Oavsett om du representerar en offentlig eller privat verksamhet är det högintressant att säkerställa att den tilltänkta leverantören har koll på sina informationssäkerhetsprocesser. Men räcker det med att en leverantör skickar sitt ISO 27001 certifikat? Mitt korta svar är: Nej, det räcker inte.
Precis som med ett körkort…
Att vara certifierat inom ISO 27001 har länge varit en gyllene grund för en organisation att stå på och visa att man inte bara tar frågan på allvar utan att man dessutom låter sig granskas av en extern revisor och därmed har full koll. Men tyvärr räcker det inte riktigt – jag brukar jämföra ett ISO 27001 certifikat med ett körkort. Som bekant sköter du dig under uppkörningen, men så snart du har lappen i hand finns det inga hinder att vare sig köra för fort, strunta i stopplikt eller fippla med mobilen medan du kör. Blir du påkommen kan det göra ont, du kanske får böter eller i värsta fall får körkortet återkallat ett tag – men ärligt talat är risken inte särskilt stor.
I en certifieringsprocess för ISO 27001 så kan en revisor omöjligen granska efterlevnaden av allt i ledningssystemet som certifieringen kräver, än mindre verifiera efterlevnad. Och även en erfaren revisor med skinn på näsan kan luras runt frågor under en revision.
Hur ska man då göra om man vill provtrycka en presumtiv leverantör? Här kommer några tips och idéer!
Begär in SoA:n
Sedan flera år rekommenderar flera, inte minst MSB i sin publikation Upphandla Informationssäkert att den som upphandlar ska begära in leverantörens SoA, eller Uttalande om Tillämplighet (UoT), och granska detta. Det är i det dokumentet det bland annat ska framgå vilka av säkerhetskontrollerna i ISO 27001 Bilaga A som leverantören valt att utesluta ur sin certifiering och därmed externa granskning och varför. Det kan vara svårt att själv granska ett sådant dokument, men väl värt att ta hjälp med detta i en utvärdering.
Alla leverantörer ska kunna delge sin SoA, även i offentlig upphandling då dokumentet blir en inkommen handling – det ska helt enkelt inte finnas några hemligheter där.
Begär att få tillgång till senaste revisionsrapporten
Som en del i leverantörsutvärdering är det värt att fråga efter senaste revisionsrapporten inklusive lista på funna avvikelser. Det är dock inte säkert att en leverantör kan eller vill skicka in den i offentlig upphandling men kan kanske ge tillgång till dokumenten på annat vis under upphandlingsprocessen.
Efterfråga SOC 2 Type 2 rapport
En organisation som tar informationssäkerhetsfrågan på allvar har beställt en revision och rapport enligt SOC 2 Type 2. Till skillnad mot en ISO 27001 revision är en SOC 2 Type 2 mer djupgående och dessutom följs processer och efterlevande upp över tid och ger därmed en bild av hur en organisation upprätthåller kontinuitet inom informationssäkerhetsområdet.
Även här finns uppenbar risk att en organisation väljer att inte skicka in sin rapport i en offentlig upphandling i och med risken att den ska kunna begäras ut men samma sak här – begär i så fall att få tillgång till den på annat vis, till exempel få den förevisad i lämpligt forum.
Och naturligtvis koll på kraven
Det spelar egentligen ingen roll hur många olika dokument som en leverantör skickar in för att styrka hur man arbetar med säkerhet om inte ni som upphandlar har koll på era interna och externa krav som ni måste kunna leva upp till. En leverantörs informationssäkerhetsarbete är i praktiken bara en förlängning av ert eget så det ni behöver göra är att mappa era krav och se vilka som en leverantör blir en del av. Det är först då som ni på riktigt kan granska och utvärdera en leverantör utifrån ett informationssäkerhetsperspektiv.