Politika tas-Sigurtà tal-Fornituri u tal-Partijiet Terzi - SME

Il-P26S – Politika tas-Sigurtà tal-Fornituri u tal-Partijiet Terzi hija mfassla speċifikament għall-SMEs, u tirrifletti struttura ta’ governanza fejn rwoli ddedikati tal-IT bħall-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) jew iċ-ċentru tal-operazzjonijiet tas-sigurtà (SOC) tipikament ikunu assenti. Minflok, ir-responsabbiltà tiġi ċċentralizzata taħt il-Kap Eżekuttiv (GM), u b’hekk tiġi ssimplifikata r-responsabbiltà filwaqt li tinżamm konformità b’saħħitha ma’ ISO/IEC 27001:2022 u oqfsa regolatorji ewlenin oħra. Dan id-disinn jiżgura sorveljanza robusta tas-sigurtà anke għal organizzazzjonijiet iżgħar mingħajr persunal speċjalizzat. L-għan ewlieni tal-politika huwa li tiffurma u tinforza miżuri essenzjali ta’ sigurtà kull meta jiġu involuti, immaniġġjati jew itterminati relazzjonijiet ma’ partijiet terzi u fornituri li jinteraġixxu ma’, jew jaffettwaw, id-dejta, is-sistemi jew is-servizzi tal-organizzazzjoni. Il-fornituri koperti jvarjaw minn fornituri ta’ servizzi tal-IT u tal-cloud sa żviluppaturi tas-softwer u konsulenti tar-riżorsi umani jew tal-finanzi. Billi tiċċara l-aspettattivi tas-sigurtà, tiddokumenta r-riskji tal-fornitur qabel ma jingħata aċċess, u tirrikjedi salvagwardji kuntrattwali infurzabbli, il-politika tnaqqas ir-riskji ta’ ksur ta’ data, bidliet mhux awtorizzati jew mhux skedati fis-sistemi, ksur regolatorju, u tfixkil tan-negozju. Il-politika tiddefinixxi b’mod espliċitu l-kamp ta’ applikazzjoni tagħha biex tinkludi kemm il-partijiet terzi kollha b’potenzjal ta’ aċċess għas-sistemi ta’ informazzjoni tal-organizzazzjoni, kif ukoll il-persunal intern involut fl-għażla tal-fornitur, is-superviżjoni, l-onboarding, il-kuntrattar jew ir-rieżami. Ir-rwoli ċċentralizzati jinkludu l-Kap Eżekuttiv, fornitur tal-IT jew kuntatt intern tas-sigurtà, u kuntatti tal-akkwist jew amministrattivi, biex tiġi żgurata responsabbiltà ċara tul iċ-ċiklu tal-ħajja tal-fornitur. Il-fornitur jew il-parti terza huwa meħtieġ jaqbel bil-miktub li jikkonforma mal-obbligi ta’ sigurtà u jirrapporta inċidenti. Rekwiżiti ewlenin ta’ governanza jkopru rieżamijiet tar-riskju tal-fornitur qabel l-involviment, klawżoli obbligatorji ta’ sigurtà fil-kuntratti kollha, iż-żamma ta’ reġistru tal-assi dettaljat tal-fornituri, u proċeduri għall-monitoraġġ ta’ bidliet fis-sjieda, fil-kamp tas-servizz jew fis-sottokuntrattar. Il-passi ta’ implimentazzjoni jirrikjedu li l-ebda fornitur ma jingħata aċċess qabel diliġenza dovuta tal-fornitur u mingħajr approvazzjoni espliċita, li jingħata biss aċċess minimu għas-sistemi/dejta, u li t-trasmissjoni tad-dejta tkun iċċifrata kif xieraq. Rekwiżiti kontinwi jinkludu awditjar u rieżami perjodiku, mill-inqas b’revalidazzjoni annwali għal fornituri b’riskju għoli, flimkien ma’ proċeduri stretti għat-terminazzjoni tal-kuntratti u t-tneħħija tal-aċċess. Il-politika tintegra proċess strutturat għat-trattament tar-riskju u l-ġestjoni tal-eċċezzjonijiet, u tiżgura li kwalunkwe lakuna tiġi mmaniġġjata b’kontrolli kumpensatorji u li l-ebda eċċezzjoni ma tista’ tikser obbligi legali jew obbligi regolatorji (eż. rekwiżiti tal-GDPR jew tad-DORA). L-infurzar u l-konformità huma deskritti b’mod ċar, b’sanzjonijiet deskritti sa u inkluż terminazzjoni tal-kuntratt u azzjoni legali. It-tħejjija għall-awditu hija integrata, u tirrikjedi dokumentazzjoni suffiċjenti biex tgħaddi awditi taħt ISO 27001, GDPR u standards relatati. Fl-aħħar nett, iċ-ċiklu ta’ rieżami annwali u r-rabta ma’ politiki relatati mill-qrib tas-sigurtà tal-informazzjoni jiżguraw li l-politika tibqa’ aġġornata, effettiva u integrata fil-qafas usa’ tas-sigurtà.