policy Enterprise

Política de Segurança de Fornecedores e Terceiros

Assegure segurança robusta, gestão de riscos e conformidade em todas as relações com terceiros e fornecedores com a nossa política abrangente de governação.

Visão geral

Esta política rege os requisitos de segurança, risco e conformidade para todas as relações com terceiros e fornecedores, detalhando devida diligência, salvaguardas contratuais, monitorização contínua e procedimentos de desvinculação para terceiros que tratem dados ou serviços da organização.

Supervisão abrangente de fornecedores

Impõe controlos de segurança rigorosos, classificação por níveis de risco e auditorias para todos os prestadores de serviços terceiros ao longo do seu ciclo de vida de serviço.

Salvaguardas de segurança contratuais

Garante que os contratos com fornecedores incluem notificação de violações, tratamento de dados, cláusulas de direito de auditoria e cláusulas de conformidade aplicáveis.

Monitorização contínua da conformidade

Exige revisões regulares de desempenho, auditorias de certificação e escalonamento de incidentes para manter a responsabilização de terceiros.

Ler visão geral completa
A Política de Segurança de Fornecedores e Terceiros (P26) fornece um quadro de governação abrangente para estabelecer, gerir e supervisionar continuamente relações seguras com fornecedores terceiros, contratados, fornecedores de nuvem e organizações de serviços. Esta política foi concebida para organizações comprometidas em manter normas rigorosas de segurança da informação ao externalizar ou adquirir serviços que acedem, tratam ou se integram com ativos e sistemas críticos de negócio. A política aplica-se a todos os compromissos com fornecedores que envolvam dados sensíveis, ambiente de produção ou suporte a funções-chave de negócio, abrangendo tanto fornecedores diretos como os seus subcontratados. Define papéis e responsabilidades detalhados para o Diretor de Segurança da Informação (CISO), aquisição e gestão de fornecedores, líderes de Segurança da Informação e Gestão de Riscos, proprietários de relações de negócio e as funções de Jurídico e Conformidade. Cada papel contribui para a gestão segura do ciclo de vida dos fornecedores, desde a avaliação inicial de riscos e negociação contratual até à monitorização contínua e desvinculação segura. No centro da política está o requisito de um modelo formal de classificação de terceiros e classificação por níveis de risco, agrupando fornecedores com base no acesso a dados, criticidade do serviço, exposições regulamentares e dependências de terceiros. Todos os compromissos com terceiros devem aderir a uma abordagem de ciclo de vida definida: os fornecedores passam por devida diligência pré-contrato, avaliação de riscos e revisão de segurança contratual; os contratos devem estar equipados com controlos de segurança aplicáveis, incluindo notificação de violações, cláusulas de direito de auditoria, tratamento de dados e requisitos específicos para a utilização de subcontratados. Os fornecedores são depois monitorizados continuamente através de certificações, desempenho de Acordos de Nível de Serviço (SLA), notificação de incidentes de segurança e alterações aos seus serviços ou pessoal. Se um fornecedor não conseguir cumprir totalmente os requisitos de segurança, a política exige um processo formal de pedido de exceção, com documentação, controlos compensatórios e aprovação executiva. O estado de exceção desencadeia revisões frequentes e pode resultar em termos renegociados ou auditorias suplementares. Fornecedores considerados não conformes enfrentam penalizações contratuais, suspensão ou cessação de serviços e acessos. A aplicação rigorosa é assegurada através de auditorias de conformidade agendadas, revisões de desempenho de fornecedores e medidas disciplinares para contornos internos à política. A política é revista pelo menos anualmente ou após alterações significativas na estratégia de aquisição, no panorama regulamentar ou após incidentes relevantes de fornecedores. Todas as alterações e resultados de auditoria são documentados e comunicados em toda a organização, mantendo um programa de governação de terceiros totalmente rastreável e conforme.

Diagrama da Política

Diagrama da Política de Segurança de Fornecedores e Terceiros que ilustra avaliação de riscos de fornecedores, integração contratual, monitorização regular, gestão de exceções e fluxos de trabalho de cessação segura.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de relacionamento

Requisitos de devida diligência de fornecedores

Modelo de classificação e níveis de risco de terceiros

Cláusulas contratuais de segurança

Revisões contínuas de desempenho e conformidade

Protocolos de cessação e desvinculação

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
283233
EU NIS2
21(2)(e)21(2)(f)
EU DORA
2830
COBIT 2019
BAI05DSS02MEA03

Políticas relacionadas

Política de segurança da informação

Estabelece o compromisso global de proteger todas as operações da organização, incluindo a dependência de fornecedores terceiros e prestadores de serviços terceiros.

Quadro de gestão de riscos

Orienta a identificação de riscos, avaliação de riscos e mitigação de riscos associadas a relações com terceiros, incluindo riscos herdados ou sistémicos de ecossistemas de fornecedores.

Políticas de proteção de dados

Aplica-se a todos os fornecedores que tratam dados pessoais, exigindo termos contratuais adequados, salvaguardas de transferência e princípios de privacidade desde a conceção.

Política de controlo de acesso

Controla como o pessoal de terceiros obtém acesso aos sistemas da organização, aplicando controlo de acesso baseado em funções (RBAC), controlos de sessão e procedimentos de revogação de acessos.

Política de Registo e Monitorização

Exige que o acesso de fornecedores a sistemas seja monitorizado, com registo de auditoria e revisão de registos, particularmente em ambientes onde ocorram atividades privilegiadas ou centradas em dados.

Política de Resposta a Incidentes (P30)

Define procedimentos de escalonamento e requisitos de notificação de violações para eventos de segurança originados por fornecedores ou investigações conjuntas envolvendo sistemas de terceiros.

Sobre as Políticas Clarysec - Política de Segurança de Fornecedores e Terceiros

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e papéis indefinidos. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades aos papéis específicos encontrados numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), Equipas de TI e Segurança da Informação e comités relevantes, garantindo responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Gestão de Exceções integrada

Inclui um processo formal para exceções de segurança de fornecedores, exigindo fundamentação, análise de riscos e controlos com prazo definido.

Integração de processos do ciclo de vida

Integra a segurança na aquisição, integração, monitorização do serviço e desvinculação para cada relação com fornecedores.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Aquisição Gestão de fornecedores

🏷️ Cobertura temática

Gestão de riscos de terceiros Gestão de fornecedores Gestão de conformidade Controlo de acesso
€59

Compra única

Download instantâneo
Atualizações vitalícias
Third-Party and Supplier Security Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7