Supplier FAQs
Hvorfor bliver vi bedt om at gennemføre en risikovurdering for vores klient?
Risk Ledger-vurderingen giver dine kunder sikkerhed for, at din organisation opretholder et passende niveau af risikokontrol for at beskytte både dig selv og dem mod cyberhændelser.
Du er blevet bedt om at gennemføre en vurdering af din klient, fordi tredjeparts risikostyring er:
- den bedste måde at opretholde en robust forsyningskæde på
- et krav til regler i din kundes branche;
- et krav om en sikkerheds- eller forretningsmodstandsdygtighedscertificering, som din klient har
- en politik, der er pålagt internt af din klient som en betingelse for at gøre forretninger med en tredjepart; eller
- en kombination af ovenstående.
Du kan læse mere om vigtigheden af at styre sikkerhedsrisici i forsyningskæden i denne artikel fra National Cyber Security Center (NCSC).
Skal vi betale for at bruge Risk Ledger?
Nej, Risk Ledger er gratis og vil altid være gratis for leverandører til at deltage og bruge platformen til at fremvise deres sikkerhedsregime for kunder.
Is Risk Ledger a secure platform?
Ensuring the security of our platform and its users is central to what we do at Risk Ledger. We maintain strict security and confidentiality controls to ensure that your information remains secure. You can review Risk Ledger's security assessment yourself using the platform! Just request access by emailing support@riskledger.com.
Privacy:
The only data visible to organisations you are not connected with is your company’s name and the country it is registered in to allow connection requests to be sent and accepted.
Security:
- Encryption - All data sent to and from Risk Ledger is encrypted in transit. Our website, application and API are served over TLS/SSL, achieving A+ on Qualys SSL labs. We also encrypt all data at rest with the industry-standard AES-256.
- Cloud Infrastructure - Risk Ledger services and data are hosted within hardened cloud infrastructure, managed using Infrastructure-as-Code processes. We operate over two availability zones, with robust monitoring in place. Amazon Web Services (AWS) is our primary cloud provider.
- Authentication - Risk Ledger enforces strong authentication for both our users and employees, to protect our customers and their data. Multi-Factor Authentication (MFA) is mandatory to access the product and all our internal systems.
- Independent Security Testing - Risk Ledger undergoes regular vulnerability scanning and penetration tests by independent third-parties, testing our security controls against industry standards. In addition, all our employees complete regular information security training.
For further information on our security and privacy policy please visit the below pages:
Vil min Risk Ledger-vurdering være synlig for andre på platformen?
Din Risk Ledger-vurdering er kun synlig for de organisationer, du valgte at dele den med - ingen andre. Du har fuld kontrol over din profil og data på Risk Ledger.
Organisationer på Risk Ledger kan anmode om adgang til din vurdering ved at sende dig en forbindelsesanmodning på platformen. De vil kun få synlighed i din vurdering, hvis og når en autoriseret bruger på din konto har accepteret anmodningen.
De eneste data, der er synlige for andre organisationer, du ikke er forbundet med, er din virksomheds navn og det land, den er registreret i, så forbindelsesanmodninger kan sendes og accepteres.
Vi har meget streng fortrolighed og databeskyttelse på plads hos Risk Ledger. Besøg nedenstående links for mere information om dette:
Kan jeg dele min Risk Ledger-vurdering med andre kunder?
Ja, når du har gennemført din leverandørvurdering, kan du drage fordel af de gratis værktøjer, vi har designet til at sikre, at din Risk Ledger-vurdering er den sidste, du nogensinde skal gennemføre.
Du kan dele adgangen til din Risk Ledger-vurdering med et klik på en knap med enhver anden klient, der kræver, at du gennemfører en sikkerhedsrisikovurdering, så du kan undgå manuelle regneark og lange e-mail-samtaler om vurderingen.
Der er to måder, hvorpå du kan dele din Risk Ledger-vurdering, selvom din klient ikke selv er bruger af Risk Ledger:
- Forbindelsesanmodning - Du kan sende og modtage forbindelsesanmodninger via platformen. Du skal blot acceptere forbindelsesanmodninger fra dine klienter for at give dem adgang til din vurdering.
- Aktievurdering uden for Risk Ledger - Du kan dele din vurdering med andre organisationer uden for Risk Ledger, som kan bede dig om at gennemføre en leverandørvurdering ved at navigere til knappen „Del“ øverst på din vurderingsside, når du er logget ind på Risk Ledger. Knappen genererer et nyt link til din vurdering.
Du kan også angive en klientkontakts e-mail-adresse, og platformen sender dem det nye link direkte. Kun dine vurderingssvar og noter deles med linket, men ikke noget bevis.
For at få adgang til dine beviser kan klienten tilmelde sig Risk Ledger gratis og oprette forbindelse til dig via platformen.
Et link udløber om 1 måned, men kan ugyldiggøres tidligere, hvis det er nødvendigt, ved at klikke på papirkurv-ikonet.
Hvad sker der med mine data, hvis min klient ikke længere bruger Risk Ledger?
Hvis din klient holder op med at bruge Risk Ledger, eller de sletter forbindelsen mellem din organisation og deres organisation på platformen, har du ikke længere en aktiv forbindelse til dem på Risk Ledger. Du kan se og administrere klientforbindelser, mens du er logget ind på din Risk Ledger-konto på listen „Klienter“.
Når en forbindelse ikke længere er aktiv, fører vi en revisionslog for din klient af din Risikoledbog-vurdering, som den var på tidspunktet for sletningen. Dette er for at tillade, at der opretholdes et revisionsspor af din kundes tredjeparts risikostyringsaktiviteter.
Kun autoriserede brugere i din organisation administrerer din Risk Ledger-konto og data, så din profil på platformen eksisterer, medmindre du sletter din konto. Så længe din organisation har en konto, kan du dele adgangen til din Risk Ledger-vurdering for de kunder, du vælger - ingen andre.
Hvis en leverandør sletter sin konto, fjernes alle personlige data fra Risk Ledger, og kunder, der var forbundet med den pågældende leverandør, har synlighed for deres leverandørvurdering, som den var på tidspunktet for sletningen med henblik på et revisionsspor.
Hvad sker der med mine data, når vi ikke længere er leverandør til en kunde?
Når du ikke længere er leverandør til en kunde, kan du eller din klient slette din forbindelse på Risk Ledger - klik blot på knappen „Fjern klient“ på siden med kundeoversigt. Fjernelse af en klientforbindelse har ingen indflydelse på din forbindelse med andre klienter, som du har forbindelse til på Risikologger.
Når en forbindelse er slettet, vil din leverandørprofil ikke længere være synlig for kunden. Vi holder en revisionslog tilgængelig for klienten af Risk Ledger-vurderingen, som den var på tidspunktet for sletningen for at sikre, at der er et revisionsspor.
Hvem skal gennemføre Risk Ledger-vurderingen på vegne af vores organisation?
Kunder vil invitere deres vigtigste kontaktpunkt i din organisation, som har tendens til at være en kommerciel kontakt. Når du er tilmeldt, kan du tilføje et ubegrænset antal brugere til at samarbejde om at gennemføre vurderingen. Den første person, der tilmelder sig på vegne af din organisation og brugere med „admin“ -status, kan invitere alle relevante kolleger til at gennemføre dele af vurderingen, der er relevante for deres rolle og ekspertise. Dette inkluderer normalt kolleger fra informations-/cybersikkerhed, it- og informationsstyringshold.
Du kan se den fulde liste over kontroller og domæner, der er omfattet af Risk Ledger-vurderingen her til at guide dig om, hvem der muligvis skal tilføjes som bruger fra din organisation for at samarbejde om vurderingen.
Hvorfor skal jeg tilmelde mig og oprette en konto som leverandør?
Vi har designet Risk Ledger-platformen til at gøre det nemmere og hurtigere at reagere på kundesikkerhed due diligence og forsikringsvurderinger.
Ved at give leverandører mulighed for at oprette og administrere en konto på platformen giver Risk Ledger dig en brugervenlig måde at gennemføre, dokumentere og vedligeholde en omfattende sikkerhedsvurdering én gang og derefter nemt dele den med enhver anden klient, der anmoder om oplysninger om dit sikkerhedsprogram - hvilket eliminerer behovet for at gentage denne opgave for hver klient. Læs mere om, hvordan Risk Ledger fungerer for leverandører her.
Når din vurdering er afsluttet, muliggør Risk Ledger-platformen nem privat kommunikation mellem dig og dine klienter om din vurdering, hvilket eliminerer lange og forvirrende e-mail-spor, samtidig med at du holder dig opdateret med status for din vurdering med hver klient, du er forbundet med på platformen.
Hvorfor skal jeg angive et mobilnummer for at tilmelde mig?
Som sikkerhedsfokuseret virksomhed er det virkelig vigtigt for os, at din organisation og dine personlige oplysninger holdes sikre, når du bruger Risk Ledger-platformen. Multifaktorgodkendelse (MFA) er en af de bedste måder at gøre dette på for enhver brugerkonto. Du kan læse lidt mere om, hvorfor dette er vigtigt her Artikel fra National Cyber Security Center.
Skift til en Authenticator-app:
Hvis du foretrækker ikke at bruge et mobilnummer, når du er tilmeldt, kan du gå til din konto“Indstillinger „> „Min konto“ > „Konfigurer 2FA“ og tilslut din valgte godkendelsesapp til kontoen. Se dette artikel til en liste over Authenticator-apps.
Vi har flere produkter/juridiske enheder. Skal vi lave flere profiler for hver enkelt?
Leverandørvurderingen af Risk Ledger ser på risikokontrol, der er implementeret på organisationsniveau, så der bør kun oprettes en ny profil, hvis sikkerhedsordningen og styringen af sikkerhedskontrollerne adskiller sig væsentligt mellem tilknyttede juridiske enheder eller produkt-/tjenestelinjer. Hvis der er små forskelle i implementeringen af sikkerhedsrisikokontrol på tværs af en portefølje af produkter/tjenester eller mellem juridiske enheder, kan dette genkendes i afsnittet med kontekstuelle noter i dit svar for de relevante risikokontroller.
Eksempel - Koncernorganisation med flere datterselskaber
Hvis en organisation er struktureret som en koncern med flere datterselskaber, bør hvert datterselskab kunne dele den samme vurdering af Risk Ledger, hvis koncernen forvalter sikkerheden centralt med en koncernens CISO og informationssikkerhedsressourcer, hvilket afspejler det faktum, at sikkerhedsordningen og dens ledelse bør være den samme eller væsentligt ens i hele koncernen.
Hvis datterselskaberne har selvstændig eller semi-autonom sikkerhedsledelse og uafhængige sikkerhedsordninger, bør hvert selvstændigt datterselskab eller klynge af datterselskaber, der har samme sikkerhedsledelse, gennemføre deres egen vurdering af Risk Ledger for at afspejle deres uafhængige sikkerhedsstilling.
Eksempel - En organisation har en portefølje af forskellige produkter og tjenester
Hvis alle produkter og servicelinjer udvikles og leveres under samme eller en meget lignende sikkerhedsordning, bør du være i stand til at opretholde en leverandørvurdering af Risk Ledger, som du kan dele med kunder, der bruger nogen af dine produkter eller tjenester. Hvor der er små forskelle i risikokontrollerne og politikkerne implementeret i leveringen af forskellige produkter og tjenester, kan du fremhæve dette i de kontekstuelle noter om de relevante risikokontroller eller i direkte diskussioner med dine kunder på platformen.
Hvis dine produkter og tjenester udvikles i forskellige sikkerhedsmiljøer, skal du gennemføre en ny leverandørvurdering på Risk Ledger for hvert særskilt sikkerhedsmiljø.
Hvis du er usikker på, hvordan du går videre, tøv ikke med at kontakte os direkte, så hjælper vi gerne.
Kan jeg tilføje mine kolleger til at arbejde på vurderingen sammen?
Ja, du kan hurtigt føje brugere til din konto. For at tilføje brugere skal du blot bruge e-mail-adressen til den kollega, du vil tilføje.
Hvis du vil tilføje en bruger, skal du navigere til din konto Indstillinger > Brugere > Tilføj brugere
Undgå at tilføje brugere via delte e-mail-konti eller gruppe-e-mail-konti.
Du kan give adgang til platformen for flere brugere ved at tilføje hver enkelt ved hjælp af en direkte e-mail-adresse.
Vurderingen gemmes automatisk, så flere brugere kan samarbejde om vurderingen på samme tid uden at miste fremskridt.
Hvad sker der, hvis jeg svarer nej på et spørgsmål?
Vurderingen er ikke i et bestået/ikke bestået format, og dine svar vil blive sammenlignet med dine kunders sikkerhedspolitikker. Dette giver dig og dine kunder mulighed for at få større synlighed over eventuelle huller og arbejde sammen for at afhjælpe dem.
Derudover, hvis du svarer 'Nej' på et spørgsmål, kan du tilføje kontekst til dette svar i noter sektionen.
Hvis en af dine klienter kræver afhjælpning af en sikkerhedskontrol, kan de anmode om dette via platformen, og du vil blive underrettet.
Kan vi bruge Risk Ledger til at drive forsikring mod vores egne leverandører?
Ja, Risk Ledger giver dig mulighed for at skifte mellem en Leverandør- og en Kundevisning, hvilket betyder, at du kan skifte mellem at dele din egen vurdering og køre forsikring på dine egne leverandører. Kom i kontakt med teamet for at finde ud af mere!
