Toimittajien hallinta on työnkulku organisaatiosi toimittajien, kolmansien osapuolten ja henkilötietojen käsittelijöiden ylläpitämiseen. Työnkulussa hallitaan niiden tietoturvan tasoa, vastuuhenkilöitä, arviointi- ja varmennusmenetelmiä sekä niihin liittyviä omaisuuseriä ja käsittelytoimia. Kyseessä on toimitusketjuriskien hallinnan keskeinen työnkulku, jota tarkastellaan erityisen tarkasti NIS2-direktiivin ja ISO 27001 -standardin vaatimusten näkökulmasta.

🆕 Mitä uutta? Toimittajien hallinta -työnkulku kokoaa yhteen toiminnot, jotka olivat aiemmin hajautettuina eri teemalistoihin. Olemassa olevat toimittajasi, vastuuhenkilösi, varmennusmenetelmäsi ja arviointitietosi ovat kaikki edelleen tallessa juuri sellaisinaan, nyt vain yhdellä selkeällä ja tarkoitukseen keskitetyllä sivulla.

Käyttöönotto

Jos et ole vielä käynyt ohjattua käyttöönottoa läpi, aloita siitä. Kyseessä on tekoälyn avustama prosessi, joka auttaa sinua rakentamaan toimivan toimittajarekisterin nopeasti:

• Tekoälyn ehdottama alustava toimittajalista. Cyberdayn tekoäly ehdottaa toimittajia käytössä olevien integraatioiden ja tunnistettujen palveluntarjoajien perusteella. Käyt ehdotukset läpi ja vahvistat ne.
• Määritä toimittajien kriittisyys. Luokittele jokainen toimittaja, jotta kuhunkin voidaan soveltaa sopivaa arviointi- ja valvontatasoa.
• Valitse varmennusmenetelmä. Määritä, miten kunkin toimittajan tietoturvaa varmennetaan — esimerkiksi sertifioinnilla, omalla seurannallasi tai jättämällä varmennus tekemättä vähäriskisissä toimittajasuhteissa.
• Lähetä ensimmäiset tietoturva-arvioinnit. Soveltuville toimittajille lähetetään ensimmäinen arviointi, jotta varmennus voidaan käynnistää heti.

Voit myös määrittää työnkulun manuaalisesti suoraan sivulla. Ohjattu käyttöönotto auttaa sinut vain toimivaan lähtötilanteeseen muutamassa minuutissa.

Mitä sivulla näkyy?

Päämittarit

Sivun yläosassa näkyy kolme näkymää siihen, miten toimittajien valvonta ja hallinta toteutuvat:

• Toimittajien varmennustaso - donitsikaavio, joka näyttää miten toimittajien tietoturvaa varmennetaan (Sertifiointi / Oma seuranta / Ei varmennustarvetta)
• Toimittajien omistajuus - prosenttiosuus toimittajista, joille on määritetty vastuuhenkilö
• Toimittajien arviointien tila - pinottu pylväskaavio, joka näyttää arviointien tilanteen (Lähetetty / Käynnissä / Valmis / Myöhässä)

Toimet joihin keskittyä

Priorisoitu lista seuraavista tehtävistä, jaettuna kolmeen ryhmään:

• Poista esteet - Ongelmat, jotka estävät työnkulun toimimisen oikein. Toimittajien hallinnassa näitä ovat esimerkiksi: Lisää ensimmäinen toimittaja ja Toimittajat ilman vastuuhenkilöä.‍
• Vahvenna - Suositellut seuraavat askeleet, joilla työnkulusta saadaan kattavampi ja tehokkaampi. Näitä voivat olla esimerkiksi: Lisää toimittajia (kun rekisterissä on alle 10 toimittajaa), Toimittajat ilman varmennusmenetelmää, Toimittajat ilman liitettyjä omaisuuseriä tai käsittelytoimia ja Lähetä tietoturva-arvioinnit soveltuville toimittajille‍
• Ylläpidä - Aikataulutetut tarkistukset ja seurannat jo käyttöönotetuille käytännöille: Tarkista toimittajien prioriteetit, Tarkista tietoturva-arviointien tiedot

Klikkaamalla mitä tahansa ryhmää avautuu tarkempi tehtävälista. Voit ratkaista, tarkentaa tai merkitä tehtäviä suoritetuiksi poistumatta työnkulun sivulta.

Dokumentaatio

Dokumentaatio, joka tukee toimittajien hallinnan käytäntöjäsi. Se on järjestetty kumppaniluokittain:

• Järjestelmätoimittajat - luettelo järjestelmä- ja palvelutoimittajista
• Henkilötietojen käsittelijät - kumppanit, jotka käsittelevät henkilötietoja organisaation puolesta
• Muut sidosryhmät - muut kumppaniluokat (esimerkiksi konsultit, neuvonantajat ja muut vastaavat tahot)

+1 lisää -toiminto laajentaa näkymän oletuksena näytettävien kolmen luokan ulkopuolelle. Jokaisella rivillä näytetään kohteiden lukumäärä, siihen liittyvä ISMS-teema sekä vastuuhenkilö.

Tehtävät

Dokumentaation alapuolella työnkulkusivulla näkyvät toimittajien hallintaan liittyvät operatiiviset tehtävät, kuten henkilötietojen käsittelijöiden luettelointi ja vastuuhenkilöiden määrittäminen, korkean prioriteetin toimittajien kriteerien määrittely, muiden sidosryhmien dokumentointi, toimittajasopimusten tilan dokumentointi sekä niiden asiakasryhmien dokumentointi, joiden tietoja käsitellään.

Jokaiselle tehtävälle näytetään teema, tila (Käsittelemätön / Osittain tehty / Pääosin tehty / Täysin tehty), vastuuhenkilö, prioriteetti (Matala / Normaali / Korkea / Kriittinen) sekä määräpäivä. Myöhässä olevat tehtävät näkyvät korostettuna jotta ne on helppo tunnistaa.

Raportit

Toimittajien hallinta -työnkulun tuottamat auditointivalmiit raportit:

• Henkilötietojen käsittelijät ja tietojenkäsittelysopimukset - luettelo kumppaneista, jotka käsittelevät henkilötietoja organisaation puolesta, sekä tiedot voimassa olevista tietojenkäsittelysopimuksista ja niiden tilasta.‍
• Toimittajien tietoturvakäytäntö - kuvaa toimittajille asetetut tietoturvavaatimukset, eri toimittajaluokille sovellettavat varmennusmenetelmät sekä tavan, jolla tietoturva-arviointeja toteutetaan.

Jokaisella raportilla näkyvät kansikuva, Viimeksi päivitetty -päivämäärä sekä Näytä raportti -linkki. Raportit päivittyvät automaattisesti järjestelmän tiedoista.

Yhteydet muihin työnkulkuihin

Toimittajat kytkeytyvät suoraan Omaisuusluettelo-työnkulkuun, sillä jokainen toimittaja voidaan liittää niihin järjestelmiin ja tietoihin, joita se tukee tai käsittelee. Toimittajat ovat myös keskeinen osa Riskienhallinta-työnkulkua, jossa hallitaan kolmansiin osapuoliin liittyviä riskejä. Kun GDPR-vaatimukset ovat käytössä, toimittajat näkyvät lisäksi Tietosuojan hallinta -työnkulussa henkilötietojen käsittelijöinä.

Palautetta tai kysyttävää?
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse team@cyberday.ai. Otamme myös mielellämme vastaan palautetta Cyberdayn käytöstä.