Skip to main content

A.5.20 התייחסות לאבטחת מידע בהסכמי ספקים

מטרה

מטרת הנוהל היא להבטיח כי כל ההסכמים עם ספקים כוללים התייחסות מספקת לאבטחת מידע, על מנת להגן על נכסי המידע של הארגון ולצמצם את הסיכונים הקשורים לשיתוף מידע עם גורמים חיצוניים.

תחום יישום

הנוהל חל על כל ההסכמים הנחתמים בין הארגון לבין ספקים, לרבות ספקי תוכנה, חומרה, שירותי ענן ושירותים אחרים, שבהם יש לספקים גישה למידע או למערכות של הארגון.

הגדרות

  • ספקים: גורמים חיצוניים המספקים שירותים לארגון, כולל ספקי משנה וקבלנים.
  • הסכמי ספקים: חוזים והסכמים המגדירים את תנאי ההתקשרות בין הארגון לבין ספקים.
  • דרישות אבטחת מידע: תנאים וסעיפים בהסכמים שנועדו להבטיח את שמירת אבטחת המידע של הארגון.

אחריות

  • ממונה אבטחת מידע: אחראי על קביעת דרישות אבטחת מידע בהסכמים עם ספקים.
  • מחלקת רכש ומשפטים: אחראים לוודא כי דרישות אבטחת מידע נכללות בכל הסכם הנחתם עם ספקים.
  • מנהלי מערכות: אחראים לוודא כי הספקים עומדים בדרישות האבטחה שנקבעו בהסכמים.

תהליך

1. הגדרת דרישות אבטחת מידע

  • בעת ניסוח הסכמי ספקים, מחלקת הרכש וממונה אבטחת מידע יגדירו את דרישות אבטחת המידע שעל הספקים לעמוד בהן.
  • דרישות אלה יכללו סעיפים בנושאים כגון הגנה על סודיות המידע, הגבלת גישה, הצפנה, חובת דיווח על אירועי אבטחה, והתמודדות עם סיכונים.

2. שילוב סעיפים בהסכמים

  • כל הסכם ספק יכלול סעיפים ייחודיים המתייחסים לדרישות אבטחת מידע, המתואמות לאופי השירות או המוצר הניתן על ידי הספק.
  • סעיפים אלה יכילו התחייבות של הספק להגן על המידע שהועבר אליו, ולהבטיח כי יינקטו כל האמצעים הדרושים לשמירה על אבטחת המידע.

3. הערכה ואישור הסכמים

  • לפני חתימה על הסכם עם ספק, ממונה אבטחת מידע יבצע הערכה של ההסכם לוודא כי כל דרישות האבטחה נכללו בו.
  • כל הסכם יעבור אישור נוסף על ידי המחלקה המשפטית כדי לוודא תאימות לדרישות החוק ולרגולציות.

4. מעקב ובקרה

  • הארגון יבצע ביקורות תקופתיות לוודא כי הספקים עומדים בדרישות האבטחה שנקבעו בהסכמים.
  • כל חריגה מההסכמים תתועד, ותינקט פעולה לתיקון המצב ולהבטחת עמידה בתנאי ההסכם.

5. עדכון הסכמים

  • הסכמים עם ספקים יתעדכנו בהתאם לשינויים טכנולוגיים, רגולטוריים או שינויים בתנאי השוק, על מנת לוודא עמידה מתמשכת בדרישות אבטחת המידע.
  • כל עדכון או שינוי בהסכם יחייב בדיקה ואישור מחדש של מחלקת הרכש וממונה אבטחת מידע.

6. סיום התקשרות עם ספקים

  • במקרה של סיום ההתקשרות עם ספק, הסכם הסיום יכלול סעיפים המסדירים את אופן החזרת המידע לארגון או השמדתו בצורה מאובטחת.
  • תהליך סיום ההתקשרות יכלול גם את ביטול הגישה של הספק למערכות המידע של הארגון.

הערות

  • נוהל זה יתעדכן באופן שוטף בהתאם לשינויים רגולטוריים, חוקיים, וטכנולוגיים כדי לשמור על התאמה לתקני ISO 27001:2022.
  • הארגון יבצע הערכת סיכונים מתמשכת כדי להתאים את דרישות האבטחה בהסכמים לסיכונים הקיימים.