Préparation des TIC à la continuité des activités "L'état de préparation des TIC doit être planifié, mis en œuvre, maintenu et testé sur la base des objectifs de continuité des activités et des exigences en matière de continuité des TIC. |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
|
5.31 Exigences légales, statutaires, réglementaires et contractuelles "Les exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information et l'approche de l'organisme pour répondre à ces exigences doivent être identifiées, documentées et tenues à jour." |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de flux de travail permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les capacités clés comprennent :
|
5.34 Vie privée et protection des informations personnelles identifiables (IPI) "L'organisation doit identifier et satisfaire les exigences relatives à la préservation de la vie privée et à la protection des IPI conformément aux lois et réglementations applicables et aux exigences contractuelles. |
Prevalent offre une plateforme centralisée et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité sont les suivantes
|
5.36 Respect des politiques, règles et normes en matière de sécurité de l'information "Le respect de la politique de sécurité de l'information de l'organisme, des politiques spécifiques, des règles et des normes doit être régulièrement vérifié. |
Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels. Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre. |
Contrôles ISO 27002 | Quelle aide nous apportons |
5.19 Sécurité de l'information dans les relations avec les fournisseurs "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information liés à l'utilisation des produits ou services du fournisseur. |
|
5.19 a) "identifier et documenter les types de fournisseurs (par exemple les services TIC, la logistique, les services publics, les services financiers, les composants de l'infrastructure TIC) qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation" ; b) "identifier et documenter les types de fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation". 5.19 e) "définir les types de composants de l'infrastructure TIC et les services fournis par les fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ;" |
La plateforme Prevalent permet aux organisations de classer automatiquement les fournisseurs en fonction de leur score de risque inhérent, de définir des niveaux de diligence appropriés et de déterminer l'étendue des évaluations continues. Les organisations peuvent également classer les fournisseurs en fonction d'une logique basée sur des règles, sur la base d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
5.19 b) "établir comment évaluer et sélectionner les fournisseurs en fonction de la sensibilité des informations, des produits et des services (par exemple, à l'aide d'une analyse de marché, de références clients, d'un examen des documents, d'évaluations sur place, de certifications) ;" |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers. Prevalent propose une bibliothèque de plus de 200 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de cyber, de surveillance des risques commerciaux, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante. |
5.19 c ) "évaluer et sélectionner les produits ou services du fournisseur qui disposent de contrôles de sécurité de l'information adéquats et les examiner ; en particulier, l'exactitude et l'exhaustivité des contrôles mis en œuvre par le fournisseur qui garantissent l'intégrité des informations et du traitement des informations du fournisseur et, par conséquent, la sécurité de l'information de l'organisation ;" |
Le Snapshot de profilage des risquesPrevalent vous permet de comparer et de surveiller les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les affaires et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec le Snapshot, vous pouvez voir les résultats en ligne avec les réponses à l'appel d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétence au risque de votre organisation. |
5.19 g) "contrôler le respect des exigences établies en matière de sécurité de l'information pour chaque type de fournisseur et chaque type d'accès, y compris l'examen par un tiers et la validation du produit ;" 5.19 h) l'atténuation de la non-conformité d'un fournisseur, qu'elle ait été détectée par le biais d'un contrôle ou par d'autres moyens ; |
Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des douzaines de réglementations gouvernementales et de cadres sectoriels. Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO et d'autres cadres réglementaires et les valide grâce à une surveillance continue, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre. |
5.19 i) " gérer les incidents et les imprévus liés aux produits et services des fournisseurs, y compris les responsabilités de l'organisation et des fournisseurs ;" |
Le servicePrevalent Third-Party Incident Response Service vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en menant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. |
5.19 j ) "la résilience et, si nécessaire, les mesures de récupération et d'urgence pour garantir la disponibilité des informations et du traitement de l'information du fournisseur et, par conséquent, la disponibilité de l'information de l'organisation ;" |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
|
5.19 m) "les exigences visant à garantir une cessation sûre de la relation avec le fournisseur, y compris : 1) la suppression des droits d'accès ; |
La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
5.20 Prise en compte de la sécurité dans les accords avec les fournisseurs "Les exigences pertinentes en matière de sécurité de l'information doivent être établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec ce dernier. |
|
5.20 d) "les exigences légales, statutaires, réglementaires et contractuelles, y compris la protection des données, le traitement des informations personnellement identifiables (IPI), les droits de propriété intellectuelle et les droits d'auteur, ainsi qu'une description de la manière dont il sera veillé à ce qu'elles soient respectées ;" |
Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, en veillant à ce que les dispositions clés soient incluses dans les contrats avec les fournisseurs et fassent l'objet d'un suivi permanent. Les capacités clés comprennent :
|
5.20 e) "l'obligation de chaque partie contractuelle de mettre en œuvre un ensemble convenu de contrôles, y compris le contrôle d'accès, l'examen des performances, la surveillance, l'établissement de rapports et l'audit, ainsi que les obligations du fournisseur de se conformer aux exigences de l'organisation en matière de sécurité de l'information ;" |
La solution Prevalent permet de réaliser des évaluations internes basées sur le contrôle (sur la base du cadre normalisé ISO et/ou de questionnaires personnalisés). La plateforme comprend des fonctionnalités intégrées de flux de travail qui permettent aux évaluateurs d'interagir efficacement avec les tiers au cours des périodes de collecte et d'examen de la diligence raisonnable. De solides capacités de reporting et d'audit donnent à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances de la tierce partie. Les organisations peuvent évaluer les tiers en fonction de la cybersécurité, de la performance des accords de niveau de service et d'autres critères, et corréler les résultats avec ceux de la surveillance externe continue pour obtenir une vue complète des risques. |
5.20 h) "les exigences en matière de sécurité de l'information concernant l'infrastructure TIC du fournisseur ; en particulier, les exigences minimales en matière de sécurité de l'information pour chaque type d'information et chaque type d'accès devant servir de base à des accords individuels avec le fournisseur fondés sur les besoins commerciaux et les critères de risque de l'organisation ;" 5.20 i) "indemnités et mesures correctives en cas de non-respect des exigences par le contractant ;" |
Prevalent fournit un cadre pour mesurer de manière centralisée les KPI et KRI des tiers par rapport à vos exigences et pour réduire les lacunes dans la surveillance des fournisseurs grâce à des informations intégrées d'apprentissage automatique (ML) et à des rapports personnalisables basés sur les rôles. Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques et de performances, à déterminer le statut des risques pour les tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante. |
5.20 j) "exigences et procédures en matière de gestion des incidents (en particulier la notification et la collaboration pendant la remédiation de l'incident) ;" |
Prevalent permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact, dans le cadre d'une stratégie plus large de gestion des incidents. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent . |
5.20 l) "les dispositions pertinentes pour la sous-traitance, y compris les contrôles qui doivent être mis en œuvre, tels que l'accord sur l'utilisation des sous-traitants (par exemple, exiger qu'ils soient soumis aux mêmes obligations que le fournisseur, exiger une liste des sous-traitants et une notification avant tout changement) ;" |
Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique. |
5.20 o) "les mécanismes de preuve et d'assurance des attestations de tiers pour les exigences pertinentes en matière de sécurité de l'information liées aux processus du fournisseur et un rapport indépendant sur l'efficacité des contrôles ;" 5.20 q) "l'obligation pour le fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et l'accord sur la correction en temps utile des problèmes pertinents soulevés dans le rapport ;" |
Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes. |
5.20 x) "les clauses de résiliation à la fin de l'accord, y compris la gestion des dossiers, la restitution des actifs, l'élimination en toute sécurité des informations et des autres actifs associés, et toute obligation de confidentialité en cours ;" 5.20 y) la mise à disposition d'une méthode permettant de détruire en toute sécurité les informations de l'organisation stockées par le fournisseur dès qu'elles ne sont plus nécessaires ;" 5.20 z) assurer, à la fin du contrat, le transfert du soutien à un autre fournisseur ou à l'organisation elle-même ;" |
Prevalent Les fonctionnalités degestion du cycle de vie des contrats garantissent que les dispositions clés sont incluses dans les contrats avec les fournisseurs et qu'elles font l'objet d'un suivi permanent. Les évaluations automatisées des contrats et les procédures d'abandon, telles que les rapports sur l'accès aux systèmes, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes et les paiements finaux, réduisent le risque d'exposition post-contractuelle de votre organisation. |
5.21 Gérer la sécurité de l'information dans la chaîne d'approvisionnement en TIC "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC. |
|
5.21 b) "exiger que les fournisseurs de services TIC propagent les exigences de sécurité de l'organisation tout au long de la chaîne d'approvisionnement s'ils sous-traitent des parties du service TIC fourni à l'organisation ;" 5.21 c ) "exiger que les fournisseurs de produits TIC propagent des pratiques de sécurité appropriées tout au long de la chaîne d'approvisionnement si ces produits comprennent des composants achetés ou acquis auprès d'autres fournisseurs ou d'autres entités (par exemple, des développeurs de logiciels en sous-traitance et des fournisseurs de composants matériels) ;" 5.21 f) "mettre en œuvre un processus de contrôle et des méthodes acceptables pour valider que les produits et services TIC fournis sont conformes aux exigences de sécurité énoncées. Des exemples de ces méthodes d'examen par le fournisseur peuvent inclure des tests de pénétration et la preuve ou la validation d'attestations de tiers pour les opérations de sécurité de l'information du fournisseur ;" |
Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique. |
5.21 g) "mettre en œuvre un processus permettant d'identifier et de documenter les composants du produit ou du service qui sont essentiels au maintien de la fonctionnalité et qui, par conséquent, nécessitent une attention, un examen et un suivi accrus lorsqu'ils sont fabriqués en dehors de l'organisation, en particulier si le fournisseur sous-traite certains aspects des composants du produit ou du service à d'autres fournisseurs ;" |
Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. |
5.22 Suivi, révision et gestion des changements des services des fournisseurs "L'organisme devrait régulièrement surveiller, examiner, évaluer et gérer les changements dans les pratiques de sécurité de l'information des fournisseurs et dans la prestation de services. |
|
5.22 a) "contrôler les niveaux de performance des services pour vérifier le respect des accords ;" |
Avec la plateforme Prevalent , les organisations peuvent personnaliser les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Prevalent identifie les attributs clés des contrats relatifs aux accords de niveau de service ou aux performances, remplit ces exigences dans la plateforme et vous assigne des tâches, à vous et à votre tiers, à des fins de suivi. |
5.22 b) "surveiller les changements apportés par les fournisseurs, y compris : 1) l'amélioration des services actuellement offerts ; 5.22 c) "surveiller les changements dans les services des fournisseurs, y compris : 1) les modifications et l'amélioration des réseaux |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance comprennent :
Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :
|
5.22 e) "effectuer des audits des fournisseurs et des sous-fournisseurs, conjointement avec l'examen des rapports des auditeurs indépendants, le cas échéant, et assurer le suivi des problèmes identifiés ;" |
Le service de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes. |
5.22 f) "fournir des informations sur les incidents de sécurité de l'information et revoir ces informations comme l'exigent les accords et les lignes directrices et procédures correspondantes ;" 5.22 g) "examiner les pistes d'audit du fournisseur et les dossiers relatifs aux événements liés à la sécurité de l'information, aux problèmes opérationnels, aux défaillances, à la localisation des pannes et aux interruptions liées au service fourni ;" 5.22 h) "réagir à tout événement ou incident identifié en matière de sécurité de l'information et le gérer ;" |
Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents de fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les capacités clés comprennent :
|
5.22 i) "identifier les vulnérabilités en matière de sécurité de l'information et les gérer ;" |
Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , en corrélant les données de surveillance avec les résultats de l'évaluation et en les centralisant dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent :
|
5.22 j) "examiner les aspects relatifs à la sécurité de l'information dans les relations du fournisseur avec ses propres fournisseurs". |
Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. |
5.22 k) veiller à ce que le fournisseur maintienne une capacité de service suffisante ainsi que des plans réalisables conçus pour garantir que les niveaux de continuité de service convenus sont maintenus à la suite de défaillances de service ou de catastrophes majeures ;" |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. |
5.22 m) "évaluer régulièrement que les fournisseurs maintiennent des niveaux de sécurité de l'information adéquats ;" |
Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Grâce à une bibliothèque de plus de 200 évaluations standardisées, à des capacités de personnalisation, à un flux de travail et à des mesures correctives intégrés, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports. Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. |
ISO 27036-2 Contrôles | Quelle aide nous apportons |
6 Sécurité de l'information dans la gestion des relations avec les fournisseurs |
|
6.1.1.1 Processus d'accord / Processus d'acquisition / Objectif Établir une stratégie de relations avec les fournisseurs qui :
6.1.2.1 Processus d'accord / Processus d'approvisionnement / Objectif Établir une stratégie de relations avec les acquéreurs qui :
|
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risques et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
6.2.1 Processus organisationnel d'appui au projet / Processus de gestion du modèle de cycle de vie a) L'acquéreur et le fournisseur doivent établir le processus de gestion du modèle de cycle de vie lors de la gestion de la sécurité des informations dans les relations avec les fournisseurs. |
Prevalent permet d'éliminer les risques de sécurité et de conformité liés à la collaboration avec des vendeurs, des fournisseurs et d'autres tierces parties tout au long du cycle de vie du risque lié aux vendeurs, de la recherche et de la sélection à l'intégration et à tout ce qui se trouve entre les deux. |
6.2.2.1 Processus organisationnel d'appui au projet / Processus de gestion de l'infrastructure / Objectif a) Fournir l'infrastructure nécessaire pour aider l'organisation à gérer la sécurité des informations dans le cadre des relations avec les fournisseurs. |
Prevalent fournit une plateforme SaaS centrale qui permet aux acquéreurs et aux fournisseurs de collaborer à la réduction des risques en automatisant les évaluations des risques par rapport à plus de 200 normes industrielles, dont l'ISO. Grâce à cette plateforme, les acquéreurs bénéficient d'un flux de travail et de mesures correctives intégrés, d'analyses et de rapports automatisés. |
6.2.2.2 Processus organisationnels facilitant le projet / Processus de gestion des infrastructures / Activités b) Définir, mettre en œuvre, maintenir et améliorer les dispositions d'urgence afin de garantir que l'achat ou la fourniture d'un produit ou d'un service puisse se poursuivre en cas d'interruption due à des causes naturelles ou anthropiques. |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
|
6.2.3.2 Processus / Activités de gestion du portefeuille de projets a) Définir, mettre en œuvre, maintenir et améliorer un processus permettant d'identifier et de classer les fournisseurs ou |
Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. |
6.3.4.1 Processus de projet / Processus de gestion des risques / Objectif a) Traiter en permanence les risques liés à la sécurité de l'information dans les relations avec les fournisseurs et tout au long de leur cycle de vie, notamment en les réexaminant périodiquement ou en cas de changements importants dans les activités, les lois, les règlements, l'architecture, les politiques et les contrats. |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance comprennent :
Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :
|
6.3.7.1 Processus de projet / Processus de mesure / Objectif a) Collecter, analyser et rendre compte des mesures de sécurité de l'information liées à l'achat ou à la fourniture d'un produit ou d'un service afin de démontrer la maturité de la sécurité de l'information dans une relation de fournisseur et de soutenir une gestion efficace des processus. |
Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Grâce à une bibliothèque de plus de 200 évaluations standardisées, à des capacités de personnalisation, à un flux de travail et à des mesures correctives intégrés, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports. Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. |
7 Sécurité de l'information dans une relation avec un fournisseur |
|
7.2.1 Processus de sélection des fournisseurs / Objectifs a) Choisir un fournisseur qui offre une sécurité de l'information adéquate pour le produit ou le service qui peut être acheté. |
Le Snapshot de profilage des risquesPrevalent vous permet de comparer et de surveiller les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les affaires et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec le Snapshot, vous pouvez voir les résultats en ligne avec les réponses à l'appel d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétence au risque de votre organisation. |
7.3.1 Processus de gestion des relations avec les fournisseurs / Objectif Établir et approuver un accord de relation avec le fournisseur portant sur les points suivants : |
La plateforme Prevalent automatise les flux de travail nécessaires à l'évaluation, la gestion, le contrôle continu et la correction des risques liés à la sécurité, à la confidentialité, à la conformité et à la chaîne d'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs. La solution :
|
7.4.1 Processus de gestion des relations avec les fournisseurs / Objectifs a) Maintenir la sécurité de l'information pendant la période d'exécution de la relation avec le fournisseur conformément à l'accord sur la relation avec le fournisseur et en tenant particulièrement compte des éléments suivants : 4) Contrôler et faire respecter par le fournisseur les dispositions relatives à la sécurité de l'information définies dans l'accord de relation avec le fournisseur. |
Grâce à la plateforme Prevalent , les acquéreurs peuvent automatiquement mettre en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires - y compris les normes ISO et bien d'autres - afin de visualiser et de traiter rapidement les exigences de conformité importantes à chaque étape du cycle de vie des fournisseurs. |
7.5.1 Processus de résiliation de la relation avec le fournisseur / Objectifs a) Protéger la fourniture du produit ou du service pendant la résiliation afin d'éviter tout impact sur la sécurité de l'information, la législation et la réglementation après la notification de la résiliation ; b) Mettre fin à la fourniture du produit ou du service conformément au plan de résiliation. |
La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Les normes ISO présentées ici exigent une gestion et un suivi rigoureux des risques liés à la sécurité des fournisseurs tiers et à la confidentialité des données. Elles précisent ce qui suit :
Disposer de solides systèmes de gestion de la sécurité de l'information fait partie du cycle de vie du fournisseur et nécessite une vision interne complète des contrôles en place ainsi qu'une surveillance continue de tous les tiers. Cela ne peut pas être abordé avec un simple scan automatisé externe ou avec des feuilles de calcul. Prevalent fournit une plate-forme unifiée qui peut aider à auditer efficacement les contrôles de sécurité des fournisseurs pour assurer la conformité ISO.
Contactez-nous dès aujourd'hui pour une démonstration personnalisée ou téléchargez la liste de contrôle de la conformité des tiers aux normes ISO pour savoir comment Prevalent peut répondre à vos exigences ISO.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024