Acuerdos con proveedores

Respuesta: Vo y en la misma línea que el proveedor de Transmisión Digital, porque supongo que ellos están considerando vuestro proveedor ERP como un proveedor que procesa, o almacena, su información, y desde mi punto de vista, no es necesario tener una relación comercial para intermcabiar información entre 2 partes (por ejemplo, puedo enviarte un email con información confidencial, antes de comenzar una relación comercial, pero antes, te solicitaré que firmes un acuerdo de confidencialidad).

Por otra parte, el Anexo A de la ISO 27001 tiene el control A.15.1.2, que dice : “All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information”. Por tanto, está claro -desde el punto de vista de la ISO 27001- si el proveedor de ERP procesa, o almacena información, es un proveedor que debería firmar un acuerdo con la compañía que tiene implementada/certificada la ISO 27001.

Por último, este artículo sobre el manejo de la seguridad en las relaciones con proveedores te puede interesar “6-step process for handling supplier security according to ISO 27001” : https://advisera.com/27001academy/blog/2014/06/30/6-step-process-for-handling-supplier-security-according-to-iso-27001/