Skip to main content

5.19 Bezpieczeństwo informacji w relacjach z dostawcami

Cel

Zapewnienie zgodnego z polityką bezpieczeństwa zarządzania ryzykiem związanym z korzystaniem z produktów i usług dostawców, aby utrzymać wymagany poziom ochrony informacji organizacji.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć politykę bezpieczeństwa informacji w relacjach z dostawcami, określającą wymagania dotyczące zarządzania ryzykiem dostawców oraz zabezpieczenia informacji udostępnianych podmiotom zewnętrznym.
  • Zidentyfikować i sklasyfikować dostawców według stopnia ich wpływu na bezpieczeństwo informacji organizacji.
  • Wprowadzić proces oceny i selekcji dostawców, uwzględniając:
    • analizę ryzyka,
    • certyfikaty i zgodność dostawców z normami bezpieczeństwa,
    • audyty i kontrole bezpieczeństwa,
    • referencje i oceny rynkowe.
  • Określić zasady dostępu dostawców do zasobów organizacji, obejmujące:
    • zakres udzielanych dostępów,
    • monitorowanie i ograniczanie dostępu do krytycznych systemów,
    • wymagania dotyczące uwierzytelniania i zarządzania sesjami.

Wdrożenie

  • Organizacja powinna:
    • wdrożyć proces monitorowania zgodności dostawców z wymaganiami bezpieczeństwa,
    • określić wymagania dotyczące przetwarzania i przechowywania informacji przez dostawców,
    • zarządzać ryzykiem wynikającym z potencjalnych luk w zabezpieczeniach produktów i usług dostawców,
    • wdrożyć procedury reagowania na incydenty bezpieczeństwa związane z dostawcami.
  • Umowy z dostawcami powinny zawierać:
    • klauzule dotyczące ochrony informacji i odpowiedzialności dostawcy za naruszenia bezpieczeństwa,
    • zasady postępowania w przypadku zakończenia współpracy, w tym usunięcie dostępu oraz zwrot lub bezpieczne usunięcie danych.
  • Organizacja powinna zapewnić, że wszyscy pracownicy mający kontakt z dostawcami są świadomi zasad dotyczących bezpieczeństwa informacji w relacjach z podmiotami zewnętrznymi.

Przegląd i aktualizacja

  • Regularnie przeglądać politykę zarządzania dostawcami i dostosowywać ją do zmieniających się zagrożeń oraz wymagań prawnych.
  • Prowadzić cykliczne audyty dostawców i ich zgodności z wymogami bezpieczeństwa.
  • Zapewnić, że organizacja posiada plany awaryjne na wypadek niedostępności dostawcy lub jego rozwiązania działalności.
  • Wdrożyć alternatywne mechanizmy ochrony w sytuacjach, gdy nie można narzucić dostawcy określonych wymagań bezpieczeństwa.

Zarządzanie bezpieczeństwem informacji w relacjach z dostawcami minimalizuje ryzyko wycieków danych, ataków wynikających z luk w zabezpieczeniach produktów oraz zapewnia zgodność z wymaganiami prawnymi i regulacyjnymi.