נוהל: ספקים למוצרי טכנולוגיות מידע ותקשורת (שרשת אספקה) A15.1.3

9/1/2024 19:21:36 – Updated on 10/1/2024 08:49:53

אבטחה > ISO 27001 > יחסים אם ספקים A15 > אבטחת מידע ביחסים עם ספקים A15.1 > נוהל: ספקים למוצרי טכנולוגיות מידע ותקשורת (שרשת אספקה) A15.1.3

מטרת הנוהל היא להבטיח כי הספקים של מוצרים ושירותי טכנולוגיות מידע ותקשורת (IT) של הארגון ינקטו בצעדים מתאימים כדי להפחית את הסיכונים לאבטחת המידע הגלומים במידע הארגוני המועבר בשרשרת האספקה ובהתקשרות עם הספק.

תחום יישום

הנוהל חל על כל הספקים של מוצרים ושירותי IT של הארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וכו'.

הגדרות

  • שרשרת אספקה: המערכת של ספקים, קבלנים, וגורמים אחרים המעורבים באספקת מוצרים ושירותים לארגון.
  • סיכונים לאבטחת מידע: אירועים שעשויים לפגוע בשלמות, סודיות או נגישות של המידע הארגוני.

אחריות

  • הנהלה:
    • אחראית על קביעת מדיניות אבטחת מידע עבור ספקים בתחום IT.
    • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
    • אחראית על מעקב אחר ביצוע מדיניות זו.
  • ממונה אבטחת מידע:
    • אחראי על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT.
    • אחראי על ניהול תהליך יישום מדיניות זו.
  • מנהלי מערכות:
    • אחראים על יישום מדיניות אבטחת מידע עבור ספקים בתחום IT.

תהליך

1. קביעת דרישות אבטחת מידע

הנהלת הארגון תגדיר את דרישות האבטחה שלה עבור ספקים בתחום IT, על בסיס הערכת סיכונים. דרישות אלו יקבעו את המידע הארגוני אשר יעבור בשרשרת האספקה, ואת הסיכונים הספציפיים הגלומים במידע זה.

2. התייחסות לדרישות האבטחה בהסכמים עם ספקים

מנהלי מערכות יכינו הסכמים עם ספקים בתחום IT, אשר יכללו את דרישות האבטחה של הארגון. הסכמים אלו יהיו ברורים ומפורטים, וישמרו על זכויות הארגון לאבטחת המידע.

3. בדיקת הסכמים עם ספקים

ממונה אבטחת מידע יבדוק את הסכמים עם ספקים בתחום IT, על מנת לוודא כי הם עומדים בדרישות האבטחה של הארגון.

4. עדכון דרישות אבטחת מידע

הנהלת הארגון תשקול את הצורך לעדכן דרישות אבטחת מידע עבור ספקים בתחום IT, על בסיס שינויים בעסקי הארגון או ברגולציה.