דלג לתוכן הראשי

נוהל: התייחסות לאבטחה בהסכמים עם הספק A15.1.2

מטרה

מטרת הנוהל היא להבטיח כי כל הספקים המעניקים שירותים לארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וכו', יהיו כפופים לדרישות אבטחת המידע של הארגון, ובכך להגן על המידע והנכסים של הארגון.

תחום יישום

הנוהל חל על כל הספקים המעניקים שירותים לארגון, לרבות ספקים אשר עשויים לגשת, לעבד, לאחסן, לתקשר או לספק רכיבי תשתית הנוגעים במידע של הארגון.

הגדרות

  • ספקים: גורמים חיצוניים המספקים שירותים לארגון.
  • הסכמי ספקים: הסכמים שנערכים בין הארגון לבין ספקים, אשר קובעים את תנאי ההתקשרות בין הצדדים.
  • דרישות אבטחת מידע: דרישות שנקבעו על ידי הארגון על מנת להגן על המידע והנכסים שלו.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות אבטחת מידע עבור יחסים עם ספקים.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו, והבטחת שמירה על דרישות האבטחה מול הספקים.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות אבטחת מידע עבור יחסים עם ספקים, כולל הבטחת הטמעת דרישות האבטחה בהסכמי הספקים.
  • אחראי על ניהול תהליך יישום מדיניות זו, ובדיקת הסכמים עם ספקים לוודא עמידתם בדרישות האבטחה.

מנהלי מערכות:

  • אחראים על יישום מדיניות אבטחת מידע עבור יחסים עם ספקים, על ידי פיקוח על יישום דרישות האבטחה בהסכמים.

תהליך

1. קביעת דרישות אבטחת מידע

הנהלת הארגון תקבע את דרישות האבטחה של הארגון עבור ספקים, על בסיס הערכת סיכונים. דרישות אלו יקבעו את המידע והנכסים אשר ספקים יוכלו לגשת אליהם, לעבד, לאחסן, לתקשר או לספק רכיבי תשתית הנוגעים בהם.

2. התייחסות לדרישות האבטחה בהסכמי ספקים

מנהלי מערכות יכינו הסכמי ספקים, אשר יכללו את דרישות האבטחה של הארגון. הסכמים אלו יהיו ברורים ומפורטים, וישמרו על זכויות הארגון לאבטחת המידע. ההסכמים יכללו תנאים מפורטים לגבי אבטחת המידע, כגון בקרות גישה, הצפנה, דרישות לעמידה בתקנים, ועוד.

3. בדיקת הסכמים עם ספקים

ממונה אבטחת מידע יבדוק את הסכמים עם ספקים, על מנת לוודא כי הם עומדים בדרישות האבטחה של הארגון. הבדיקה תכלול סקירה של תנאי ההסכמים לוודא שהם מתיישבים עם מדיניות הארגון ועם כללי האבטחה שנקבעו.

4. עדכון דרישות אבטחת מידע

הנהלת הארגון תשקול את הצורך לעדכן דרישות אבטחת מידע עבור ספקים, על בסיס שינויים בעסקי הארגון או ברגולציה. תהליך זה יבוצע באופן תקופתי, או כאשר נדרש, בהתאם לצורכי הארגון והשינויים בסביבת האיומים.