policy Enterprise

Bezpečnostní politika dodavatelů a třetích stran

Zajistěte robustní bezpečnost, řízení rizik a soulad napříč všemi vztahy s dodavateli a poskytovateli služeb třetích stran pomocí naší komplexní politiky správy a řízení.

Přehled

Tato politika upravuje požadavky na bezpečnost, riziko a soulad pro všechny vztahy s dodavateli a poskytovateli služeb třetích stran a popisuje prověrku dodavatelů, smluvní bezpečnostní záruky, průběžné monitorování a výstupní proces pro třetí strany, které nakládají s daty organizace nebo poskytují služby.

Komplexní dohled nad dodavateli

Nařizuje přísná bezpečnostní opatření, rozdělení rizik do úrovní a audity pro všechny poskytovatele služeb třetích stran v průběhu jejich životního cyklu poskytování služeb.

Smluvní bezpečnostní záruky

Zajišťuje, aby dodavatelské smlouvy zahrnovaly oznamovací povinnosti při porušení zabezpečení dat, nakládání s daty, smluvní ustanovení o právu auditu a vymahatelná ustanovení o souladu.

Průběžné monitorování souladu

Vyžaduje pravidelné přezkumy výkonnosti, certifikační audity a eskalace incidentů pro udržení odpovědnosti třetích stran.

Přečíst celý přehled
Bezpečnostní politika dodavatelů a třetích stran (P26) poskytuje komplexní rámec správy a řízení pro navazování, řízení a průběžný dohled nad bezpečnými vztahy s dodavateli třetích stran, dodavateli, cloudovými poskytovateli a poskytovateli služeb třetích stran. Tato politika je určena pro organizace, které se zavazují udržovat přísné standardy bezpečnosti informací při outsourcingu nebo pořizování služeb, které přistupují ke kritickým podnikovým aktivům a systémům, zpracovávají je nebo se s nimi integrují. Politika se vztahuje na všechny dodavatelské vztahy, které zahrnují citlivá data, produkční prostředí nebo podporu klíčových obchodních funkcí, a pokrývá jak přímé dodavatele, tak jejich subdodavatele. Vymezuje podrobné role a odpovědnosti pro ředitele informační bezpečnosti (CISO), pořizování a řízení dodavatelů, vedoucí bezpečnosti informací a řízení rizik, vlastníky obchodních vztahů a funkce právní a compliance. Každá role přispívá k bezpečnému řízení životního cyklu dodavatelů – od počátečního posouzení rizik a vyjednávání smluv až po průběžné monitorování a bezpečné ukončení spolupráce. Stěžejním požadavkem politiky je formální model klasifikace třetích stran a rozdělení rizik do úrovní, který seskupuje dodavatele podle přístupu k datům, kritičnosti služby, regulačních expozic a závislostí na třetích stranách. Všechny vztahy s třetími stranami musí dodržovat definovaný přístup životního cyklu: dodavatelé procházejí před uzavřením smlouvy prověrkou dodavatelů, posouzením rizik a smluvním přezkumem bezpečnosti; smlouvy musí být vybaveny vymahatelnými bezpečnostními opatřeními, včetně oznamovacích povinností při porušení zabezpečení dat, smluvních ustanovení o právu auditu, nakládání s daty a specifických požadavků na využívání subdodavatelů. Dodavatelé jsou následně průběžně monitorováni prostřednictvím certifikací, plnění dohody o úrovni služeb (SLA), hlášení incidentů a změn jejich služeb nebo personálu. Pokud dodavatel nemůže plně splnit bezpečnostní požadavky, politika nařizuje formální proces žádosti o výjimku, včetně dokumentace, kompenzačních opatření a schválení vrcholovým vedením. Stav výjimky spouští časté přezkumy a může vést k přejednání podmínek nebo doplňkovým auditům. Dodavatelé, u nichž je zjištěn nesoulad, čelí smluvním sankcím, pozastavení nebo ukončení služeb a přístupu. Přísné vynucování je zajištěno prostřednictvím plánovaných auditů souladu, přezkumů výkonnosti dodavatelů a disciplinárních opatření za interní obcházení politik. Politika je přezkoumávána nejméně jednou ročně nebo při významných změnách strategie pořizování, regulačního prostředí nebo po závažných incidentech dodavatelů. Všechny změny a výsledky auditu jsou dokumentovány a komunikovány napříč organizací, čímž je udržován plně dohledatelný a vyhovující program správy třetích stran.

Diagram politiky

Diagram Bezpečnostní politiky dodavatelů a třetích stran znázorňující posouzení rizik dodavatelů, smluvní onboarding, pravidelné monitorování, správu výjimek a pracovní postupy bezpečného ukončení.

Klikněte na diagram pro zobrazení v plné velikosti

Obsah

Rozsah a pravidla zapojení

Požadavky na prověrku dodavatelů

Model klasifikace a rozdělení rizik třetích stran do úrovní

Smluvní bezpečnostní ustanovení

Průběžné přezkumy výkonnosti a souladu

Protokoly ukončení a výstupní proces

Soulad s rámcem

🛡️ Podporované standardy a rámce

Tento produkt je v souladu s následujícími rámci dodržování předpisů s podrobnými mapováními doložek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
283233
EU NIS2
21(2)(e)21(2)(f)
EU DORA
2830
COBIT 2019
BAI05DSS02MEA03

Související zásady

P01 Politika informační bezpečnosti

Stanovuje zastřešující závazek zabezpečit veškeré činnosti organizace, včetně závislosti na dodavatelích třetích stran a poskytovatelích služeb třetích stran.

Politika řízení rizik

Řídí identifikaci rizik, posouzení rizik a zmírňování rizik spojených se vztahy s třetími stranami, včetně zděděných nebo systémových rizik z ekosystémů dodavatelů.

Ochrana údajů a ochrana osobních údajů – politika

Vztahuje se na všechny dodavatele, kteří nakládají s osobními údaji, a vyžaduje odpovídající smluvní podmínky, záruky přenosu a principy ochrany soukromí již od návrhu.

Politika řízení přístupu

Řídí, jak personál třetích stran získává logický přístup k systémům organizace, vynucuje řízení přístupu na základě rolí (RBAC), monitorování a zaznamenávání relací a postupy odebrání přístupu.

Politika protokolování a monitorování

Vyžaduje, aby byl přístup dodavatelů k systémům monitorován, auditní protokolování a přezkoumání protokolů, zejména v prostředích, kde probíhají privilegované nebo na data zaměřené činnosti.

Politika reakce na incidenty (P30)

Definuje eskalační postupy a požadavky na hlášení incidentů pro bezpečnostní události pocházející od dodavatelů nebo společná vyšetřování zahrnující systémy třetích stran.

O politikách Clarysec - Bezpečnostní politika dodavatelů a třetích stran

Efektivní správa a řízení bezpečnosti vyžaduje více než jen slova; vyžaduje jasnost, odpovědnost a strukturu, která se škáluje s vaší organizací. Obecné šablony často selhávají a vytvářejí nejasnosti prostřednictvím dlouhých odstavců a nedefinovaných rolí. Tato politika je navržena jako provozní páteř vašeho bezpečnostního programu. Přiřazujeme odpovědnosti konkrétním rolím, které se v moderním podniku běžně vyskytují, včetně ředitele informační bezpečnosti (CISO), IT bezpečnosti a relevantních výborů, čímž zajišťujeme jasnou odpovědnost. Každý požadavek je jedinečně číslované ustanovení (např. 5.1.1, 5.1.2). Tato atomická struktura usnadňuje implementaci politiky, audit vůči konkrétním bezpečnostním opatřením a bezpečné přizpůsobení bez narušení integrity dokumentu – mění ji ze statického dokumentu na dynamický, proveditelný rámec.

Správa výjimek je součástí

Obsahuje formální proces pro výjimky z bezpečnostních požadavků dodavatelů, vyžadující odůvodnění, analýzu rizik a časově omezená opatření.

Integrace procesů životního cyklu

Integruje bezpečnost do pořizování, onboardingu, monitorování služeb a výstupního procesu pro každý vztah s dodavatelem.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

IT bezpečnost soulad pořizování Řízení dodavatelů

🏷️ Tematické pokrytí

řízení rizik třetích stran správa dodavatelů řízení souladu řízení přístupu
€59

Jednorázový nákup

Okamžité stažení
Doživotní aktualizace
Third-Party and Supplier Security Policy

Podrobnosti o produktu

Typ: policy
Kategorie: Enterprise
Normy: 7