policy Enterprise

Trešo pušu un piegādātāju drošības politika

Nodrošiniet stabilu drošību, risku pārvaldību un atbilstību visās attiecībās ar trešo pušu pakalpojumu sniedzējiem un piegādātājiem, izmantojot visaptverošu pārvaldības politiku.

Pārskats

Šī politika nosaka drošības, risku un atbilstības prasības visām attiecībām ar trešo pušu pakalpojumu sniedzējiem un piegādātājiem, detalizējot piegādātāju pienācīgu pārbaudi, līgumiskos aizsardzības pasākumus, pastāvīgu uzraudzību un darbinieka atiešanas procesu trešajām pusēm, kas apstrādā organizācijas datus vai sniedz pakalpojumus.

Visaptveroša piegādātāju uzraudzība

Nosaka stingrus drošības kontroles pasākumus, riska līmeņu iedalīšanu un drošības auditus visiem trešo pušu pakalpojumu sniedzējiem visā to pakalpojumu dzīves ciklā.

Līgumiskie drošības aizsardzības pasākumi

Nodrošina, ka piegādātāju līgumos ir iekļauta paziņošana par pārkāpumiem, datu apstrāde, audita tiesību noteikumi un izpildāmas atbilstības klauzulas.

Nepārtraukta atbilstības uzraudzība

Pieprasa regulārus veiktspējas pārskatus, sertifikācijas auditus un incidentu eskalāciju, lai uzturētu trešo pušu pārskatatbildību.

Lasīt pilnu pārskatu
Trešo pušu un piegādātāju drošības politika (P26) nodrošina visaptverošu pārvaldības ietvaru drošu attiecību izveidei, pārvaldībai un nepārtrauktai uzraudzībai ar trešo pušu piegādātājiem, līgumslēdzējiem, mākoņpakalpojumu sniedzējiem un pakalpojumu organizācijām. Šī politika ir paredzēta organizācijām, kas ir apņēmušās uzturēt stingrus informācijas drošības standartus ārpakalpojumu ietvaros vai iepērkot pakalpojumus, kas piekļūst kritiski svarīgām sistēmām, apstrādā tās vai integrējas ar tām. Politika attiecas uz visām piegādātāju iesaistēm, kas ietver sensitīvus datus, ražošanas vidi vai atbalstu galvenajām biznesa funkcijām, aptverot gan tiešos piegādātājus, gan to apakšuzņēmējus. Tā nosaka detalizētas lomas un pienākumus Galvenajam informācijas drošības vadītājam (CISO), iepirkumam un piegādātāju pārvaldībai, informācijas drošības un risku vadītājiem, biznesa attiecību īpašniekiem, kā arī juridisko lietu un atbilstības funkcijām. Katra loma veicina piegādātāju drošu dzīves cikla pārvaldību — no sākotnējā riska novērtējuma un līguma sarunām līdz pastāvīgai uzraudzībai un drošai attiecību izbeigšanai. Politikas centrā ir prasība pēc formāla trešo pušu klasifikācijas un riska līmeņu iedalīšanas modeļa, grupējot piegādātājus pēc datu piekļuves, pakalpojuma kritiskuma, regulatīvās ekspozīcijas un trešo pušu atkarības. Visām trešo pušu iesaistēm jāievēro definēta dzīves cikla pieeja: piegādātāji veic pirmslīguma pienācīgu pārbaudi, riska novērtēšanu un līgumisko drošības pārskatīšanu; līgumiem jābūt aprīkotiem ar izpildāmiem drošības kontroles pasākumiem, tostarp paziņošanu par pārkāpumiem, audita tiesību noteikumiem, datu apstrādi, kā arī specifiskām prasībām apakšuzņēmēju izmantošanai. Pēc tam piegādātāji tiek nepārtraukti uzraudzīti, izmantojot sertifikācijas, SLA veiktspēju, drošības incidentu ziņošanu un izmaiņas to pakalpojumos vai personālā. Ja piegādātājs nevar pilnībā izpildīt drošības prasības, politika nosaka formālu izņēmuma pieprasījumu, iekļaujot dokumentāciju, kompensējošās kontroles un izpildu vadības apstiprinājumu. Izņēmuma statuss aktivizē biežus pārskatus un var izraisīt pārskatītus nosacījumus vai papildu auditus. Piegādātāji, kas tiek atzīti par neatbilstošiem, saskaras ar līgumiskām sankcijām, apturēšanu vai pakalpojumu un piekļuves izbeigšanu. Stingra izpilde tiek nodrošināta, izmantojot plānotus atbilstības auditus, piegādātāju veiktspējas pārskatus un disciplināros pasākumus par iekšēju politikas apiešanu. Politika tiek pārskatīta vismaz reizi gadā vai būtisku izmaiņu gadījumā iepirkuma stratēģijā, normatīvajā vidē vai pēc būtiskiem piegādātāju incidentiem. Visas izmaiņas un auditu rezultāti tiek dokumentēti un izziņoti visā organizācijā, uzturot pilnībā izsekojamu un atbilstošu trešo pušu pārvaldības programmu.

Politikas diagramma

Trešo pušu un piegādātāju drošības politikas diagramma, kas ilustrē piegādātāju riska novērtēšanu, līgumisko ievadīšanu, regulāru uzraudzību, izņēmumu pārvaldību un drošas izbeigšanas darbplūsmas.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Piemērošanas joma un iesaistes noteikumi

Piegādātāju pienācīgas pārbaudes prasības

Trešo pušu riska klasifikācijas un līmeņu iedalīšanas modelis

Līgumiskās drošības klauzulas

Nepārtraukti veiktspējas un atbilstības pārskati

Izbeigšanas un darbinieka atiešanas procesa protokoli

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
283233
EU NIS2
21(2)(e)21(2)(f)
EU DORA
2830
COBIT 2019
BAI05DSS02MEA03

Saistītās politikas

Informācijas drošības politika

Nosaka vispārējo apņemšanos nodrošināt visu organizācijas darbību drošību, tostarp paļaušanos uz trešo pušu piegādātājiem un ārējiem pakalpojumu sniedzējiem.

Riska pārvaldības politika

Vada risku identificēšanu, riska novērtēšanu un riska mazināšanu, kas saistīta ar trešo pušu attiecībām, tostarp mantotos vai sistēmiskos riskus no piegādātāju ekosistēmām.

Datu aizsardzības un privātuma politika

Attiecas uz visiem piegādātājiem, kas apstrādā personas datus, pieprasot atbilstošus līgumiskos nosacījumus, pārsūtīšanas aizsardzības pasākumus un integrētās drošības principus.

Piekļuves kontroles politika

Kontrolē, kā trešo pušu personāls iegūst piekļuvi organizācijas sistēmām, nodrošinot lomu balstītas piekļuves tiesības, sesiju kontroles un piekļuves tiesību atsaukšanas procedūras.

Žurnālfiksēšanas un uzraudzības politika

Pieprasa, lai piegādātāju piekļuve sistēmām tiktu uzraudzīta, reģistrēta žurnālos un pārskatīta, īpaši vidēs, kur notiek priviliģēto kontu vai uz datiem orientētas darbības.

Incidentu reaģēšanas politika (P30)

Definē eskalācijas procedūras un paziņošanas par pārkāpumiem prasības piegādātāju izcelsmes drošības notikumiem vai kopīgām izmeklēšanām, kas ietver trešo pušu sistēmas.

Par Clarysec politikām - Trešo pušu un piegādātāju drošības politika

Efektīvai drošības pārvaldībai ir nepieciešams vairāk nekā tikai formulējumi; tai ir vajadzīga skaidrība, pārskatatbildība un struktūra, kas mērogojas līdz ar organizāciju. Vispārīgas veidnes bieži neizdodas, radot neskaidrības ar gariem rindkopu blokiem un nedefinētām lomām. Šī politika ir izstrādāta kā jūsu drošības programmas operacionālais pamats. Mēs piešķiram pienākumus konkrētām lomām, kas sastopamas mūsdienīgā uzņēmumā, tostarp Galvenajam informācijas drošības vadītājam (CISO), IT drošībai un attiecīgajām komitejām, nodrošinot skaidru pārskatatbildību. Katra prasība ir unikāli numurēta klauzula (piem., 5.1.1, 5.1.2). Šī atomārā struktūra padara politiku viegli ieviešamu, auditējamu pret konkrētiem kontroles pasākumiem un droši pielāgojamu, neietekmējot dokumenta integritāti, pārveidojot to no statiska dokumenta par dinamisku, īstenojamu ietvaru.

Iebūvēta izņēmumu pārvaldība

Ietver formālu procesu piegādātāju drošības izņēmumiem, pieprasot pamatojumu, riska analīzi un laikierobežotus kontroles pasākumus.

Dzīves cikla procesu integrācija

Integrē drošību iepirkumā, ievadīšanā, pakalpojumu uzraudzībā un darbinieka atiešanas procesā katrām piegādātāja attiecībām.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

IT drošība atbilstība iepirkums Piegādātāju pārvaldība

🏷️ Tematiskais pārklājums

trešo pušu risku pārvaldība piegādātāju pārvaldība atbilstības pārvaldība Piekļuves kontrole
€59

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi
Third-Party and Supplier Security Policy

Produkta informācija

Veids: policy
Kategorija: Enterprise
Standarti: 7