Skip to main content

5.21 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw IT

Cel

Zapewnienie skutecznego zarządzania ryzykiem związanym z bezpieczeństwem informacji w łańcuchu dostaw IT poprzez wdrożenie procesów i procedur kontrolnych.

Wymagania

Organizacja powinna:

  • Określić i wdrożyć wymagania dotyczące bezpieczeństwa informacji w odniesieniu do produktów i usług ICT pozyskiwanych od dostawców.
  • Wymagać od dostawców propagowania wymagań dotyczących bezpieczeństwa na kolejne podmioty w łańcuchu dostaw, w szczególności w przypadku podwykonawców.
  • Zapewnić, że dostawcy ICT dostarczają informacje o użytych komponentach programowych oraz implementowanych mechanizmach bezpieczeństwa.
  • Wdrożyć mechanizmy monitorowania i walidacji zgodności dostarczanych produktów i usług ICT z określonymi wymaganiami bezpieczeństwa.
  • Zapewnić identyfikowalność kluczowych komponentów i ich pochodzenia w całym łańcuchu dostaw.

Wdrożenie

  • Organizacja powinna:
    • przeprowadzać ocenę ryzyka bezpieczeństwa ICT w całym łańcuchu dostaw,
    • wdrożyć procesy weryfikacji integralności dostarczanych komponentów, np. poprzez stosowanie podpisów cyfrowych i kryptograficznych mechanizmów uwierzytelniania,
    • wymagać od dostawców potwierdzenia zgodności dostarczanych produktów z określonymi standardami bezpieczeństwa (np. certyfikacja Common Criteria),
    • monitorować zgodność dostawców z wymaganiami organizacji oraz przeprowadzać audyty bezpieczeństwa dostarczanych produktów i usług.
  • Organizacja powinna ustanowić procedury zarządzania cyklem życia komponentów ICT, uwzględniając:
    • ryzyko wynikające z zakończenia wsparcia technicznego dla komponentów,
    • konieczność zapewnienia alternatywnych dostawców w przypadku zaprzestania dostarczania kluczowych usług lub produktów,
    • proces przekazania wiedzy technologicznej w przypadku zmiany dostawcy.

Przegląd i aktualizacja

  • Organizacja powinna okresowo analizować ryzyka w łańcuchu dostaw ICT i aktualizować wymagania dotyczące bezpieczeństwa dostawców.
  • Umowy z dostawcami powinny obejmować wymagania dotyczące:
    • raportowania incydentów bezpieczeństwa związanych z produktami lub usługami ICT,
    • przechowywania i zabezpieczania informacji przez dostawcę,
    • praw organizacji do audytowania działań dostawcy w zakresie bezpieczeństwa informacji.
  • Organizacja powinna współpracować z dostawcami w celu poprawy poziomu bezpieczeństwa w łańcuchu dostaw oraz uwzględniać w umowach mechanizmy egzekwowania wymagań bezpieczeństwa.

Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw IT minimalizuje ryzyko wynikające z podatności dostawców, zapewnia integralność pozyskiwanych produktów i usług oraz wzmacnia zgodność z wymaganiami regulacyjnymi dotyczącymi bezpieczeństwa informacji.