ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان
الوصف
ضمان تضمين عقود مزودي الخدمات لمتطلبات الأمان. تتضمن تطبيقات المثال متطلبات التشفير والاحتفاظ بالبيانات ومتطلبات حماية البيانات ومتطلبات إشعار الحوادث.
قائمة التحقق من التطبيق
توصيات الأدوات
إدارة مخاطر الأطراف الثالثة مع تقييمات آلية للموردين والمراقبة المستمرة وتسجيل المخاطر
ServiceNow · اشتراك مؤسسي
منصة إدارة مخاطر الأطراف الثالثة مع أتمتة تقييم الموردين والمراقبة المستمرة وربط الامتثال
OneTrust · اشتراك مؤسسي
منصة تصنيفات أمنية توفر مراقبة مستمرة لوضع الأمن السيبراني للموردين مع تسجيل المخاطر القائم على البيانات
BitSight · اشتراك مؤسسي
منصة تصنيفات الأمن السيبراني وإدارة مخاطر الأطراف الثالثة مع المراقبة المستمرة وأتمتة تقييم الموردين
SecurityScorecard · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
اختراق بيانات مزود خدمة بدون التزام إخطار تعاقدي
السريةيعاني مزود خدمة من اختراق يؤثر على بيانات المؤسسة لكنه يؤخر الكشف لأشهر لأنه لا يوجد متطلب تعاقدي يفرض إخطار الاختراق في الوقت المناسب، تاركاً المؤسسة غير قادرة على الاستجابة.
فشل المزود في تشفير البيانات بسبب غياب المتطلب التعاقدي
السريةيخزن مزود خدمة سحابية بيانات المؤسسة بدون تشفير لأن العقد لا يحتوي على متطلبات أمنية تفرض التشفير، ويتم كشف البيانات لاحقاً في حادث سوء تكوين.
بيانات حساسة يحتفظ بها المزود بعد إنهاء العقد
السريةيحتفظ مزود خدمة سابق بنسخ من بيانات المؤسسة الحساسة إلى أجل غير مسمى لأن العقد الأصلي لم يتضمن التزامات بالتخلص من البيانات، مما يخلق مخاطر تعرض مستمرة.
الثغرات (عند غياب الإجراء الوقائي)
عقود مزودي الخدمة تفتقر إلى متطلبات أمنية
بدون متطلبات أمنية تعاقدية، لا يتحمل المزودون أي التزام قانوني لتطبيق التشفير أو إخطار المؤسسة بالاختراقات أو الحفاظ على برامج أمان دنيا أو التخلص من البيانات بشكل آمن.
عدم وجود أساس تعاقدي للتدقيقات الأمنية أو التحقق من الامتثال
يعني غياب بنود أمنية في العقود أن المؤسسة ليس لديها حق في تدقيق أو تقييم أو التحقق من وضعية أمان مزود الخدمة أو امتثاله للمعايير المتوقعة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |