Skip to main content

נוהל: מדיניות אבטחת מידע עבור יחסים עם ספקים A15.1.1

מטרה

מטרת הנוהל היא להבטיח כי ספקים המעניקים שירותים לארגון עומדים בדרישות אבטחת המידע של הארגון, על מנת להגן על המידע והנכסים של הארגון.

תחום יישום

הנוהל חל על כל הספקים המעניקים שירותים לארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וכו'.

הגדרות

  • ספקים: גורמים חיצוניים המספקים שירותים לארגון.
  • דרישות אבטחת מידע: דרישות שנקבעו על ידי הארגון על מנת להגן על המידע והנכסים שלו.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות אבטחת מידע עבור יחסים עם ספקים.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו, כולל גיבוש צוותים ובחירת הכלים המתאימים.
  • אחראית על מעקב אחר ביצוע מדיניות זו, כדי לוודא שכל ספק עומד בדרישות האבטחה שנקבעו.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות אבטחת מידע עבור יחסים עם ספקים, כולל ביצוע הערכות סיכונים לספקים ותיאום הפעולות מול הספקים השונים.
  • אחראי על ניהול תהליך יישום מדיניות זו, כולל ניהול הסכמים עם הספקים ואכיפת הדרישות המוסכמות.

מנהלי מערכות:

  • אחראים על יישום מדיניות אבטחת מידע עבור יחסים עם ספקים, על ידי פיקוח על פעילות הספקים בתחום אבטחת המידע.
  • אחראים על תיעוד הפעולות והסיכונים הנוגעים ליחסים עם ספקים והעברת המידע לממונה על אבטחת המידע.

תהליך

1. קביעת מדיניות אבטחת מידע עבור יחסים עם ספקים

הנהלת הארגון תקבע מדיניות אבטחת מידע עבור יחסים עם ספקים, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות אבטחת מידע עבור יחסים עם ספקים: הגנה על המידע והנכסים של הארגון, תוך שמירה על תאימות לתקנים ולדרישות רגולציה.
  • תחום יישום מדיניות אבטחת מידע עבור יחסים עם ספקים: הגדרת הספקים והתחומים בהם המדיניות תחול.
  • דרישות אבטחת מידע ספציפיות עבור ספקים: זיהוי הדרישות המרכזיות לאבטחת מידע שהספקים צריכים לעמוד בהן, כגון בקרות גישה, הצפנה, ושיטות הגנה נוספות.

2. אימוץ מדיניות אבטחת מידע עבור יחסים עם ספקים

מנהלי מערכות יאמצו את מדיניות אבטחת מידע עבור יחסים עם ספקים, על ידי:

  • פיתוח נהלים ומסמכים: יצירת תהליכים וספרי נהלים שיתארו את אופן היישום של המדיניות, כולל הדרכה לעובדים ופרטים על אופן הערכת הספקים.
  • עדכון הסכמים: התאמת ההסכמים הקיימים עם הספקים כך שיכללו את דרישות אבטחת המידע.

3. יישום מדיניות אבטחת מידע עבור יחסים עם ספקים

מנהלי מערכות יפעלו ליישום מדיניות אבטחת מידע עבור יחסים עם ספקים, על ידי:

  • הדרכת עובדים: הדרכת העובדים על המדיניות והנהלים החדשים, כולל מתן כלים וידע לניהול הספקים בצורה מאובטחת.
  • עריכת הסכמים: הכנת הסכמים משפטיים ומסחריים שמגדירים את דרישות האבטחה והאחריות של הספקים.

4. מעקב אחר יישום מדיניות אבטחת מידע עבור יחסים עם ספקים

הנהלת הארגון תעקוב אחר יישום מדיניות אבטחת מידע עבור יחסים עם ספקים, על מנת לוודא כי היא מיושמת כראוי:

  • ביצוע ביקורות תקופתיות: בחינת עמידת הספקים בדרישות האבטחה באמצעות בדיקות וביקורות תקופתיות.
  • שיפורים והתאמות: ניתוח תוצאות הביקורות וביצוע התאמות ושיפורים במידת הצורך, על מנת להבטיח שמירה מתמשכת על אבטחת המידע.