Политика за сигурност на доставчиците и трети страни

Политика за сигурност на доставчиците и трети страни (P26) предоставя всеобхватна рамка за управление за установяване, управление и непрекъснат надзор на сигурни взаимоотношения с доставчици от трети страни, изпълнители, облачни доставчици и доставчици на услуги на трети страни. Тази политика е предназначена за организации, ангажирани с поддържането на строги стандарти за информационна сигурност при външно възлагане или закупуване на услуги, които имат достъп до, обработват или се интегрират с критични бизнес активи и системи. Политиката се прилага за всички ангажименти с доставчици, които включват чувствителни данни, продукционна среда или поддръжка на ключови бизнес функции, като обхваща както директните доставчици, така и техните подизпълнители. Тя описва подробни роли и отговорности за директора по информационна сигурност (CISO), набавяне и управление на доставчици, ръководители по информационна сигурност и риск, собственици на бизнес взаимоотношения и функцията „Правни въпроси и съответствие“. Всяка роля допринася за сигурното управление на жизнения цикъл на доставчиците — от първоначална оценка на риска и договаряне на договори до текущ мониторинг и сигурно прекратяване на взаимоотношенията. В основата на политиката е изискването за формален модел за класификация на трети страни и рисково класифициране, който групира доставчиците според достъпа до данни, критичността на услугата, регулаторните експозиции и зависимостите от трети страни. Всички ангажименти с трети страни трябва да следват дефиниран подход на жизнен цикъл: доставчиците преминават през преддоговорна надлежна проверка на доставчиците, оценка на риска и договорен преглед на сигурността; договорите трябва да бъдат оборудвани с приложими контролни мерки за сигурност, включително срокове за уведомяване, клаузи за право на одит, боравене с данни и специфични изисквания за използването на подизпълнители. След това доставчиците се наблюдават непрекъснато чрез сертификации, резултатност по споразумения за ниво на обслужване (SLA), докладване на инциденти и промени в техните услуги или персонал. Ако доставчик не може напълно да изпълни изискванията за сигурност, политиката изисква формален процес по искане на изключения, с документация, компенсиращи контролни мерки и одобрение от висшето ръководство. Статусът на изключение задейства чести прегледи и може да доведе до предоговаряне на условията или допълнителни одити. Доставчици, за които е установено несъответствие, са изправени пред договорни санкции, спиране или прекратяване на услуги и достъп. Стриктното прилагане се осигурява чрез планирани одити по съответствието, прегледи на резултатността на доставчиците и дисциплинарни мерки за вътрешни заобикаляния на политики. Политиката се преглежда поне ежегодно или при значими промени в стратегията за набавяне, регулаторната среда или след значими инциденти при доставчици. Всички промени и резултати от одити се документират и комуникират в организацията, като се поддържа напълно проследима и съответстваща програма за управление на трети страни.