Kolmansien osapuolten ja toimittajien tietoturvapolitiikka

Kolmansien osapuolten ja toimittajien tietoturvapolitiikka (P26) tarjoaa kattavan hallintomallin turvallisten suhteiden perustamiseen, hallintaan ja jatkuvaan valvontaan kolmannen osapuolen toimittajien, urakoitsijoiden, pilvipalveluntarjoajien ja palveluorganisaatioiden kanssa. Politiikka on tarkoitettu organisaatioille, jotka sitoutuvat ylläpitämään tiukkoja tietoturvastandardeja ulkoistaessaan tai hankkiessaan palveluja, jotka saavat pääsyn kriittisiin liiketoimintasovelluksiin, omaisuuseriin ja järjestelmiin, käsittelevät niitä tai integroituvat niihin. Politiikka koskee kaikkia toimittajasitoumuksia, joihin liittyy sääntelyn alaiset tiedot, tuotantoympäristö tai keskeisten liiketoimintatoimintojen tuki, ja se kattaa sekä suorat toimittajat että niiden alihankkijat. Se määrittelee yksityiskohtaiset roolit ja vastuut tietoturvajohtajalle (CISO), hankinnalle ja toimittajahallinnalle, tietoturvallisuus- ja riskienhallintavastuuhenkilöille, liiketoimintasuhteiden omistajille sekä laki- ja vaatimustenmukaisuus -toiminnoille. Kukin rooli osallistuu toimittajien turvalliseen elinkaaren hallintaan alkuperäisestä riskien arvioinnista ja sopimusneuvotteluista jatkuvaan seurantaan ja turvalliseen irtautumiseen. Politiikan ytimessä on vaatimus muodollisesta kolmansien osapuolten luokittelu- ja riskitasomallista, jossa toimittajat ryhmitellään tietojen käyttöoikeuksien, palvelun kriittisyyden, sääntelyaltistumien ja kolmansien osapuolten riippuvuuksien perusteella. Kaikkien kolmansien osapuolten sitoumusten on noudatettava määriteltyä elinkaarilähestymistapaa: toimittajat käyvät läpi sopimusta edeltävän toimittajahuolellisuusarvioinnin, riskien arvioinnin ja sopimuksellisen tietoturvakatselmoinnin; sopimuksissa on oltava täytäntöönpanokelpoiset tietoturvakontrollit, mukaan lukien tietoturvaloukkauksista ilmoittaminen, tarkastusoikeudet, tietojen käsittely sekä alihankkijoiden käyttöä koskevat erityisvaatimukset. Tämän jälkeen toimittajia seurataan jatkuvasti sertifiointien, palvelutasosopimusten suorituskyvyn, tietoturvapoikkeamien raportointikäytäntöjen sekä palveluihin tai henkilöstöön tehtyjen muutosten kautta. Jos toimittaja ei pysty täyttämään tietoturvavaatimuksia kokonaisuudessaan, politiikka edellyttää muodollista poikkeuspyyntöprosessia, jossa on dokumentaatio, kompensoivat hallintakeinot ja johdon hyväksyntä. Poikkeusstatus käynnistää tiheät katselmoinnit ja voi johtaa uudelleenneuvoteltuihin ehtoihin tai täydentäviin auditointeihin. Toimittajat, joiden todetaan olevan vaatimustenvastaisia, kohtaavat sopimussanktiot, keskeytyksen tai palvelujen ja pääsyn päättämisen. Tiukka täytäntöönpano varmistetaan aikataulutetuilla vaatimustenmukaisuusauditoinneilla, toimittajien suorituskykykatselmuksilla sekä kurinpitotoimenpiteillä sisäisistä politiikan kiertämisistä. Politiikka katselmoidaan vähintään vuosittain tai merkittävien muutosten yhteydessä hankintastrategiassa, sääntely-ympäristössä tai merkittävien toimittajapoikkeamien jälkeen. Kaikki muutokset ja auditointitulokset dokumentoidaan ja viestitään koko organisaatiossa, mikä ylläpitää täysin jäljitettävää ja vaatimustenmukaista kolmansien osapuolten hallintotapaohjelmaa.