供应链中的网络安全–是时候重新审视您的方法了吗？

詹姆斯·沃尔什（James Walsh）

不久前，企业开始与加工商订立合约条款，以符合GDPR对任命加工商的要求。企业通常很难对供应商进行适当的尽职调查，并且常常忽视针对网络风险的特定安全要求。

所以，让我想起需求

控制器（即，大多数客户）需要满足的关键要求才能通过处理器（即，大多数供应商）来管理网络风险：

• 仅使用提供足够保证以实施适当的技术和组织措施的处理者，以使处理符合GDPR的要求并确保保护数据主体的权利；和
• 与处理者签订合约，要求处理者采取GDPR第32条所要求的所有措施，其中规定了处理安全性所需的标准。处理器还应考虑到处理的性质和处理器可用的信息，协助控制器确保遵守其关于处理安全性的义务。

如果处理器承诺满足安全要求，那还不够吗？

问题的症结在于：尽管GDPR提出了与安全性相关的要求（即适当的技术和组织措施），但并不是很规范。该文本本质上是法律主义的，并且企业经常不知道如何应用这些要求。

因此，虽然可能要求处理者遵守法律要求，但处理者对于适当的技术和组织安全措施的看法可能与控制者自己的看法不同。同样，在处理者执行商品化处理活动的地方，他们可能对个人数据以及控制者如何使用它来充分评估风险没有足够的了解。

但是，如果处理者承诺满足GDPR的安全标准，处理者是否应对任何不遵守行为负责？

显然，如果处理方对违反GDPR的安全失败负责，则处理方将根据GDPR承担直接责任。但是，至少存在控制器因其处理器的安全性故障而面临罚款的可能性。

而且，如果与处理器的合约中未充分描述安全措施，则控制器将很难证明已采取了必要的步骤，以确保仅使用提供足够保证的处理器来实施适当的技术和组织措施。如果没有客观地提出安全标准，则也可能使控制器难以审核其处理器。

合约应规定哪种信息安全标准？

信息安全标准中应解决各种关键主题。通常，参考市场上公认的信息安全标准很有用，例如ISO27000系列要求或英国政府的网络基本计划。

信息安全要求应包括组织安全措施，例如：

• 制定并实施适当的政策和程序，以解决在服务执行过程中识别出的有关数据存储，传输和处理的风险；
• 确保在高级管理层监督网络安全标准的情况下制定适当的治理安排；
• 维持并实施适当的安全认证；
• 对参与处理个人数据的工作人员的教育和培训；
• 处理数据安全事件的程序；
• 事件记录和日志；
• 持续改进过程。

此外，技术措施应涵盖：

• 遵守与存储，传输或处理信息的技术环境有关的特定安全标准或认证；
• 访问控制，日志和权限管理；
• 信息壁垒和数据分类系统；
• 物理安全要求–从站点控制和CCTV到适当的桌面策略（如果适用）；
• 适用于服务的技术安全要求；
• 认证，备份和删除标准；
• 需要的特定领域标准，例如支付卡的PCI-DSS遵从性和电信提供商的网络安全要求；
• 特定的设备控件-例如在数据处理中可能使用移动设备的位置。

当然，此列表并不详尽。企业需要仔细考虑所考虑服务的最佳实践是什么样的，以及其处理器可能需要解决的特定风险。短格式和长格式的信息安全标准可能很合适，这取决于特定的处理器及其提供的服务。

我们的许多供应商拒绝接受我们规定的安全标准。我们应该做什么？

处理器可能拒绝接受控制器施加的特定安全措施的原因有很多。这通常是规模经济的问题，在这种情况下，供应商已设计其服务来满足特定要求，并且可能无法为每个客户实施定制的安全措施。

同样，讨价还价能力常常发挥作用。在这种情况下，处理者应能够提供作为其自身信息安全计划的一部分而已采用的技术和组织措施的详细信息，作为尽职调查过程的一部分，以使控制者满意，他们可以为其提供适当的保证。安全要求。

并且，如果存在适当的文档，则可以清楚地在合约中列出，即使供应商可能需要对其进行更新以作为服务的持续开发的一部分。仍然需要在合约中规定一套详细的信息安全措施。

为什么现在要审查供应链标准？

自GDPR生效以来已经过去了将近一年半，并且网络安全风险已经转移。我们现在知道，像ICO这样的监管机构已准备对价值高达几千万英镑和数亿英镑的价值的产品处以巨额罚款。

由于其他原因，例如5G技术的发展，网络风险一直是头版新闻。显然，政府和监管机构希望企业采取更好的措施，以确保采取适当的安全措施来应对网络风险。现在，遵循最佳实践比以往任何时候都更加重要。

请关注并喜欢我们：