policy SME

Bezpečnostná politika pre dodávateľov a tretie strany – SME

Táto bezpečnostná politika pre dodávateľov a tretie strany, prispôsobená pre SME, zabezpečuje bezpečné riadenie externých dodávateľov a podporuje dodržiavanie ISO 27001, GDPR, NIS2 a DORA.

Prehľad

Táto bezpečnostná politika pre dodávateľov a tretie strany zameraná na SME stanovuje jasné požiadavky a postupy na kontrolu dodávateľského rizika, prístupu a dodržiavania ISO 27001:2022, GDPR, NIS2 a DORA.

Zmierňovanie dodávateľského rizika

Zabezpečuje dôkladné posúdenie rizík a kontrolu všetkých dodávateľov, ktorí nakladajú s citlivými údajmi alebo majú prístup.

Zmluvné bezpečnostné opatrenia

Vyžaduje vynútiteľné povinnosti v oblasti bezpečnosti, ochrany údajov a incidentov v zmluvách s dodávateľmi.

Efektívna správa pre SME

Priraďuje jasné roly pre generálnych manažérov (GM) a SME bez vyhradených bezpečnostných tímov a zachováva súlad s ISO 27001:2022.

Čítať celý prehľad
P26S – Bezpečnostná politika pre dodávateľov a tretie strany je špecificky prispôsobená pre SME a odráža model správy, v ktorom typicky chýbajú vyhradené IT roly ako riaditeľ informačnej bezpečnosti (CISO) alebo centrum bezpečnostných operácií (SOC). Zodpovednosť je namiesto toho centralizovaná pod generálnym manažérom (GM), čo zjednodušuje zodpovednosť pri zachovaní silného súladu s ISO/IEC 27001:2022 a ďalšími kľúčovými regulačnými rámcami. Tento návrh zabezpečuje robustný bezpečnostný dohľad aj pre menšie organizácie bez špecializovaného personálu. Hlavným účelom politiky je formalizovať a vynucovať základné bezpečnostné opatrenia pri zapájaní, riadení alebo ukončovaní vzťahov s tretími stranami a dodávateľmi, ktorí interagujú s údajmi, systémami alebo službami organizácie alebo na ne majú vplyv. Pokrytí dodávatelia zahŕňajú poskytovateľov IT a cloudových služieb, vývojárov, ako aj konzultantov v oblasti HR alebo financií. Spresnením bezpečnostných očakávaní, dokumentovaním dodávateľských rizík pred udelením prístupu a vyžadovaním vynútiteľných zmluvných ochranných opatrení politika minimalizuje riziká únikov údajov, neschválených úprav systémov, regulačných porušení a narušenia podnikania. Politika výslovne definuje rozsah tak, aby zahŕňal všetky tretie strany s potenciálnym prístupom k aktívam organizácie, ako aj interný personál zapojený do výberu dodávateľa, dohľadu, zavedenia dodávateľa, uzatvárania zmlúv alebo preskúmania. Centralizované roly zahŕňajú generálneho manažéra, IT poskytovateľa alebo interný bezpečnostný kontakt a kontakty pre obstarávanie alebo administratívu, čím sa zabezpečuje jasná zodpovednosť počas celého životného cyklu dodávateľa. Dodávateľ je povinný písomne súhlasiť s dodržiavaním bezpečnostných povinností a nahlasovaním incidentov. Kľúčové požiadavky správy zahŕňajú preskúmania dodávateľského rizika pred zapojením, povinné bezpečnostné doložky vo všetkých zmluvách, vedenie podrobného registra dodávateľov a postupy na monitorovanie zmien vo vlastníctve, rozsahu služby alebo subdodávkach. Kroky implementácie vyžadujú, aby žiadnemu dodávateľovi nebol nikdy udelený prístup pred due diligence a bez výslovného schválenia, aby bol poskytovaný len minimálny prístup k systémom/údajom a aby bol všetok prenos údajov riadne šifrovaný. Priebežné požiadavky zahŕňajú pravidelný audit a preskúmanie, aspoň raz ročne pre vysokorizikových dodávateľov, spolu s prísnymi postupmi na ukončenie zmlúv a odoberanie prístupových práv. Politika integruje štruktúrovaný proces ošetrenia rizík a riadenia výnimiek, čím zabezpečuje, že akékoľvek medzery sú riadené kompenzačnými kontrolami a že žiadna výnimka nemôže porušiť zákonné alebo regulačné povinnosti (napr. požiadavky GDPR alebo DORA). Vynucovanie je jasne opísané, vrátane sankcií až po ukončenie zmluvy a právne kroky. Pripravenosť na audit je zabudovaná, pričom sa vyžaduje dokumentácia dostatočná na úspešné absolvovanie auditov podľa ISO 27001, GDPR a súvisiacich noriem. Napokon, ročný cyklus preskúmania a prepojenie s úzko súvisiacimi politikami informačnej bezpečnosti zabezpečujú, že politika zostáva aktuálna, účinná a integrovaná v širšom rámci bezpečnosti.

Diagram politiky

Diagram bezpečnostnej politiky pre dodávateľov a tretie strany znázorňujúci posúdenie rizík, schválenie zmluvy, zavedenie dodávateľa, priebežné preskúmania súladu, ošetrenie výnimiek a bezpečný offboarding dodávateľov.

Kliknite na diagram pre zobrazenie v plnej veľkosti

Obsah

Rozsah a pravidlá zapojenia

Zavedenie dodávateľa a due diligence dodávateľov

Zmluvné bezpečnostné doložky

Požiadavky na register dodávateľov

Regulačný súlad, napr. GDPR, DORA

Proces riadenia výnimiek a riešenia incidentov

Súlad s rámcom

🛡️ Podporované štandardy a rámce

Tento produkt je v súlade s nasledujúcimi rámcami dodržiavania predpisov s podrobnými mapovaniami doložiek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.195.205.215.22
NIST SP 800-53 Rev.5
SA-9SA-10CA-3PS-7
EU GDPR
2832
EU NIS2
21(2)(a)21(2)(b)21(2)(i)23(1)
EU DORA
5(1)5(2)28(1)28(2)
COBIT 2019
APO10APO12DSS05

Súvisiace zásady

Politika rolí a zodpovedností správy a riadenia – SME

Priraďuje zodpovednosť za dohľad nad dodávateľmi a vynucovanie zmlúv.

Politika riadenia prístupu – SME

Poskytuje pravidlá obmedzenia prístupu, ktoré sa musia uplatniť pri udeľovaní prístupu dodávateľom.

Politika ochrany údajov a súkromia – SME

Zabezpečuje, aby dodávatelia spracúvajúci osobné údaje dodržiavali zásady ochrany údajov a zákonné požiadavky.

Politika uchovávania údajov a likvidácie – SME

Vzťahuje sa na akékoľvek údaje alebo záznamy zdieľané s dodávateľmi alebo uchovávané dodávateľmi a upravuje bezpečnú likvidáciu po ukončení zmluvy.

Politika reakcie na incidenty – SME

Definuje, ako reagovať, keď dodávateľ spôsobí alebo je zapojený do incidentu informačnej bezpečnosti, vrátane eskalácie a postupov nakladania s dôkazmi.

O politikách Clarysec - Bezpečnostná politika pre dodávateľov a tretie strany – SME

Všeobecné bezpečnostné politiky sú často vytvorené pre veľké korporácie, čo malým podnikom sťažuje uplatnenie zložitých pravidiel a nejasne definovaných rolí. Táto politika je iná. Naše politiky pre SME sú navrhnuté od základu pre praktickú implementáciu v organizáciách bez vyhradených bezpečnostných tímov. Priraďujeme zodpovednosti rolám, ktoré skutočne máte, ako je generálny manažér a váš IT poskytovateľ, nie armáde špecialistov, ktorých nemáte. Každá požiadavka je rozdelená do jedinečne očíslovanej doložky (napr. 5.2.1, 5.2.2). To mení politiku na jasný kontrolný zoznam krok za krokom, vďaka čomu sa dá jednoducho implementovať, auditovať a prispôsobiť bez prepisovania celých častí.

Register dodávateľov s auditnou stopou

Sleduje dodávateľov, úrovne prístupu, preskúmania súladu a výnimky pre regulačnú pripravenosť a pripravenosť na audit.

Vykonateľný proces zavedenia a ukončenia

Pokyny krok za krokom na zavedenie dodávateľa, preskúmanie a bezpečné odstránenie prístupu dodávateľa a údajov.

Ošetrenie výnimiek s kompenzačnými kontrolami

Dokumentuje medzery dodávateľa, vyžaduje schválenie GM a časovo ohraničuje zmierňovanie rizika, čím zabezpečuje súlad.

Často kladené otázky

Vytvorené pre lídrov, lídrami

Táto politika bola vypracovaná bezpečnostným lídrom s viac ako 25-ročnými skúsenosťami s implementáciou a auditovaním rámcov ISMS pre globálne podniky. Nie je navrhnutá len ako dokument, ale ako obhájiteľný rámec, ktorý obstojí pri audítorskom preskúmaní.

Vypracované odborníkom s nasledovnými kvalifikáciami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytie a témy

🏢 Cieľové oddelenia

Súlad obstarávanie riadenie dodávateľov IT bezpečnosť

🏷️ Tematické pokrytie

riadenie rizík tretích strán riadenie dodávateľov riadenie súladu riadenie rizík
€39

Jednorazový nákup

Okamžité stiahnutie
Doživotné aktualizácie
Third-Party and Supplier Security Policy - SME

Podrobnosti produktu

Typ: policy
Kategória: SME
Normy: 7