Az alvállalkozó megfelelése, avagy a megrendelő ellenőrzi információbiztonsági szintjét!

forrás: Prím Online, 2019. november 5. 09:20

Elmesélek egy ügyféltörténetet – kezdett hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – A szerződéskötés előtt ügyfelünk azzal keresett meg minket, hogy a „Nagy Multi” nagyon akarja a szolgálásukat (már nem is annyira kicsi startup cégről van szó – de előtte jelezték, hogy információbiztonsági elvárásaik lesznek.)

Jött is az egyébként amerikai tulajdonú cégtől a kérdőív. A kérdőív tartalma IT információbiztonsági és GDPR elemeket tartalmazott. Volt benne kérdés a munkaerő felvétel előtti átvizsgálásra, a hozzáférések kiosztására, nyilvántartására és visszavételére. Komoly rész foglalkozott a hálózati biztonsággal, a szegmentációval, a DMZ alkalmazásával. Kitért a saját tulajdonú eszköz használatára, a vírusvédelemre és a tűzfal használatára.

 

Hiába amerikai a cég, de európai leányvállalatának is meg kell felelnie a GDPR elvárásainak, ennek megfelelően megkérdezték, hogy képes-e a cég 72 órán belül jelenteni az incidenst. Szerintem ez nem jó kérdés, hiszen az Adatfeldolgozónak azonnal kéne jelenteni az incidenst az Adatkezelő felé. – tette hozzá Sándor Zsolt András a Gill & Murry adatvédelmi partnere – Az egész kérdőívet nyilatkozatként kell benyújtani, csatolni kell hozzá incidens kezelési tervet és további dokumentumokat.

 

Talán a legérdekesebb, hogy arról is nyilatkozni kellett, hogy nem használ a cég kiemelkedően nagy kockázatú technológiákat, mint a Huawei, ZTE stb...

 

Összességében azt lehet mondani, hogy az információbiztonság kezd felértékelődni és az alávállalkozókat kezdik szorongatni a nagy cégek, mind GDPR, mind pedig információbiztonsági szempontból. Az információbiztonság felértékelődése egy teljesen érhető folyamat, hiszen az Adatkezelők lesznek a felelősek egy incidens miatt még akkor is, ha az alvállalkozójuk követi el a hibát.

Biztonság ROVAT TOVÁBBI HÍREI

A Siemens és a NATO CCDCOE erősítik együttműködésüket

A Siemens Smart Infrastructure és a NATO Kooperatív Kibervédelmi Kiválósági Központ (CCDCOE) egyetértési megállapodást írták alá együttműködésük folytatásáról a kritikus infrastruktúrák kiberbiztonsága terén. A CCDCOE által évente szervezett magas szintű Locked Shields kiberbiztonsági gyakorlat a biztonsági képességek közös fejlesztésének egyik fő pillére. Az új megállapodással a felek fokozzák együttműködésüket az energiahálózatokkal kapcsolatos kiberbiztonsági képzés terén. A Spectrum Power hálózatirányító szoftverrel kísérletezve a Siemens fontos információkhoz jut a lehetséges támadási vektorokról, és alaposan tesztelheti termékei és megoldásai új biztonsági jellemzőit vagy protokolljait.

2020. július 14. 11:08

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Újdonságok a szegedi informatikatörténeti kiállításon

2020. július 3. 18:53

Új funkcióval bővült a WIWE

2020. június 15. 16:23

Fél évig ingyenes az Adverticum „DataMe DMP adatok" szolgáltatása

2020. április 30. 09:47

Az LG történetének legjobb üzemi eredményét érte el 2020. első negyedében

2020. április 29. 17:15
online sportfogadás