Harmadik fél és beszállítói biztonsági szabályzat – KKV

A P26S – Harmadik fél és beszállítói biztonsági szabályzat kifejezetten KKV-k számára készült, és olyan irányítási struktúrát tükröz, ahol a dedikált IT-szerepkörök, mint a CISO vagy a biztonsági műveleti központ (SOC), jellemzően hiányoznak. Ehelyett a felelősség a vezérigazgató (GM) alá kerül központosításra, egyszerűsítve az elszámoltathatóságot, miközben fenntartja az ISO/IEC 27001:2022 és más kulcsfontosságú szabályozási keretrendszerek szerinti erős megfelelést. Ez a kialakítás kisebb szervezetek számára is biztosítja a robusztus biztonsági felügyeletet specializált személyzet nélkül. A szabályzat fő célja az alapvető biztonsági intézkedések formalizálása és kikényszerítése minden olyan esetben, amikor a szervezet harmadik felekkel és beszállítókkal létesít, kezel vagy megszüntet kapcsolatot, akik a szervezet adataival, rendszereivel vagy szolgáltatásaival kapcsolatba kerülnek, illetve azokra hatással vannak. A lefedett beszállítók köre az IT- és felhőszolgáltatóktól a fejlesztőkön át a HR- vagy pénzügyi tanácsadókig terjed. A biztonsági elvárások tisztázásával, a beszállítói kockázatok dokumentálásával a hozzáférés biztosítása előtt, valamint a kikényszeríthető szerződéses védelmi intézkedések előírásával a szabályzat minimalizálja az adatszivárgás, a nem jóváhagyott rendszermódosítások, a szabályozási jogsértések és az üzletmenet-zavar kockázatait. A szabályzat kifejezetten meghatározza a hatókörét úgy, hogy az kiterjed mind a szervezeti információs rendszerekhez vagy vagyonelemekhez potenciálisan hozzáféréssel rendelkező valamennyi harmadik félre, mind pedig azokra a belső felhasználókra, akik részt vesznek a beszállítók kiválasztásában, felügyeletében, beléptetésében, szerződtetésében vagy felülvizsgálatában. A központosított szerepkörök közé tartozik a vezérigazgató (GM), az IT-szolgáltató vagy belső biztonsági kapcsolattartó, valamint a beszerzési vagy adminisztratív kapcsolattartók, biztosítva az egyértelmű elszámoltathatóságot a beszállítói életciklus teljes során. A beszállítónak írásban kell vállalnia a biztonsági kötelezettségek betartását és az incidensek bejelentését. A kulcsfontosságú irányítási követelmények lefedik a beszállítói kockázati felülvizsgálatokat a bevonás előtt, a kötelező biztonsági záradékokat minden szerződésben, egy részletes beszállítói nyilvántartás fenntartását, valamint az eljárásokat a tulajdonosi változások, a szolgáltatási hatókör vagy az alvállalkozói bevonás nyomon követésére. A bevezetési lépések megkövetelik, hogy egyetlen beszállító se kapjon hozzáférést beszállítói átvilágítás és kifejezett jóváhagyás nélkül, hogy kizárólag minimális rendszer-/adat-hozzáférés kerüljön biztosításra, és hogy minden adattovábbítás megfelelően titkosított legyen. A folyamatos követelmények közé tartozik az időszakos audit és felülvizsgálat, legalább évente a magas kockázatú beszállítók esetében, továbbá szigorú eljárások a szerződések megszüntetésére és a hozzáférés visszavonására. A szabályzat strukturált folyamatot integrál a kockázatkezelés és a kivételek kezelésére, biztosítva, hogy bármely hiányosság kompenzáló kontrollokkal kerüljön kezelésre, és hogy egyetlen kivétel se sérthesse a jogi vagy szabályozási kötelezettségeket (pl. GDPR- vagy DORA-követelmények). Az érvényesítés egyértelműen leírt, a szankciók a szerződés megszüntetéséig és jogi eljárásig terjedhetnek. A megfelelőségi felkészültség beépített, megkövetelve az ISO 27001, a GDPR és kapcsolódó szabványok szerinti auditok teljesítéséhez elegendő dokumentációt. Végül az éves felülvizsgálati ciklus és a szorosan kapcsolódó információbiztonsági szabályzatokkal való összekapcsolás biztosítja, hogy a szabályzat naprakész, eredményes és a tágabb biztonsági keretrendszerbe integrált maradjon.