policy SME

Politika sigurnosti dobavljača i trećih strana - SME

Ova Politika sigurnosti dobavljača i trećih strana prilagođena za SME osigurava sigurno upravljanje vanjskim dobavljačima, uz podršku usklađenosti s ISO 27001, GDPR, NIS2 i DORA.

Pregled

Ova Politika sigurnosti dobavljača i trećih strana usmjerena na SME postavlja jasne zahtjeve i postupke za kontrolu rizika dobavljača, udaljeni pristup i usklađenost s ISO 27001:2022, GDPR, NIS2 i DORA.

Ublažavanje rizika dobavljača

Osigurava temeljitu procjenu rizika i kontrolu svih dobavljača koji rukuju povjerljivim podacima ili imaju vanjski pristup.

Ugovorne sigurnosne kontrole

Propisuje provedive obveze sigurnosti, privatnost podataka i prijavljivanje incidenata unutar ugovora s dobavljačima.

Učinkovito upravljanje za SME

Dodjeljuje jasne uloge za glavnog izvršnog direktora i SME bez namjenskih sigurnosnih timova, uz održavanje usklađenosti s ISO 27001:2022.

Pročitaj cijeli pregled
P26S – Politika sigurnosti dobavljača i trećih strana posebno je prilagođena za SME, odražavajući strukturu upravljanja u kojoj namjenske IT uloge poput glavnog službenika za informacijsku sigurnost (CISO) ili centra za sigurnosne operacije (SOC) tipično ne postoje. Umjesto toga, odgovornost je centralizirana pod glavnim izvršnim direktorom (GM), čime se pojednostavljuje odgovornost uz zadržavanje snažne usklađenosti s ISO/IEC 27001:2022 i drugim ključnim regulatornim okvirima. Ovaj dizajn osigurava robustan sigurnosni nadzor čak i za manje organizacije bez specijaliziranog osoblja. Glavna svrha politike je formalizirati i provoditi ključne sigurnosne mjere pri angažiranju, upravljanju ili prestanku odnosa s trećim stranama i dobavljačima koji komuniciraju s podacima, sustavima ili uslugama organizacije ili na njih utječu. Obuhvaćeni dobavljači uključuju IT i pružatelje usluga treće strane, pružatelje usluga u oblaku, razvijatelje softvera te savjetnike za odjel ljudskih resursa ili financijsko osoblje. Razjašnjavanjem sigurnosnih očekivanja, dokumentiranjem rizika dobavljača prije dodjele pristupa i zahtijevanjem provedivih ugovornih zaštitnih mjera, politika smanjuje rizike od curenja podataka, neodobrenih izmjena sustava, regulatornih prekršaja i prekida poslovanja. Politika izričito definira svoj opseg tako da uključuje sve treće strane s potencijalnim pristupom organizacijskim informacijskim sustavima i korporativnoj IT imovini, kao i interno svo osoblje uključeno u odabir dobavljača, nadzor, uvođenje dobavljača, ugovaranje ili pregled. Centralizirane uloge uključuju glavnog izvršnog direktora, IT pružatelja ili internu sigurnosnu kontaktnu osobu te kontakte iz nabave ili administracije, čime se osigurava jasna odgovornost kroz životni ciklus dobavljača. Dobavljač je obvezan pisanim putem pristati na poštivanje obveza sigurnosti i prijavljivanje incidenata. Ključni zahtjevi upravljanja obuhvaćaju preglede rizika dobavljača prije angažmana, obvezne sigurnosne klauzule u svim ugovorima, održavanje detaljnog registra dobavljača te postupke za praćenje promjena vlasništva, opsega usluge ili podugovaranja. Koraci implementacije zahtijevaju da se nijednom dobavljaču nikada ne dodijeli pristup prije dubinske analize dobavljača i bez izričitog odobrenja, da se dodjeljuje samo minimalni pristup sustavima/podacima te da je sav prijenos podataka pravilno šifriran. Kontinuirani zahtjevi uključuju periodičnu reviziju i pregled, najmanje godišnje za dobavljače visokog rizika, uz stroge postupke za prestanak ugovora i ukidanje pristupa. Politika integrira strukturirani proces za obradu rizika i upravljanje iznimkama, osiguravajući da se sve praznine upravljaju kompenzacijskim kontrolama te da nijedna iznimka ne može kršiti pravne obveze ili regulatorne obveze (npr. zahtjeve GDPR-a ili DORA-e). Provedba je jasno opisana, s navedenim sankcijama do i uključujući prestanak ugovora i pravne radnje. Spremnost za reviziju ugrađena je kroz zahtjev za dokumentacijom dovoljnom za prolazak revizija prema ISO 27001, GDPR-u i povezanim standardima. Konačno, godišnji ciklus pregleda i povezanost s blisko povezanim politikama informacijske sigurnosti osiguravaju da politika ostane aktualna, učinkovita i integrirana u širi okvir sigurnosti.

Dijagram politike

Dijagram politike sigurnosti dobavljača i trećih strana koji prikazuje procjenu rizika, odobravanje ugovora, uvođenje, kontinuirane preglede usklađenosti, upravljanje iznimkama i siguran izlazni proces za dobavljače.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg i pravila angažmana

Uvođenje dobavljača i dubinska analiza dobavljača

Ugovorne sigurnosne klauzule

Zahtjevi za registar dobavljača

Usklađenost s propisima, npr. GDPR, DORA

Postupanje s iznimkama i postupanje s incidentima

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(b)21(2)(i)23(1)
EU DORA
5(1)5(2)28(1)28(2)
COBIT 2019
APO10APO12DSS05

Povezane politike

Politika uloga i odgovornosti upravljanja - SME

Dodjeljuje odgovornost za nadzor dobavljača i provedbu ugovora.

Politika kontrole pristupa - SME

Pruža pravila ograničenja pristupa koja se moraju primijeniti kada se dobavljačima dodijeli pristup sustavima.

Politika zaštite podataka i privatnosti podataka - SME

Osigurava da dobavljači koji rukuju osobnim podacima poštuju načela zaštite podataka i pravne zahtjeve.

Politika zadržavanja podataka i zbrinjavanja - SME

Primjenjuje se na sve podatke ili zapise koji se dijele s dobavljačima ili ih dobavljači pohranjuju te uređuje sigurno zbrinjavanje nakon prestanka ugovora.

Politika odgovora na incidente - SME

Definira kako odgovoriti kada dobavljač uzrokuje ili je uključen u incident informacijske sigurnosti, uključujući eskalaciju i postupke rukovanja dokazima.

O Clarysec politikama - Politika sigurnosti dobavljača i trećih strana - SME

Generičke sigurnosne politike često su izrađene za velike korporacije, zbog čega se mala poduzeća muče s primjenom složenih pravila i nejasno definiranim ulogama. Ova politika je drugačija. Naše politike za SME osmišljene su od temelja za praktičnu implementaciju u organizacijama bez namjenskih sigurnosnih timova. Dodjeljujemo odgovornosti ulogama koje stvarno imate, poput glavnog izvršnog direktora i vašeg IT pružatelja, a ne vojsci specijalista koje nemate. Svaki zahtjev razložen je u jedinstveno numeriranu odredbu (npr. 5.2.1, 5.2.2). Time se politika pretvara u jasan kontrolni popis korak-po-korak, što olakšava implementaciju, spremnost za reviziju i prilagodbu bez prepisivanja cijelih odjeljaka.

Registar dobavljača s revizijskim tragom

Prati dobavljače, razine pristupa, preglede usklađenosti i iznimke radi usklađenosti s propisima i spremnosti za reviziju.

Operativan proces uvođenja i prestanka

Upute korak-po-korak za uvođenje, pregled i sigurno uklanjanje pristupa i podataka dobavljača.

Postupanje s iznimkama uz kompenzacijske kontrole

Dokumentira praznine dobavljača, zahtijeva odobrenje glavnog izvršnog direktora i vremenski ograničava mjere ublažavanja rizika, uz osiguranje usklađenosti.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Usklađenost Nabava upravljanje dobavljačima IT sigurnost

🏷️ Tematska pokrivenost

Upravljanje rizicima trećih strana Upravljanje dobavljačima Upravljanje usklađenošću Upravljanje rizicima
€39

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja
Third-Party and Supplier Security Policy - SME

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: SME
Standardi: 7