إدارة مزودي الخدمة
تطوير عملية لتقييم مزودي الخدمة الذين يحتفظون ببيانات حساسة أو المسؤولين عن منصات أو عمليات تكنولوجيا المعلومات الحرجة للمؤسسة، لضمان حماية هؤلاء المزودين لتلك المنصات والبيانات بشكل مناسب.
لماذا هذا الضابط مهم؟
في عالمنا الحديث المتصل، تعتمد المؤسسات على البائعين والشركاء للمساعدة في إدارة بياناتها أو تعتمد على البنية التحتية لأطراف ثالثة للتطبيقات أو الوظائف الأساسية. كانت هناك أمثلة عديدة حيث أثرت خروقات الأطراف الثالثة بشكل كبير على المؤسسة؛ على سبيل المثال، منذ أواخر العقد الأول من الألفية الثالثة، ارتبطت اختراقات بطاقات الدفع ببائعي نقاط البيع من أطراف ثالثة. وفي الآونة الأخيرة، اكتشفت مؤسسة رعاية صحية أن بيانات ملايين المرضى تعرضت للكشف لأن بائع خدمات الفوترة قد تم اختراقه. هذه ليست مشكلة تقنية فحسب -- يجب على العمليات القانونية والتنظيمية داخل المؤسسة إنشاء وصيانة معايير لجميع الأطراف الثالثة.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (7)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 15.1 | إنشاء وصيانة جرد مزودي الخدمات | تحديد |
IG1
IG2
IG3
|
2 | 1 |
| 15.2 | إنشاء وصيانة سياسة إدارة مزودي الخدمات | تحديد |
IG2
IG3
|
2 | 1 |
| 15.3 | تصنيف مزودي الخدمات | تحديد |
IG2
IG3
|
2 | 1 |
| 15.4 | ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان | حماية |
IG2
IG3
|
2 | 1 |
| 15.5 | تقييم مزودي الخدمات | تحديد |
IG3
|
2 | 1 |
| 15.6 | مراقبة مزودي الخدمات | كشف |
IG3
|
2 | 1 |
| 15.7 | إيقاف مزودي الخدمات بشكل آمن | حماية |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة جرد لمزودي الخدمات. يجب أن يسرد الجرد جميع مزودي الخدمات المعروفين بما في ذلك تصنيفهم وجهة اتصال معينة. مراجعة وتحديث الجرد سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إنشاء وصيانة سياسة إدارة مزودي الخدمات. تأكد من أن السياسة تتعامل مع تصنيف مزودي الخدمات وجردهم وتقييمهم ومراقبتهم وإيقافهم ومتطلبات العقود والتدابير الأمنية لمزودي الخدمات. مراجعة وتحديث السياسة سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تصنيف مزودي الخدمات. يجب أن يراعي التصنيف حساسية البيانات التي يعالجونها أو يخزنونها ودرجة حرجيتهم للمؤسسة. استخدم هذا التصنيف لتحديد مستوى التقييم والمراقبة المطلوب. يجب إجراء التصنيف سنويًا أو بشكل أكثر تكرارًا عند حدوث تغييرات مؤسسية قد تؤثر على هذا الضمان.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان. تتضمن تطبيقات المثال متطلبات التشفير والاحتفاظ بالبيانات ومتطلبات حماية البيانات ومتطلبات إشعار الحوادث.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تقييم مزودي الخدمات بشكل متسق مع سياسة إدارة مزودي الخدمات في المؤسسة. يمكن أن يكون التقييم عمليات تدقيق أو استبيانات أو مراجعات وثائق أو أي طريقة ملائمة أخرى.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
مراقبة مزودي الخدمات بشكل متسق مع سياسة إدارة مزودي الخدمات في المؤسسة. يمكن أن تتضمن المراقبة المراجعة الدورية لتقارير المراقبة الأمنية أو ملخصات شهادات الامتثال أو مراجعات التدقيق الداخلي ومعالجة الملاحظات.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إيقاف تشغيل مزودي الخدمات بشكل آمن. تتضمن تطبيقات المثال إلغاء حسابات المستخدمين وإنهاء تدفقات البيانات ومسح البيانات بشكل آمن.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |