policy Enterprise

Kolmandate osapoolte ja tarnijate turbepoliitika

Tagage tugev turvalisus, riskijuhtimine ja vastavus kõigis kolmandate osapoolte ja tarnijate suhetes meie tervikliku juhtimispoliitikaga.

Ülevaade

See poliitika reguleerib turvalisuse, riski ja vastavuse nõudeid kõigi kolmandate osapoolte ja tarnijate suhete jaoks, kirjeldades tarnija hoolsuskontrolli, lepingulisi kaitsemeetmeid, pidevat seiret ning lahkumisprotsessi protseduure kolmandatele osapooltele, kes käitlevad organisatsiooni andmeid või teenuseid.

Põhjalik tarnijate järelevalve

Nõuab kõigilt kolmanda osapoole teenuseosutajatelt kogu teenuse elutsükli jooksul rangeid turvakontrolle, riskide tasemetesse jaotamist ning auditeid.

Lepingulised turbekaitsemeetmed

Tagab, et tarnijalepingud sisaldavad rikkumisest teavitamist, andmekäitlust, auditeerimisõiguse tingimusi ning jõustatavaid vastavusklausleid.

Vastavuse pidev seire

Nõuab regulaarseid tulemuslikkuse ülevaatusi, sertifitseerimisauditeid ja intsidentide eskaleerimist, et säilitada kolmandate osapoolte aruandekohustus.

Loe täielikku ülevaadet
Kolmandate osapoolte ja tarnijate turbepoliitika (P26) pakub terviklikku juhtimisraamistikku turvaliste suhete loomiseks, haldamiseks ja pidevaks järelevalveks kolmanda osapoole tarnijate, töövõtjate, pilveteenuseosutajate ja teenuseorganisatsioonidega. See poliitika on mõeldud organisatsioonidele, kes on pühendunud rangete infoturbe standardite säilitamisele, kui teenuseid sisse ostetakse või hangitakse ning need teenused pääsevad ligi kriitilistele ärivaradele ja süsteemidele, töötlevad neid või integreeruvad nendega. Poliitika kehtib kõigile tarnijasuhetele, mis hõlmavad tundlikke andmeid, tootmiskeskkondi või võtmetähtsusega ärifunktsioonide tuge, hõlmates nii otseseid tarnijaid kui ka nende alltöövõtjaid. See kirjeldab üksikasjalikult rollid ja vastutused infoturbejuhile, hanke- ja tarnijahaldusfunktsioonidele, infoturbe- ja riskijuhtidele, ärisuhete omanikele ning õigus- ja vastavusfunktsioonidele. Iga roll panustab tarnijate turvalisse elutsükli haldusse alates esmasest riskihindamisest ja lepingu läbirääkimistest kuni pideva seire ja turvalise lõpetamiseni. Poliitika keskmes on nõue ametliku kolmanda osapoole klassifitseerimise ja riskide tasemetesse jaotamise mudeli järele, mis rühmitab tarnijaid andmetele juurdepääsu, teenuse kriitilisuse, regulatiivse kokkupuute ja kolmandate osapoolte sõltuvuste alusel. Kõik kolmanda osapoole suhted peavad järgima määratletud elutsükli lähenemist: tarnijad läbivad lepingueelse tarnija hoolsuskontrolli, riskihindamise ja lepingulise turbeülevaatuse; lepingud peavad sisaldama jõustatavaid turvakontrolle, sh rikkumisest teavitamist, auditeerimisõiguse tingimusi, andmekäitlust ning konkreetseid nõudeid alltöövõtjate kasutamisele. Seejärel seiratakse tarnijaid pidevalt sertifitseerimiste, teenustaseme lepingute (SLA-de) toimivuse, turbeintsidentidest teavitamise ja nende teenuste või personali muudatuste kaudu. Kui tarnija ei suuda turvanõudeid täielikult täita, nõuab poliitika ametlikku eranditaotlust koos dokumentatsiooni, kompenseerivate kontrollimeetmete ja juhtkonna heakskiiduga. Erandi staatus käivitab sagedased ülevaatused ning võib viia tingimuste ümberläbirääkimiseni või täiendavate audititeni. Tarnijad, kelle puhul tuvastatakse mittevastavus, seisavad silmitsi lepinguliste sanktsioonide, peatamise või teenuste ja juurdepääsu lõpetamisega. Range jõustamine tagatakse ajastatud vastavusauditite, tarnijate tulemuslikkuse ülevaatuste ja distsiplinaarmeetmetega sisemiste poliitikast möödahiilimise juhtumite korral. Poliitika vaadatakse läbi vähemalt kord aastas või oluliste muudatuste korral hankestrateegias, regulatiivses keskkonnas või pärast suuremaid tarnijaintsidente. Kõik muudatused ja auditi tulemused dokumenteeritakse ja edastatakse kogu organisatsioonis, säilitades täielikult jälgitava ja nõuetele vastava kolmandate osapoolte juhtimisprogrammi.

Poliitika diagramm

Kolmandate osapoolte ja tarnijate turbepoliitika diagramm, mis illustreerib tarnijate riskihindamist, lepingulist sisseelamist, regulaarset seiret, erandite haldust ja turvalise lõpetamise töövooge.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kohaldamisala ja kaasamise reeglid

Tarnija hoolsuskontrolli nõuded

Kolmanda osapoole riskide klassifitseerimise ja tasemetesse jaotamise mudel

Lepingulised turbeklauslid

Pidevad tulemuslikkuse ja vastavuse ülevaatused

Lõpetamise ja lahkumisprotsessi protokollid

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
283233
EU NIS2
21(2)(e)21(2)(f)
EU DORA
2830
COBIT 2019
BAI05DSS02MEA03

Seotud poliitikad

Infoturbepoliitika

Kehtestab üldise kohustuse tagada turvalisus kõigis organisatsiooni tegevustes, sh sõltuvus kolmanda osapoole tarnijatest ja kolmanda osapoole teenuseosutajatest.

Riskijuhtimise poliitika

Juhib kolmandate osapoolte suhetega seotud riskide tuvastamist, hindamist ja riskide maandamist, sh tarnijaökosüsteemidest pärinevaid pärandatud või süsteemseid riske.

Andmekaitse ja privaatsuse poliitika

Kehtib kõigile tarnijatele, kes käitlevad isikuandmeid, nõudes asjakohaseid lepingulisi tingimusi, sisemiste andmeedastuste kaitsemeetmeid ning andmekaitse ja andmete minimeerimise põhimõtteid.

Juurdepääsukontrolli poliitika

Kontrollib, kuidas kolmanda osapoole personal saab juurdepääsu organisatsiooni süsteemidele, jõustades rollipõhist juurdepääsukontrolli, sessioonikontrolle ja juurdepääsuõiguste tühistamise protseduure.

Logimis- ja seirepoliitika

Nõuab, et tarnijate juurdepääsu süsteemidele seirataks, logitaks ja vaadataks läbi, eriti keskkondades, kus toimuvad privilegeeritud või andmekesksed tegevused.

Intsidentidele reageerimise poliitika (P30)

Määratleb eskaleerimisprotseduurid ja teatamiskohustused tarnijast lähtuvate turbesündmuste või ühiste uurimiste korral, mis hõlmavad kolmanda osapoole süsteeme.

Claryseci poliitikate kohta - Kolmandate osapoolte ja tarnijate turbepoliitika

Tõhus turbejuhtimine nõuab enamat kui sõnu; see nõuab selgust, aruandekohustust ja struktuuri, mis skaleerub koos teie organisatsiooniga. Üldised mallid ebaõnnestuvad sageli, tekitades ebaselgust pikkade lõikude ja määratlemata rollidega. See poliitika on loodud olema teie turbeprogrammi operatiivne selgroog. Me määrame vastutused konkreetsetele rollidele, mida leidub kaasaegses ettevõttes, sh infoturbejuht, IT- ja infoturbemeeskonnad ning asjakohased komiteed, tagades selge aruandekohustuse. Iga nõue on unikaalselt nummerdatud klausel (nt 5.1.1, 5.1.2). See atomaarne struktuur muudab poliitika lihtsasti rakendatavaks, auditeeritavaks konkreetsete kontrollimeetmete vastu ning turvaliselt kohandatavaks ilma dokumendi terviklust mõjutamata, muutes selle staatilisest dokumendist dünaamiliseks, rakendatavaks raamistikuks.

Erandite haldus on sisse ehitatud

Sisaldab ametlikku protsessi tarnijate turbe-erandite jaoks, nõudes põhjendust, riskianalüüsi ja ajaliselt piiratud kontrollimeetmeid.

Elutsükli protsessi integreerimine

Integreerib turvalisuse hankesse, sisseelamisse, teenuse seiresse ja lahkumisprotsessi igas tarnijasuhtes.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT turvalisus vastavus hange Tarnijahaldus

🏷️ Temaatiline katvus

kolmandate osapoolte riskijuhtimine tarnijate haldus vastavuse juhtimine Juurdepääsukontroll
€59

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Third-Party and Supplier Security Policy

Toote üksikasjad

Tüüp: policy
Kategooria: Enterprise
Standardid: 7