Polityka bezpieczeństwa dostawców i podmiotów trzecich – SME

P26S – Polityka bezpieczeństwa dostawców i podmiotów trzecich jest opracowana specjalnie dla SME, odzwierciedlając strukturę zarządzania, w której dedykowane role IT, takie jak dyrektor ds. bezpieczeństwa informacji (CISO) lub centrum operacji bezpieczeństwa (SOC), zazwyczaj nie występują. Zamiast tego odpowiedzialność jest scentralizowana pod dyrektorem generalnym (GM), co upraszcza rozliczalność przy jednoczesnym utrzymaniu silnej zgodności z ISO/IEC 27001:2022 oraz innymi kluczowymi ramami regulacyjnymi. Taka konstrukcja zapewnia solidny nadzór nad bezpieczeństwem nawet w mniejszych organizacjach bez wyspecjalizowanego personelu. Głównym celem polityki jest sformalizowanie i egzekwowanie niezbędnych środków bezpieczeństwa przy nawiązywaniu, zarządzaniu lub kończeniu relacji z podmiotami trzecimi i dostawcami, którzy wchodzą w interakcję z danymi, systemami lub usługami organizacji albo na nie wpływają. Dostawcy objęci zakresem obejmują dostawców usług IT i chmury obliczeniowej, programistów oraz konsultantów HR lub finansowych. Poprzez doprecyzowanie oczekiwań bezpieczeństwa, dokumentowanie ryzyk dostawców przed przyznaniem dostępu oraz wymaganie egzekwowalnych zabezpieczeń umownych, polityka minimalizuje ryzyko naruszenia ochrony danych, niezatwierdzonych modyfikacji systemów, naruszeń regulacyjnych oraz zakłóceń działalności. Polityka jednoznacznie definiuje swój zakres, obejmując zarówno wszystkie podmioty trzecie z potencjalnym dostępem do aktywów organizacji, jak i personel wewnętrzny zaangażowany w wybór dostawcy, nadzór, onboarding, zawieranie umów lub przeglądy. Role scentralizowane obejmują dyrektora generalnego (GM), dostawcę IT lub wewnętrzny kontakt ds. bezpieczeństwa oraz kontakty zakupowe lub administracyjne, zapewniając jasną rozliczalność w całym cyklu życia dostawcy. Dostawca jest zobowiązany do pisemnego potwierdzenia zgodności z obowiązkami bezpieczeństwa oraz do zgłaszania incydentów. Kluczowe wymagania w zakresie zarządzania obejmują przeglądy ryzyka dostawcy przed nawiązaniem współpracy, obowiązkowe klauzule bezpieczeństwa we wszystkich umowach, utrzymywanie szczegółowej dokumentacji rejestru dostawców oraz procedury monitorowania zmian własności, zakresu usług lub podwykonawstwa. Kroki wdrożeniowe wymagają, aby żaden dostawca nie otrzymał dostępu przed due diligence oraz bez wyraźnego zatwierdzenia, aby przyznawany był wyłącznie minimalny dostęp do systemów/danych oraz aby cała transmisja danych była prawidłowo szyfrowana. Wymagania ciągłe obejmują okresowy audyt i przegląd, co najmniej corocznie dla dostawców wysokiego ryzyka, wraz ze ścisłymi procedurami zakończenia umów i wycofywania dostępu. Polityka integruje ustrukturyzowany proces postępowania z ryzykiem i zarządzania wyjątkami, zapewniając, że wszelkie luki są zarządzane poprzez kontrole kompensacyjne oraz że żaden wyjątek nie może naruszać obowiązków prawnych lub regulacyjnych (np. wymagań GDPR lub DORA). Egzekwowanie jest jasno opisane, z określonymi sankcjami aż do i włącznie z zakończeniem umowy oraz działaniami prawnymi. Gotowość do audytu jest wbudowana, wymagając dokumentacji wystarczającej do przejścia audytów zgodnie z ISO 27001, GDPR oraz powiązanymi normami. Na koniec coroczny cykl przeglądu oraz powiązanie z ściśle powiązanymi politykami bezpieczeństwa informacji zapewniają, że polityka pozostaje aktualna, skuteczna i zintegrowana w szerszych ramach bezpieczeństwa.