Skip to main content

5.20 Uwzględnianie bezpieczeństwa w umowach z dostawcami

Cel

Zapewnienie, że wymagania dotyczące bezpieczeństwa informacji są jasno określone i uzgodnione w umowach z dostawcami, aby utrzymać wymagany poziom ochrony informacji organizacji.

Wymagania

Organizacja powinna:

  • Ustalić i udokumentować wymagania bezpieczeństwa informacji w umowach z dostawcami.
  • Zapewnić, że umowy zawierają kluczowe elementy dotyczące ochrony informacji, obejmujące:
    • opis informacji udostępnianych dostawcy,
    • klasyfikację informacji zgodnie z polityką organizacji,
    • zgodność z wymaganiami prawnymi i regulacyjnymi, w tym ochroną danych osobowych,
    • obowiązek wdrożenia przez dostawcę odpowiednich mechanizmów kontroli bezpieczeństwa.
  • Ustalić zasady dotyczące dostępu dostawców do zasobów organizacji, w tym:
    • zakres i warunki dostępu do systemów,
    • zatwierdzanie i usuwanie uprawnień dostępu,
    • środki ochrony przed nieautoryzowanym dostępem.

Wdrożenie

  • Organizacja powinna określić i wdrożyć polityki dotyczące bezpieczeństwa informacji w relacjach z dostawcami.
  • Umowy z dostawcami powinny obejmować:
    • obowiązki stron w zakresie zarządzania incydentami bezpieczeństwa,
    • wymagania dotyczące audytów bezpieczeństwa i raportowania zgodności,
    • procedury zarządzania zmianami w dostarczanych usługach,
    • zasady ochrony informacji w przypadku zakończenia współpracy, w tym zwrot lub bezpieczne usunięcie danych.
  • Powinny być ustanowione mechanizmy monitorowania i egzekwowania zgodności dostawców z uzgodnionymi wymaganiami bezpieczeństwa.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać umowy z dostawcami, aby zapewnić ich aktualność i zgodność z polityką bezpieczeństwa informacji.
  • Powinna prowadzić rejestr wszystkich umów zawierających wymagania dotyczące ochrony informacji i okresowo je aktualizować.
  • W przypadku zmian w regulacjach prawnych lub standardach bezpieczeństwa należy dokonać przeglądu umów i dostosować je do nowych wymagań.

Włączenie wymagań dotyczących bezpieczeństwa informacji do umów z dostawcami minimalizuje ryzyko związane z przetwarzaniem danych przez podmioty zewnętrzne i zapewnia zgodność z regulacjami dotyczącymi ochrony informacji.