דלג לתוכן הראשי

A.5.19 אבטחת מידע ביחסים עם ספקים

מטרה

מטרת הנוהל היא להבטיח כי כל היחסים עם ספקים, לרבות קבלנים, יבוצעו תוך שמירה על אבטחת המידע של הארגון, ולצמצם את הסיכונים הקשורים להעברת מידע ולגישה של ספקים לנכסי הארגון.

תחום יישום

הנוהל חל על כל הספקים המעניקים שירותים לארגון, לרבות ספקי תוכנה, ספקי חומרה, ספקי שירותי ענן, וספקים חיצוניים נוספים אשר יש להם גישה למידע או למערכות של הארגון.

הגדרות

  • ספקים: גורמים חיצוניים המעניקים שירותים לארגון, לרבות ספקי משנה וקבלנים.
  • אבטחת מידע: מכלול הפעולות והאמצעים הננקטים להבטחת זמינות, סודיות ושלמות המידע של הארגון.
  • הסכמי אבטחת מידע: הסכמים בין הארגון לבין הספקים, המגדירים את הדרישות והאמצעים לשמירה על אבטחת המידע.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול נוהל אבטחת המידע ביחסים עם ספקים.
  • מנהלי מחלקות: אחראים על היישום והאכיפה של דרישות אבטחת המידע ביחסים עם ספקים בתחומם.
  • משפטנים: אחראים לוודא שהסכמי אבטחת המידע מול ספקים עומדים בדרישות החוק והרגולציה.

תהליך

1. בחירת ספקים

  • בתהליך בחירת ספקים, הארגון יבחן את יכולתם של הספקים לעמוד בדרישות אבטחת המידע.
  • כל ספק יידרש לספק מסמכים המעידים על עמידה בתקני אבטחת מידע, כגון ISO 27001 או תקנים מקבילים.

2. הסכמי אבטחת מידע

  • הארגון יכלול סעיפים ייחודיים לאבטחת מידע בכל חוזה עם ספקים, אשר יגדירו את מחויבויות הספק לשמירה על אבטחת המידע של הארגון.
  • ההסכמים יכללו תנאים כמו חובת שמירה על סודיות, אמצעים להגנה על המידע, ותנאים לדיווח על אירועי אבטחה.

3. בקרת גישה של ספקים

  • הגישה של ספקים למערכות המידע ולנכסי הארגון תינתן רק לפי הצורך, ותקבע בהתאם לעקרון המינימום הנדרש.
  • מנהלי מערכות יבטיחו שהגישה של ספקים מנוטרת ונבדקת על בסיס קבוע.

4. ניהול סיכונים

  • הארגון יבצע הערכת סיכונים מתמשכת הקשורה לספקים ולשירותיהם, כדי לזהות ולנטרל סיכונים פוטנציאליים לאבטחת המידע.
  • תוצאות הערכת הסיכונים יובילו לעדכון התהליכים והבקרות בהתאם לצורך.

5. ניטור וביקורת

  • הארגון יבצע ביקורות תקופתיות על עמידת הספקים בדרישות אבטחת המידע, לרבות ביקורות פתע במידת הצורך.
  • כל חריגה או הפרה שתתגלה תטופל באופן מיידי, ויינקטו אמצעים לתיקון ושיפור.

6. סיום קשר עם ספקים

  • במקרה של סיום ההתקשרות עם ספק, הארגון יבטיח כי כל גישה למערכות הארגון תבוטל באופן מיידי.
  • הארגון יוודא כי כל המידע שהועבר לספק מוחזר או מושמד בצורה מאובטחת בהתאם להסכמים שנחתמו.

7. הדרכה והעלאת מודעות

  • הארגון יספק הדרכה תקופתית לעובדיו ולספקים בנוגע לדרישות אבטחת המידע ולחשיבות השמירה עליהם.
  • הדרכות אלה יכללו סקירות של נוהלי אבטחת מידע והנחיות להתמודדות עם סיכונים.

הערות

  • הנוהל יעודכן בהתאם לשינויים טכנולוגיים, רגולטוריים או אחרים שעלולים להשפיע על ניהול אבטחת המידע ביחסים עם ספקים.