policy SME

Trečiųjų šalių ir tiekėjų saugumo politika – SME

Ši SME pritaikyta trečiųjų šalių ir tiekėjų saugumo politika užtikrina saugų išorinių tiekėjų valdymą, palaikydama ISO 27001, GDPR, NIS2 ir DORA atitiktį.

Apžvalga

Ši SME orientuota trečiųjų šalių ir tiekėjų saugumo politika nustato aiškius reikalavimus ir procedūras tiekėjų rizikos, prieigos ir atitikties ISO/IEC 27001:2022, GDPR, NIS2 ir DORA kontrolei.

Tiekėjų rizikos mažinimas

Užtikrina išsamų rizikos vertinimą ir visų tiekėjų, tvarkančių jautrius duomenis arba turinčių prieigą, kontrolę.

Sutartinės saugumo kontrolės priemonės

Numato vykdytinus saugumo, duomenų privatumo ir pranešimo apie incidentus įsipareigojimus tiekėjų sutartyse.

Efektyvi SME valdysena

Priskiria aiškius vaidmenis GM ir SME, neturinčioms dedikuotų saugumo komandų, išlaikant ISO/IEC 27001:2022 atitiktį.

Skaityti visą apžvalgą
P26S – Trečiųjų šalių ir tiekėjų saugumo politika yra specialiai pritaikyta SME, atspindint valdysenos struktūrą, kurioje paprastai nėra dedikuotų IT vaidmenų, tokių kaip vyriausiasis informacijos saugumo pareigūnas (CISO) ar Saugumo operacijų centras (SOC). Vietoje to atsakomybė centralizuojama vyriausiajam vykdomajam pareigūnui (GM), supaprastinant atskaitomybę ir išlaikant tvirtą atitiktį ISO/IEC 27001:2022 ir kitiems pagrindiniams reglamentavimo reikalavimams. Toks dizainas užtikrina patikimą saugumo priežiūrą net mažesnėms organizacijoms be specializuoto personalo. Pagrindinis politikos tikslas – formalizuoti ir užtikrinti esmines saugumo priemones, kai įtraukiami, valdomi ar nutraukiami santykiai su trečiosiomis šalimis ir tiekėjais, kurie sąveikauja su organizacijos duomenimis, sistemomis ar paslaugomis arba daro joms poveikį. Apimami tiekėjai – nuo IT ir debesijos paslaugų teikėjų iki programinės įrangos kūrėjų ir personalo skyriaus ar finansų konsultantų. Aiškiai apibrėžiant saugumo lūkesčius, dokumentuojant tiekėjų rizikas prieš suteikiant prieigą ir reikalaujant vykdytinų sutartinių apsaugos priemonių, politika mažina duomenų nutekėjimo, nepatvirtintų sistemų pakeitimų, reglamentavimo pažeidimų ir veiklos sutrikdymo riziką. Politika aiškiai apibrėžia taikymo sritį, įtraukdama tiek visas trečiąsias šalis, galinčias turėti prieigą prie organizacijos turto, tiek vidinį personalą, dalyvaujantį tiekėjų atrankoje, priežiūroje, tiekėjų įtraukime, sutarčių sudaryme ar peržiūroje. Centralizuoti vaidmenys apima vyriausiąjį vykdomąjį pareigūną, IT paslaugų teikėją arba vidinį saugumo kontaktą ir pirkimų ar administracinius kontaktus, užtikrinant aiškią atskaitomybę per visą tiekėjo gyvavimo ciklą. Tiekėjas privalo raštu sutikti laikytis saugumo įsipareigojimų ir pranešti apie incidentus. Pagrindiniai valdysenos reikalavimai apima tiekėjų rizikos peržiūras prieš įtraukimą, privalomas saugumo sąlygas visose sutartyse, detalaus tiekėjų registro palaikymą ir procedūras, skirtas stebėti nuosavybės, paslaugų apimties ar subrangos pokyčius. Įgyvendinimo žingsniai reikalauja, kad nė vienam tiekėjui nebūtų suteikiama prieiga prieš tiekėjų deramą patikrinimą ir be aiškaus patvirtinimo, kad būtų suteikiama tik minimali sistemų / duomenų prieiga ir kad visi duomenų perdavimai būtų tinkamai šifruojami. Nuolatiniai reikalavimai apima periodinį auditą ir peržiūrą, bent kasmet didelės rizikos tiekėjams, taip pat griežtas sutarčių nutraukimo ir prieigos teisių atšaukimo procedūras. Politika integruoja struktūrizuotą rizikos tvarkymo ir išimčių procesą, užtikrindama, kad bet kokie trūkumai būtų valdomi kompensacinėmis kontrolės priemonėmis ir kad jokia išimtis negalėtų pažeisti teisinių ar reglamentavimo įpareigojimų (pvz., GDPR ar DORA reikalavimų). Vykdymo užtikrinimas aprašytas aiškiai, numatant sankcijas iki sutarties nutraukimo ir teisinių veiksmų. Pasirengimas auditui yra integruotas, reikalaujant dokumentacijos, pakankamos auditams pagal ISO 27001, GDPR ir susijusius standartus. Galiausiai, metinis peržiūros ciklas ir sąsajos su glaudžiai susijusiomis informacijos saugumo politikomis užtikrina, kad politika išliktų aktuali, veiksminga ir integruota į platesnę saugumo sistemą.

Politikos diagrama

Trečiųjų šalių ir tiekėjų saugumo politikos diagrama, iliustruojanti rizikos vertinimą, sutarčių patvirtinimą, tiekėjų įtraukimo procesą, nuolatines atitikties peržiūras, išimčių tvarkymą ir saugų darbo santykių nutraukimo procesą tiekėjams.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įtraukimo taisyklės

Tiekėjų įtraukimas ir tiekėjų deramas patikrinimas

Sutartinės saugumo sąlygos

Tiekėjų registro reikalavimai

Atitiktis reglamentavimo reikalavimams, pvz., GDPR, DORA

Išimčių ir incidentų valdymo procesas

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(b)21(2)(i)23(1)
EU DORA
5(1)5(2)28(1)28(2)
COBIT 2019
APO10APO12DSS05

Susijusios politikos

Valdysenos vaidmenų ir atsakomybių politika – SME

Priskiria atskaitomybę už tiekėjų priežiūrą ir sutarčių vykdymo užtikrinimą.

Prieigos kontrolės politika – SME

Pateikia prieigos apribojimų taisykles, kurios turi būti taikomos, kai tiekėjams suteikiama sistemų prieiga.

Duomenų apsaugos ir privatumo politika – SME

Užtikrina, kad tiekėjai, tvarkantys asmens duomenis, laikytųsi duomenų apsaugos principų ir teisinių reikalavimų.

Duomenų saugojimo ir šalinimo politika – SME

Taikoma bet kokiems duomenims ar įrašams, kurie dalijami su tiekėjais arba jų saugomi, ir reglamentuoja saugų šalinimą po sutarties nutraukimo.

Reagavimo į incidentus politika – SME

Apibrėžia, kaip reaguoti, kai tiekėjas sukelia arba yra susijęs su informacijos saugumo incidentu, įskaitant eskalavimą ir audito įrodymų tvarkymo procedūras.

Apie Clarysec politikas - Trečiųjų šalių ir tiekėjų saugumo politika – SME

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SME politikos kuriamos nuo pagrindų praktiniam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Atsakomybes priskiriame vaidmenims, kuriuos iš tikrųjų turite, pavyzdžiui, vyriausiajam vykdomajam pareigūnui ir jūsų IT paslaugų teikėjui, o ne specialistų armijai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Tiekėjų registras su audito pėdsaku

Seka tiekėjus, prieigos lygius, atitikties peržiūras ir išimtis, siekiant atitikties reglamentavimo reikalavimams ir pasirengimo auditui.

Veiksmingas tiekėjų įtraukimo ir nutraukimo procesas

Nuoseklios instrukcijos tiekėjų įtraukimo, peržiūros ir saugaus tiekėjų prieigos bei duomenų pašalinimo veiksmams.

Išimčių tvarkymas su kompensacinėmis kontrolės priemonėmis

Dokumentuoja tiekėjų trūkumus, reikalauja GM patvirtinimo ir terminuoja rizikos mažinimą, užtikrinant atitiktį.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Teisė ir atitiktis pirkimai tiekėjų valdymas IT saugumas

🏷️ Teminė aprėptis

trečiųjų šalių rizikos valdymas tiekėjų valdymas atitikties valdymas rizikos valdymas
€39

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Third-Party and Supplier Security Policy - SME

Produkto informacija

Tipas: policy
Kategorija: SME
Standartai: 7