policy Enterprise

Trečiųjų šalių ir tiekėjų saugumo politika

Užtikrinkite patikimą saugumą, rizikos valdymą ir atitiktį visiems trečiųjų šalių ir tiekėjų santykiams, taikydami išsamią valdysenos politiką.

Apžvalga

Ši politika reglamentuoja saugumo, rizikos ir atitikties reikalavimus visiems trečiųjų šalių ir tiekėjų santykiams, apibrėždama tiekėjų deramo patikrinimo, sutartines apsaugos priemones, nuolatinę stebėseną ir darbo santykių nutraukimo proceso procedūras trečiosioms šalims, tvarkančioms organizacijos duomenis ar teikiančioms paslaugas.

Išsami tiekėjų priežiūra

Nustato griežtas saugumo kontrolės priemones, rizikos suskirstymą į lygius ir auditus visiems trečiųjų šalių paslaugų teikėjams per visą jų paslaugų gyvavimo ciklą.

Sutartinės saugumo apsaugos priemonės

Užtikrina, kad tiekėjų sutartyse būtų numatyti praneštini pažeidimai, duomenų tvarkymas, teisės atlikti auditą ir vykdytinos atitikties nuostatos.

Nuolatinė atitikties stebėsena

Reikalauja reguliarių veiklos peržiūrų, sertifikavimo auditų ir incidentų eskalavimo, siekiant išlaikyti trečiųjų šalių atskaitomybę.

Skaityti visą apžvalgą
Trečiųjų šalių ir tiekėjų saugumo politika (P26) pateikia išsamią valdysenos sistemą, skirtą sukurti, valdyti ir nuolat prižiūrėti saugius santykius su trečiųjų šalių tiekėjais, rangovais, debesijos paslaugų teikėjais ir paslaugų organizacijomis. Ši politika skirta organizacijoms, siekiančioms išlaikyti griežtus informacijos saugumo standartus, kai paslaugos yra išorinės arba įsigyjamos ir jos turi prieigą prie kritinių verslo turtų ir sistemų, juos tvarko arba su jais integruojasi. Politika taikoma visiems tiekėjų įsitraukimams, susijusiems su jautriais duomenimis, gamybos aplinka arba pagrindinių verslo funkcijų palaikymu, apimant tiek tiesioginius tiekėjus, tiek jų subrangovus. Joje apibrėžiami išsamūs vaidmenys ir atsakomybės vyriausiajam informacijos saugumo pareigūnui (CISO), pirkimams ir tiekėjų valdymui, informacijos saugumo ir rizikos vadovams, verslo santykių savininkams bei teisės ir atitikties funkcijoms. Kiekvienas vaidmuo prisideda prie saugaus tiekėjų gyvavimo ciklo valdymo – nuo pradinio rizikos vertinimo ir sutarčių derybų iki nuolatinės stebėsenos ir saugaus atsitraukimo. Politikos pagrindas – reikalavimas turėti formalų trečiųjų šalių klasifikavimo ir rizikos suskirstymo į lygius modelį, grupuojant tiekėjus pagal duomenų prieigą, paslaugos kritiškumą, reglamentavimo ekspozicijas ir priklausomybę nuo trečiųjų šalių. Visi trečiųjų šalių įsitraukimai turi laikytis apibrėžto gyvavimo ciklo požiūrio: tiekėjai atlieka priešsutartinį tiekėjų deramą patikrinimą, rizikos vertinimą ir sutartinę saugumo peržiūrą; sutartyse turi būti numatytos vykdytinos saugumo kontrolės priemonės, įskaitant praneštinus pažeidimus, teises atlikti auditą, duomenų tvarkymą ir konkrečius reikalavimus dėl subrangovų naudojimo. Vėliau tiekėjai nuolat stebimi per sertifikatus, paslaugų lygio susitarimų (SLA) veiklos rodiklius, saugumo incidentų pranešimo kanalą ir paslaugų ar personalo pokyčius. Jei tiekėjas negali visiškai atitikti saugumo reikalavimų, politika numato formalų išimties prašymo procesą, su dokumentacija, kompensacinėmis kontrolės priemonėmis ir vykdomosios vadovybės patvirtinimu. Išimties būsena sukelia dažnesnes peržiūras ir gali lemti perderėtas sąlygas arba papildomus auditus. Tiekėjai, kuriems nustatoma neatitiktis, susiduria su sutartinėmis sankcijomis, paslaugų ir prieigos sustabdymu arba nutraukimu. Griežtas vykdymo užtikrinimas užtikrinamas per suplanuotus atitikties auditus, tiekėjų veiklos peržiūras ir drausmines priemones už vidinius politikos apėjimus. Politika peržiūrima bent kartą per metus arba įvykus reikšmingiems pirkimų strategijos, reglamentavimo aplinkos pokyčiams arba po didelių tiekėjų incidentų. Visi pakeitimai ir audito rezultatai dokumentuojami ir komunikuojami visoje organizacijoje, išlaikant visiškai atsekamą ir atitiktį užtikrinančią trečiųjų šalių valdysenos programą.

Politikos diagrama

Trečiųjų šalių ir tiekėjų saugumo politikos diagrama, iliustruojanti tiekėjų rizikos vertinimą, sutartinį įtraukimą, reguliarią stebėseną, išimčių valdymą ir saugius nutraukimo darbo srautus.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įsitraukimo taisyklės

Tiekėjų deramo patikrinimo reikalavimai

Trečiųjų šalių rizikos klasifikavimo ir suskirstymo į lygius modelis

Sutartinės saugumo nuostatos

Nuolatinės veiklos ir atitikties peržiūros

Nutraukimo ir darbo santykių nutraukimo proceso protokolai

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
283233
EU NIS2
21(2)(e)21(2)(f)
EU DORA
2830
COBIT 2019
BAI05DSS02MEA03

Susijusios politikos

Informacijos saugumo politika

Nustato bendrą įsipareigojimą užtikrinti visų organizacijos operacijų saugumą, įskaitant priklausomybę nuo trečiųjų šalių tiekėjų ir trečiųjų šalių paslaugų teikėjų.

Rizikos valdymo politika

Nukreipia rizikų identifikavimą, vertinimą ir mažinimą, susijusį su trečiųjų šalių santykiais, įskaitant paveldėtas ar sistemines rizikas iš tiekėjų ekosistemų.

Duomenų apsauga ir privatumo politika

Taikoma visiems tiekėjams, tvarkantiems asmens duomenis, reikalaujant tinkamų sutartinių sąlygų, perdavimo apsaugos priemonių ir privatumo užtikrinimo projektuojant principų.

Prieigos kontrolės politika

Kontroliuoja, kaip trečiųjų šalių personalas gauna prieigą prie organizacijos sistemų, užtikrinant vaidmenimis grindžiamą prieigos kontrolę, sesijų kontrolę ir prieigos teisių atšaukimo procedūras.

Žurnalinimo ir stebėsenos politika

Reikalauja, kad tiekėjų prieiga prie sistemų būtų stebima, registruojama audito žurnale ir peržiūrima, ypač aplinkose, kur vyksta privilegijuota arba į duomenis orientuota veikla.

Reagavimo į incidentus politika

Apibrėžia eskalavimo procedūras ir pranešimo apie incidentus reikalavimus tiekėjų kilmės saugumo įvykiams arba bendriems tyrimams, susijusiems su trečiųjų šalių sistemomis.

Apie Clarysec politikas - Trečiųjų šalių ir tiekėjų saugumo politika

Veiksminga saugumo valdysena reikalauja daugiau nei tik žodžių; ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri plečiasi kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, sukurdami dviprasmybes dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip jūsų saugumo programos operacinis pagrindas. Mes priskiriame atsakomybes konkretiems vaidmenims, būdingiems šiuolaikinei įmonei, įskaitant vyriausiąjį informacijos saugumo pareigūną (CISO), IT ir informacijos saugumo komandas ir atitinkamus komitetus, užtikrindami aiškią atskaitomybę. Kiekvienas reikalavimas yra unikaliai sunumeruota nuostata (pvz., 5.1.1, 5.1.2). Ši atominė struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepaveikiant dokumento vientisumo, paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Integruotas išimčių valdymas

Numato formalų procesą tiekėjų saugumo išimtims, reikalaujant pagrindimo, rizikos analizės ir terminuotų kontrolės priemonių.

Gyvavimo ciklo procesų integracija

Integruoja saugumą į pirkimus, tiekėjų įtraukimą, paslaugų stebėseną ir darbo santykių nutraukimo procesą kiekvieniems tiekėjų santykiams.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT saugumas atitiktis pirkimai Tiekėjų valdymas

🏷️ Teminė aprėptis

trečiųjų šalių rizikos valdymas tiekėjų valdymas atitikties valdymas Prieigos kontrolė
€59

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Third-Party and Supplier Security Policy

Produkto informacija

Tipas: policy
Kategorija: Enterprise
Standartai: 7