iso 27001 chính sách an ninh nhà cung cấp

iso 27001 chính sách an ninh nhà cung cấp

CHỨNG NHẬN ISO 27001 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.

Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.

 

CHÍNH SÁCH AN NINH NHÀ CUNG CẤP

 

Mã số:  CS03

Lần ban hành: 01

  1. Mục đích:

Làm rõ các thủ tục và trách nhiệm để bắt đầu một kết nối mới giữa trung tâm và một tổ chức thứ ba hoặc nhà cung cấp dịch vụ để duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng.

  1. Phạm vi áp dụng:

Chính sách này áp dụng cho toàn bộ nhà cung cấp của trung tâm như: nhà cung cấp thiết bị, nhà cung cấp đường truyền, dịch vụ bảo trì sửa chữa thiết bị…

  1. Định nghĩa:
  2. Nội dung:

4.1 Bảo mật thông tin trong mối quan hệ nhà cung cấp

  • Để giảm thiểu nguy cơ mất an ninh thông tin trong mối quan hệ với nhà cung cấp, các địch vụ của nhà cung cấp phải được lập hồ sơ, xem xét lại, và sự đồng ý của Ban Giám đốc Trung tâm về các nhà cung cấp cụ thể.
  • Tất cả các nhà cung cấp truy cập, xử lý, lưu trữ, hoặc cung cấp thiết bị phải thỏa thuận tuân thủ với yêu cầu an ninh thông tin của trung tâm.
  • Khi nhà cung cấp cần truy cập, sử dụng các thông tin của đơn vị phải Ban giám đốc chấp thuận trước khi thực hiện và được giám sát và kiểm soát truy.
  • Nhà cung cấp phải cam kết bảo mật thông tin phối hợp thực hiện công việc.
  • Ký cam kết bảo mật với các nhà cung cấp cũng phải bao gồm các chi tiết về việc giải quyết những rủi ro xung quanh việc xử lý, tiếp cận tài sản hay dịch vụ.
  • Kiểm soát các rủi ro về an toàn thông tin đối với nhà cung cấp trước khi cấp quyền truy cập, sử dụng thông tin.
  • Yêu cầu pháp lý và quy định, bao gồm cả bảo vệ dữ liệu, quyền sở hữu trí tuệ, quyền tác giả, … nên được rõ ràng xác định và giải quyết.

4.2 Quản lý chuyển giao dịch vụ

  • Phải thực hiện theo dõi và đánh giá việc cung cấp dịch vụ của nhà cung cấp để đảm bảo đáp ứng yêu cầu kinh doanh và an ninh thích hợp, cũng như đáp ứng các hợp đồng.
  • Phân công người trực tiếp theo dõi, giám sát nhà cung cấp trong thời gian nhà cung cấp chuyển giao sản phẩm, dịch công nghệ thông tin.
  • Phải thực hiện quản lý sự thay đổi đối với nhà cung cấp về chính sách hiện có, các tài liệu về sự thay đổi.

 

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.