IG2 IG3

تصنيف مزودي الخدمات

مجموعة الضابط: 15. إدارة مزودي الخدمة

نوع الأصل: غير محدد

وظيفة الأمان: تحديد

الوصف

تصنيف مزودي الخدمات. يجب أن يراعي التصنيف حساسية البيانات التي يعالجونها أو يخزنونها ودرجة حرجيتهم للمؤسسة. استخدم هذا التصنيف لتحديد مستوى التقييم والمراقبة المطلوب. يجب إجراء التصنيف سنويًا أو بشكل أكثر تكرارًا عند حدوث تغييرات مؤسسية قد تؤثر على هذا الضمان.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

إدارة مخاطر الأطراف الثالثة مع تقييمات آلية للموردين والمراقبة المستمرة وتسجيل المخاطر

ServiceNow · اشتراك مؤسسي

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

منصة إدارة مخاطر الأطراف الثالثة مع أتمتة تقييم الموردين والمراقبة المستمرة وربط الامتثال

OneTrust · اشتراك مؤسسي

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

منصة تصنيفات أمنية توفر مراقبة مستمرة لوضع الأمن السيبراني للموردين مع تسجيل المخاطر القائم على البيانات

BitSight · اشتراك مؤسسي

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

ثقة غير متناسبة ممنوحة لمزود خدمة عالي المخاطر

السرية

يُعامل مزود خدمة يعالج أحجاماً كبيرة من البيانات المنظمة الحساسة بنفس الحد الأدنى من الإشراف كمورد لوازم مكتبية منخفض المخاطر لأنه لا يوجد نظام تصنيف يميز مستويات مخاطر المزودين.

عدم امتثال تنظيمي من تعامل مزود غير مصنف مع بيانات منظمة

السلامة

تفشل مؤسسة في تدقيق تنظيمي لأنها لا تستطيع إثبات إشراف مناسب للمخاطر على مزودي الخدمة الذين يتعاملون مع بيانات صحية أو مالية محمية، حيث لا يوجد مخطط تصنيف.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تصنيف قائم على المخاطر لمزودي الخدمة

بدون تصنيف المزودين حسب حساسية البيانات والحجم ومتطلبات التوفر والتعرض التنظيمي، تطبق المؤسسة ضوابط موحدة وغالباً غير كافية بغض النظر عن المخاطر الفعلية.

عدم القدرة على تحديد أولويات جهود إدارة مخاطر الموردين

يمنع غياب التصنيف المؤسسة من تركيز موارد الإشراف الأمني على مزودي الخدمة الأعلى مخاطر، مما يؤدي إلى اهتمام غير كافٍ بعلاقات الموردين الحرجة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة مخاطر الأطراف الثالثة

Control 15

الإجراءات الوقائية ذات الصلة في الضابط 15

15.1 إنشاء وصيانة جرد مزودي الخدمات

15.2 إنشاء وصيانة سياسة إدارة مزودي الخدمات

15.4 ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان

15.5 تقييم مزودي الخدمات

15.6 مراقبة مزودي الخدمات

15.7 إيقاف مزودي الخدمات بشكل آمن