إنشاء وصيانة سياسة إدارة مزودي الخدمات
الوصف
إنشاء وصيانة سياسة إدارة مزودي الخدمات. تأكد من أن السياسة تتعامل مع تصنيف مزودي الخدمات وجردهم وتقييمهم ومراقبتهم وإيقافهم ومتطلبات العقود والتدابير الأمنية لمزودي الخدمات. مراجعة وتحديث السياسة سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التطبيق
توصيات الأدوات
إدارة مخاطر الأطراف الثالثة مع تقييمات آلية للموردين والمراقبة المستمرة وتسجيل المخاطر
ServiceNow · اشتراك مؤسسي
منصة إدارة مخاطر الأطراف الثالثة مع أتمتة تقييم الموردين والمراقبة المستمرة وربط الامتثال
OneTrust · اشتراك مؤسسي
منصة تصنيفات أمنية توفر مراقبة مستمرة لوضع الأمن السيبراني للموردين مع تسجيل المخاطر القائم على البيانات
BitSight · اشتراك مؤسسي
منصة تصنيفات الأمن السيبراني وإدارة مخاطر الأطراف الثالثة مع المراقبة المستمرة وأتمتة تقييم الموردين
SecurityScorecard · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
معايير أمان موردين غير متسقة عبر الأقسام
السريةتطبق وحدات أعمال مختلفة متطلبات أمان متفاوتة وغالباً غير كافية على مزودي الخدمة لأنه لا توجد سياسة إدارة موحدة تحدد معايير تقييم ومراقبة وإيقاف الموردين.
تأهيل مزود عالي المخاطر بدون تقييم أمني
السريةيتم التعاقد مع مزود خدمة يتعامل مع بيانات منظمة حساسة بدون أي تقييم أمني لأنه لا توجد سياسة تفرض معايير التقييم قبل تأهيل الموردين.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود سياسة رسمية لإدارة مزودي الخدمة
بدون سياسة إدارة مزودي الخدمة، لا توجد متطلبات موحدة لتصنيف وتقييم ومراقبة أو إيقاف الموردين، مما يؤدي إلى إدارة مخاطر أطراف ثالثة غير متسقة وغالباً غير كافية.
عدم وجود دورة حياة محددة لعلاقات مزودي الخدمة
يعني غياب سياسة تتناول دورة حياة المورد الكاملة أن المزودين يتم تأهيلهم بدون متطلبات أمنية ويبقون نشطين بدون إعادة تقييم دورية أو إيقاف مناسب.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |