سياسة إدارة مخاطر الأطراف الثالثة

يجب على [ORGANIZATION] الحفاظ على جرد لجميع مزودي الخدمات من الأطراف الثالثة الذين يصلون إلى بيانات أو أنظمة [ORGANIZATION]، بما في ذلك: اسم المزود والخدمات المقدمة والبيانات المشتركة/القابلة للوصول وتصنيف المخاطر ومالك العقد وتاريخ آخر تقييم.

يجب تصنيف الأطراف الثالثة بناءً على المخاطر: حرج (وصول إلى بيانات مقيدة أو أنظمة حيوية)، عالي (وصول إلى بيانات سرية أو أنظمة مهمة)، متوسط (وصول إلى بيانات داخلية)، منخفض (لا وصول إلى البيانات، تفاعل محدود مع الأنظمة).

يجب مراجعة وتحديث الجرد على الأقل [CUSTOMIZE: annually/bi-annually].

يجب أن تخضع جميع الأطراف الثالثة المصنفة كحرجة أو عالية المخاطر لتقييم أمني قبل تنفيذ العقد وعلى الأقل [CUSTOMIZE: annually] بعد ذلك.

يجب أن تقيّم التقييمات: سياسات وممارسات أمن المعلومات وضوابط حماية البيانات والخصوصية وقدرات الاستجابة للحوادث واستمرارية الأعمال والتعافي من الكوارث وشهادات الامتثال (SOC 2 وISO 27001 وغيرها) وممارسات إدارة الثغرات وآليات التحكم في الوصول.

قد تشمل أساليب التقييم: استبيانات أمنية (مثل SIG وCAIQ) ومراجعة تقارير التدقيق (SOC 2 Type II وشهادة ISO 27001) والتقييمات الميدانية أو الافتراضية وخدمات التصنيف الأمني الآلية.

يجب أن تتضمن العقود مع الأطراف الثالثة التي تتعامل مع بيانات [ORGANIZATION]: التزامات حماية البيانات والسرية ومتطلبات الأمان والحد الأدنى من الضوابط وحق التدقيق أو طلب أدلة التدقيق ومتطلبات الإخطار بالخرق (خلال [CUSTOMIZE: 24/48/72] ساعة) وإعادة/إتلاف البيانات عند إنهاء العقد والامتثال للأنظمة المعمول بها وأحكام المسؤولية والتعويض.

يجب أن تحدد اتفاقيات مستوى الخدمة (SLA) مقاييس أداء الأمان حيثما كان ذلك قابلاً للتطبيق.

يجب مراقبة الوضع الأمني للأطراف الثالثة بشكل مستمر باستخدام: إعادة التقييم الدوري وفقاً للجدول أعلاه وخدمات التصنيف الأمني الآلية ومراجعة الخروقات أو الحوادث الأمنية المُعلنة علنياً ومراقبة امتثال العقود.

يجب أن تخضع الأطراف الثالثة التي تتعرض لخرق أمني يؤثر على بيانات [ORGANIZATION] لإعادة تقييم فورية ومعالجة تعاقدية محتملة أو إنهاء العقد.