Trešo pušu un piegādātāju drošības politika – MVU

P26S – Trešo pušu un piegādātāju drošības politika ir īpaši pielāgota MVU, atspoguļojot pārvaldības struktūru, kurā parasti nav tādu specializētu IT lomu kā galvenais informācijas drošības vadītājs (CISO) vai drošības operāciju centrs (SOC). Tā vietā atbildība tiek centralizēta ģenerāldirektora (GM) pārziņā, vienkāršojot pārskatatbildību un vienlaikus saglabājot stingru atbilstību ISO/IEC 27001:2022 un citiem galvenajiem regulatīvajiem ietvariem. Šāds dizains nodrošina stabilu drošības uzraudzību arī mazākām organizācijām bez specializēta personāla. Politikas galvenais mērķis ir formalizēt un nodrošināt būtisku drošības pasākumu izpildi, piesaistot, pārvaldot vai izbeidzot attiecības ar trešajām pusēm un piegādātājiem, kuri mijiedarbojas ar organizācijas datiem, sistēmām vai pakalpojumiem vai ietekmē tos. Aptvertie piegādātāji ietver IT un mākoņpakalpojumu sniedzējus, programmatūras izstrādātājus, kā arī personālvadības vai finanšu konsultantus. Precizējot drošības gaidas, dokumentējot piegādātāju riskus pirms piekļuves piešķiršanas un pieprasot izpildāmus līgumiskos drošības pasākumus, politika samazina datu noplūžu, neapstiprinātu sistēmu izmaiņu, regulatīvo pārkāpumu un darbības traucējumu risku. Politika skaidri definē savu darbības jomu, ietverot gan visas trešās puses ar potenciālu piekļuvi organizācijas aktīviem, gan iekšējo personālu, kas iesaistīts piegādātāju atlases, uzraudzības, ievadīšanas, līgumu slēgšanas vai pārskatīšanas procesos. Centralizētās lomas ietver ģenerāldirektoru (GM), IT pakalpojumu sniedzēju vai iekšējo drošības kontaktpersonu, kā arī iepirkuma vai administratīvās kontaktpersonas, nodrošinot skaidru pārskatatbildību visā piegādātāja dzīves ciklā. Piegādātājam ir rakstiski jāpiekrīt ievērot drošības pienākumus un ziņot par incidentiem. Galvenās pārvaldības prasības aptver piegādātāju riska pārskatīšanu pirms piesaistes, obligātas drošības klauzulas visos līgumos, detalizēta piegādātāju reģistra uzturēšanu un procedūras izmaiņu uzraudzībai īpašumtiesībās, pakalpojuma darbības jomā vai apakšuzņēmēju piesaistē. Ieviešanas soļi paredz, ka nevienam piegādātājam nekad netiek piešķirta piekļuve pirms piegādātāju pienācīgas pārbaudes un bez skaidra apstiprinājuma, ka tiek piešķirta tikai minimāli nepieciešamā sistēmu/datu piekļuve un ka visa datu pārraide ir pienācīgi šifrēta. Pastāvīgās prasības ietver periodisku auditu un pārskatīšanu (augsta riska piegādātājiem – vismaz reizi gadā), kā arī stingras procedūras līgumu izbeigšanai un piekļuves tiesību atsaukšanai. Politika integrē strukturētu procesu riska apstrādei un izņēmumiem, nodrošinot, ka jebkādas nepilnības tiek pārvaldītas ar kompensējošās kontroles pasākumiem un ka neviens izņēmums nevar pārkāpt juridiskos vai regulatīvos pienākumus (piem., GDPR vai DORA prasības). Izpilde ir skaidri aprakstīta, paredzot sankcijas līdz pat līguma izbeigšanai un tiesvedībai. Atbilstība auditiem ir iekļauta kā prasība, nodrošinot dokumentāciju pietiekamā apjomā, lai izturētu auditus saskaņā ar ISO 27001, GDPR un saistītajiem standartiem. Visbeidzot, ikgadējais pārskatīšanas cikls un sasaistes ar cieši saistītām informācijas drošības politikām nodrošina, ka politika saglabājas aktuāla, efektīva un integrēta plašākā drošības ietvarā.