נוהל: ספקים למוצרי טכנולוגיות מידע ותקשורת (שרשרת אספקה) A15.1.3
מטרה
מטרת הנוהל היא להבטיח כי הספקים של מוצרים ושירותי טכנולוגיות מידע ותקשורת (IT) של הארגון ינקטו בצעדים מתאימים כדי להפחית את הסיכונים לאבטחת המידע הגלומים במידע הארגוני המועבר בשר שרת האספקה ובהתקשרות עם הספק.
תחום יישום
הנוהל חל על כל הספקים של מוצרים ושירותי IT של הארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וכו'.
הגדרות
- שרשרת אספקה: המערכת של ספקים, קבלנים, וגורמים אחרים המעורבים באספקת מוצרים ושירותים לארגון.
- סיכונים לאבטחת מידע: אירועים שעשויים לפגוע בשלמות, סודיות או נגישות של המידע הארגוני.
אחריות
הנהלה:
- אחראית על קביעת מדיניות אבטחת מידע עבור ספקים בתחום IT.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT.
- אחראי על ניהול תהליך יישום מדיניות זו, ובדיקת הסכמים עם ספקים לוודא עמידתם בדרישות האבטחה.
מנהלי מערכות:
- אחראים על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT, כולל פיקוח על יישום דרישות האבטחה בהסכמים.
תהליך
1. קביעת דרישות אבטחת מידע
הנהלת הארגון תגדיר את דרישות האבטחה שלה עבור ספקים בתחום IT, על בסיס הערכת סיכונים. דרישות אלו יקבעו את המידע הארגוני אשר יעבור בשרשרת האספקה, ואת הסיכונים הספציפיים הגלומים במידע זה. דרישות האבטחה עשויות לכלול בקרות גישה, הצפנה, שמירה על סודיות, ניטור פעילות, ותנאים נוספים בהתאם לצורכי הארגון.