Skip to main content

5.22 Monitorowanie i zmiany w usługach dostawców

Cel

Zapewnienie, że usługi dostawców są regularnie monitorowane, oceniane i zarządzane w sposób zapewniający zgodność z wymaganiami bezpieczeństwa informacji oraz umowami zawartymi z organizacją.

Wymagania

Organizacja powinna:

  • Regularnie monitorować poziom świadczonych usług przez dostawców w celu zapewnienia zgodności z umowami i wymaganiami bezpieczeństwa.
  • Wdrożyć procesy przeglądu oraz zarządzania zmianami w zakresie:
    • modyfikacji usług dostawców,
    • wdrażania nowych technologii,
    • zmian w politykach i procedurach bezpieczeństwa dostawców,
    • pojawienia się nowych poddostawców lub zmian w podwykonawstwie.
  • Prowadzić okresowe audyty dostawców oraz przeglądy raportów dotyczących poziomu świadczonych usług.
  • Monitorować incydenty bezpieczeństwa oraz problemy operacyjne związane z dostawcami i podejmować odpowiednie działania naprawcze.

Wdrożenie

  • Organizacja powinna ustanowić formalny proces zarządzania relacjami z dostawcami, obejmujący:
    • monitoring zgodności dostawców z wymaganiami umów,
    • przegląd raportów dostawców oraz organizowanie spotkań kontrolnych,
    • prowadzenie audytów dostawców oraz ich poddostawców,
    • śledzenie zmian w polityce dostawców mogących wpływać na bezpieczeństwo informacji.
  • Powinny zostać wdrożone mechanizmy identyfikacji i zarządzania podatnościami związanymi z dostawcami oraz ich usługami.
  • Organizacja powinna egzekwować wymagania dotyczące planów ciągłości działania dostawców oraz ich zdolności do świadczenia usług po awariach i incydentach.
  • Powinny być określone odpowiedzialności dotyczące przeglądów zgodności i egzekwowania wymagań bezpieczeństwa w relacjach z dostawcami.

Przegląd i aktualizacja

  • Proces monitorowania dostawców powinien być regularnie oceniany i dostosowywany do zmieniających się warunków biznesowych i technologicznych.
  • Organizacja powinna reagować na wykryte niezgodności oraz podejmować działania naprawcze w przypadku niespełnienia przez dostawcę wymagań bezpieczeństwa.
  • Powinny być wdrażane mechanizmy zapewniające utrzymanie odpowiedniego poziomu bezpieczeństwa w usługach dostawców, również w kontekście zmian technologicznych oraz organizacyjnych.

Efektywne monitorowanie i zarządzanie zmianami w usługach dostawców minimalizuje ryzyko operacyjne i zapewnia zgodność z regulacjami oraz wewnętrznymi politykami bezpieczeństwa organizacji.