policy SME

Bezpečnostní politika dodavatelů a třetích stran – SME

Tato SME-adaptovaná bezpečnostní politika dodavatelů zajišťuje bezpečnou správu externích dodavatelů a podporuje soulad s ISO 27001, GDPR, NIS2 a DORA.

Přehled

Tato bezpečnostní politika dodavatelů a třetích stran zaměřená na SME stanovuje jasné požadavky a postupy pro řízení dodavatelského rizika, přístupu a souladu s ISO 27001:2022, GDPR, NIS2 a DORA.

Zmírňování dodavatelského rizika

Zajišťuje důkladné posouzení rizik a kontrolu všech dodavatelů třetích stran, kteří nakládají s důvěrnými daty nebo k nim mají přístup.

Smluvní bezpečnostní opatření

Vyžaduje vymahatelné povinnosti v oblasti bezpečnosti, ochrany osobních údajů a hlášení incidentů v dodavatelských smlouvách.

Efektivní správa pro SME

Přiřazuje jasné role pro generálního ředitele (GM) a SME bez vyhrazených týmů IT a informační bezpečnosti a udržuje soulad s ISO 27001:2022.

Přečíst celý přehled
P26S – Bezpečnostní politika dodavatelů a třetích stran je specificky přizpůsobena pro SME a odráží strukturu správy, kde obvykle chybí vyhrazené role IT, jako je ředitel informační bezpečnosti (CISO) nebo bezpečnostní operační centrum (SOC). Odpovědnost je místo toho centralizována pod generálním ředitelem (GM), což zjednodušuje pravomoc a odpovědnost při zachování silného souladu s ISO/IEC 27001:2022 a dalšími klíčovými regulačními rámci. Tento návrh zajišťuje robustní bezpečnostní dohled i pro menší organizace bez specializovaného personálu. Hlavním účelem politiky je formalizovat a vynucovat nezbytná bezpečnostní opatření při zapojování, řízení nebo ukončování vztahů s třetími stranami a dodavateli, kteří interagují s daty, systémy nebo službami organizace nebo na ně mají dopad. Pokrytí dodavatelé sahají od poskytovatelů IT a cloudových služeb až po vývojáře a konzultanty HR nebo financí. Vyjasněním bezpečnostních očekávání, dokumentováním dodavatelských rizik před udělením přístupu a vyžadováním vymahatelných smluvních kontrolních opatření politika minimalizuje rizika úniků dat, neschválených úprav systémů, regulačních porušení a narušení obchodní činnosti. Politika výslovně definuje svůj rozsah tak, aby zahrnoval jak všechny třetí strany s potenciálním přístupem k aktivům organizace, tak interní personál zapojený do výběru dodavatele, dohledu, zařazení dodavatelů, uzavírání smluv nebo přezkumu. Centralizované role zahrnují generálního ředitele, poskytovatele IT nebo interní bezpečnostní kontakt a kontakty pro pořizování nebo administrativu, což zajišťuje jasnou odpovědnost v celém životním cyklu dodavatele. Dodavatel je povinen písemně souhlasit s plněním bezpečnostních povinností a hlásit incidenty. Klíčové požadavky správy zahrnují revize dodavatelských rizik před zapojením, povinné bezpečnostní doložky ve všech smlouvách, vedení podrobného registru dodavatelů a postupy pro monitorování změn ve vlastnictví, rozsahu služby nebo subdodávkách. Kroky implementace vyžadují, aby žádnému dodavateli nebyl nikdy udělen přístup před prověrkou dodavatelů a bez výslovného schválení, aby byl poskytován pouze minimální přístup k systémům/datům a aby byl veškerý přenos dat řádně šifrován. Průběžné požadavky zahrnují periodický audit a přezkum, alespoň každoročně pro vysoce rizikové dodavatele, spolu s přísnými postupy pro ukončení smluv a odebrání přístupu. Politika integruje strukturovaný proces pro ošetření rizik a výjimky, aby byly případné mezery řízeny pomocí kompenzačních opatření a aby žádná výjimka nemohla porušit právní nebo regulační povinnosti (např. požadavky GDPR nebo DORA). Vynucování je jasně popsáno, včetně sankcí až po ukončení smlouvy a právní kroky. Připravenost na soulad je zabudována, s požadavkem na dokumentaci dostatečnou pro úspěšné audity podle ISO 27001, GDPR a souvisejících norem. Nakonec každoroční cyklus přezkumu a provázání s úzce souvisejícími politikami informační bezpečnosti zajišťují, že politika zůstává aktuální, účinná a integrovaná v širším rámci bezpečnosti.

Diagram politiky

Diagram bezpečnostní politiky dodavatelů a třetích stran znázorňující posouzení rizik, schválení smlouvy, zavedení dodavatele, průběžné přezkumy souladu, ošetření výjimek a bezpečný výstupní proces pro dodavatele.

Klikněte na diagram pro zobrazení v plné velikosti

Obsah

Rozsah a pravidla zapojení

Zavedení dodavatele a prověrka dodavatelů

Smluvní bezpečnostní doložky

Požadavky na registr dodavatelů

Regulatory compliance, např. GDPR, DORA

Proces ošetření výjimek a zvládání incidentů

Soulad s rámcem

🛡️ Podporované standardy a rámce

Tento produkt je v souladu s následujícími rámci dodržování předpisů s podrobnými mapováními doložek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(b)21(2)(i)23(1)
EU DORA
5(1)5(2)28(1)28(2)
COBIT 2019
APO10APO12DSS05

Související zásady

Politika rolí a odpovědností správy a řízení – SME

Přiřazuje pravomoc a odpovědnost za dohled nad dodavateli a vynucování smluv.

Politika řízení přístupu – SME

Poskytuje pravidla omezení přístupu, která musí být uplatněna, když je dodavatelům udělen logický přístup.

Politika ochrany údajů a ochrany osobních údajů – SME

Zajišťuje, že dodavatelé zpracovávající osobní údaje dodržují ochranu údajů a právní požadavky.

Politika uchovávání údajů a likvidace – SME

Platí pro jakákoli data nebo záznamy sdílené s dodavateli nebo jimi ukládané a upravuje bezpečnou likvidaci po ukončení smlouvy.

Politika reakce na incidenty (P30) – SME

Definuje, jak reagovat, když dodavatel způsobí nebo je zapojen do incidentu informační bezpečnosti, včetně eskalace a postupů pro forenzní důkazy.

O politikách Clarysec - Bezpečnostní politika dodavatelů a třetích stran – SME

Obecné bezpečnostní politiky jsou často vytvářeny pro velké korporace, což malým firmám ztěžuje aplikaci složitých pravidel a nejasně definovaných rolí. Tato politika je jiná. Naše politiky pro SME jsou navrženy od základu pro praktickou implementaci v organizacích bez vyhrazených bezpečnostních týmů. Přiřazujeme odpovědnosti rolím, které skutečně máte, jako je generální ředitel a váš poskytovatel IT, nikoli armádě specialistů, které nemáte. Každý požadavek je rozdělen do jedinečně číslované doložky (např. 5.2.1, 5.2.2). To mění politiku na jasný, krok za krokem kontrolní seznam, který usnadňuje implementaci, auditovatelnost a přizpůsobení bez přepisování celých částí.

Registr dodavatelů s auditní stopou

Sleduje dodavatele, úrovně přístupu, přezkumy souladu a výjimky pro regulatory compliance a připravenost na audit.

Praktický proces onboardingu a ukončení

Pokyny krok za krokem pro onboarding, přezkum a bezpečné odebrání přístupu a dat dodavatele.

Ošetření výjimek s kompenzačními opatřeními

Dokumentuje mezery dodavatele, vyžaduje schválení GM a časově omezuje zmírňování rizik, čímž zajišťuje soulad.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

Compliance Pořizování Řízení dodavatelů IT Bezpečnost

🏷️ Tematické pokrytí

Řízení rizik třetích stran Řízení dodavatelů Řízení souladu Řízení rizik
€39

Jednorázový nákup

Okamžité stažení
Doživotní aktualizace
Third-Party and Supplier Security Policy - SME

Podrobnosti o produktu

Typ: policy
Kategorie: SME
Normy: 7