Skip to main content

נוהל: ספקים למוצרי טכנולוגיות מידע ותקשורת (שרשרת אספקה) A15.1.3

מטרה

מטרת הנוהל היא להבטיח כי הספקים של מוצרים ושירותי טכנולוגיות מידע ותקשורת (IT) של הארגון ינקטו בצעדים מתאימים כדי להפחית את הסיכונים לאבטחת המידע הגלומים במידע הארגוני המועבר בשרשרת האספקה ובהתקשרות עם הספק.

תחום יישום

הנוהל חל על כל הספקים של מוצרים ושירותי IT של הארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וכו'.

הגדרות

  • שרשרת אספקה: המערכת של ספקים, קבלנים, וגורמים אחרים המעורבים באספקת מוצרים ושירותים לארגון.
  • סיכונים לאבטחת מידע: אירועים שעשויים לפגוע בשלמות, סודיות או נגישות של המידע הארגוני.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות אבטחת מידע עבור ספקים בתחום IT.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT.
  • אחראי על ניהול תהליך יישום מדיניות זו, ובדיקת הסכמים עם ספקים לוודא עמידתם בדרישות האבטחה.

מנהלי מערכות:

  • אחראים על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT, כולל פיקוח על יישום דרישות האבטחה בהסכמים.

תהליך

1. קביעת דרישות אבטחת מידע

הנהלת הארגון תגדיר את דרישות האבטחה שלה עבור ספקים בתחום IT, על בסיס הערכת סיכונים. דרישות אלו יקבעו את המידע הארגוני אשר יעבור בשרשרת האספקה, ואת הסיכונים הספציפיים הגלומים במידע זה. דרישות האבטחה עשויות לכלול בקרות גישה, הצפנה, שמירה על סודיות, ניטור פעילות, ותנאים נוספים בהתאם לצורכי הארגון.

2. התייחסות לדרישות האבטחה בהסכמים עם ספקים

מנהלי מערכות יכינו הסכמים עם ספקים בתחום IT, אשר יכללו את דרישות האבטחה של הארגון. ההסכמים יהיו מפורטים ויכללו תנאים ברורים לגבי ניהול ואבטחת המידע הארגוני. הסכמים אלו ידאגו לשמירה על זכויות הארגון ולהבטחת אמצעי אבטחה מתאימים לשירותים המסופקים.

3. בדיקת הסכמים עם ספקים

ממונה אבטחת מידע יבדוק את הסכמים עם ספקים בתחום IT, על מנת לוודא כי הם עומדים בדרישות האבטחה של הארגון. תהליך הבדיקה יכלול סקירה מדוקדקת של תנאי ההסכמים, ווידוא עמידה מלאה בדרישות שהוגדרו.

4. עדכון דרישות אבטחת מידע

הנהלת הארגון תשקול את הצורך לעדכן דרישות אבטחת מידע עבור ספקים בתחום IT, על בסיס שינויים בעסקי הארגון, בסיכונים הארגוניים, או ברגולציה. עדכונים אלו יבוצעו על מנת להבטיח שהדרישות וההסכמים עם הספקים יישארו רלוונטיים ומתאימים לצורכי הארגון המשתנים.