إدارة مزودي الخدمة
تطوير عملية لتقييم مزودي الخدمة الذين يحتفظون ببيانات حساسة أو المسؤولين عن منصات أو عمليات تكنولوجيا المعلومات الحرجة للمؤسسة، لضمان حماية هؤلاء المزودين لتلك المنصات والبيانات بشكل مناسب.
لماذا هذا الضابط مهم؟
في عالمنا الحديث المتصل، تعتمد المؤسسات على البائعين والشركاء للمساعدة في إدارة بياناتها أو تعتمد على البنية التحتية لأطراف ثالثة للتطبيقات أو الوظائف الأساسية. كانت هناك أمثلة عديدة حيث أثرت خروقات الأطراف الثالثة بشكل كبير على المؤسسة؛ على سبيل المثال، منذ أواخر العقد الأول من الألفية الثالثة، ارتبطت اختراقات بطاقات الدفع ببائعي نقاط البيع من أطراف ثالثة. وفي الآونة الأخيرة، اكتشفت مؤسسة رعاية صحية أن بيانات ملايين المرضى تعرضت للكشف لأن بائع خدمات الفوترة قد تم اختراقه. هذه ليست مشكلة تقنية فحسب -- يجب على العمليات القانونية والتنظيمية داخل المؤسسة إنشاء وصيانة معايير لجميع الأطراف الثالثة.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (7)
| المعرف | العنوان | نوع الأصل | الوظيفة | مجموعات التطبيق |
|---|---|---|---|---|
| 15.1 | إنشاء وصيانة جرد مزودي الخدمات | غير محدد | تحديد |
IG1
IG2
IG3
|
| 15.2 | إنشاء وصيانة سياسة إدارة مزودي الخدمات | غير محدد | تحديد |
IG2
IG3
|
| 15.3 | تصنيف مزودي الخدمات | غير محدد | تحديد |
IG2
IG3
|
| 15.4 | ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان | غير محدد | حماية |
IG2
IG3
|
| 15.5 | تقييم مزودي الخدمات | غير محدد | تحديد |
IG3
|
| 15.6 | مراقبة مزودي الخدمات | البيانات | كشف |
IG3
|
| 15.7 | إيقاف مزودي الخدمات بشكل آمن | البيانات | حماية |
IG3
|