认证咨询

联系我们

深圳市安信达咨询有限公司 
电      话:+86 755-82800259
                +86 755-82800087
值班经理:13714167519(微信)
邮       箱:anxinda888#126.com  (#换@)
网      址:www.ts16949cn.com








ISO27001认证咨询您当前所在的位置:网站首页 > 认证咨询 > ISO27001认证咨询

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之供应商关系

 
 
 
15 供应商关系
15.1 供应商关系中的信息安全
目标:确保保护供应商可访问的组织资产。
 
15.1.1
供应商关系的信息安全策略(原 6.2.1)
控制措施
为降低与供应商访问组织资产关联的风险所涉及的信息安全要求应与供应商协商一致并被记录。
实施指南
组织应识别和批准信息安全控制,该控制在一个策略中明确地提出供应商访问组织的信息。这些控制应提出组织执行的过程或规程,也提出组织应要求供应商执行的那些过程或规程,包括:
a) 识别和记录供应商的类型,例如:组织允许其访问信息的 IT 服务、物流工具、财务服务、IT 基础架构组件等;
b) 管理供应商关系的一个标准化的过程和生命周期;
c) 定义不同类型的供应商允许访问的信息类型,并监视和控制这些访问;
d) 每种信息类型和访问类型的最小信息安全要求,作为单个供应商协议的基础,并基于组织的业务需要、要求和它的风险属性;
e) 监视已建立的每个供应商类型和访问类型的信息安全要求的过程和规程的遵守情况,包括第三方评审和产品确认;
f) 准确和完整的控制以确保任一方提供的信息或信息处理的完整性;
g) 义务类型适用于供应商保护组织的信息;
h) 处理与供应商访问相关联的突发事件和意外事故,包括组织和供应商的共同责任;
i) 如有必要的话,弹性、恢复和应急安排来确保由任一方提供的信息或信息处理的可用性;
j )组织人员意识培养由有关适当的策略、过程或规程来获得;
k) 组织人员的意识培养与供应商人员基于供应商的类型和供应商访问组织系统和信息的级别相关的适当的约定和行为规则相互配合;
l) 信息安全要求和控制下的条件被记录在由双方签署的协议中;
m) 管理必要的信息转换、信息处理设备和任何其它的必须的移动,并确保在转换的整个周期被信息安全被维护;
其它信息
安全管理不充分,可能使信息由于外部方介入而处于风险中。应确定和应用控制措施,以管理供应商对信息处理设施的访问。例如,如果对信息的保密性有特殊的要求,就需要使用不泄漏协议。另一个例子是数据保护风险,当供应商协议涉及转让、访问、信息跨越边界时。组织应意识到,保护属于组织信息的法律或合同责任。
 
15.1.2 供应商协议中提出的安全(原 6.2.3)
控制措施
应建立与信息安全相关的要求,并与供应商协商一致,包括访问、处理、存储、沟通或为组织的信息提供 IT 基础架构组件。
实施指南
供应商协议应被建立并记录,确保组织和供应商之间关于双方的义务和责任满足相关的信息安全要求不存在误解。为满足识别的信息安全要求,下列条款应被考虑包含在协议中:
a) 被提供或被访问的信息的描述,提供或访问信息的方法;
b) 来自组织分类表(见 8.2)的信息分类;如果需要将组织拥有的分类表和供应商的分类表进行映射;
c) 法律和法规要求,包括数据保护、知识产权和著作权、和如何确保他们被满足的描述;
d) 每个合同当事人的责任和义务被执行一个协商一致的控制集,包括:访问控制、履行回顾、监视、报告和审计;
e) 信息使用的可接受规则,如果需要包括不接受的使用;
f) 或者明确的列出被授权访问或获得组织信息的供应商人员,或者明确授权的程序或条件,并且明确由供应商访问或受理组织信息的授权删除;
g) 特定合约的信息安全策略;
h) 事件管理必备的条件和程序(尤其是事件纠正期间的通告和协作);
i) 为特定的过程和信息安全要求必需的培训和意识教育,例如:事件响应、授权程序;
j) 子合约的相关规则,包括被执行的必需的控制;
k) 合作伙伴的相关协议,包括信息安全问题的联系人;
l) 检查要求,如果真的发生检查不完整或给定不确定或有顾虑原因的结果,供应商人员包括控制检查和通告过程的责任;
m) 恰当的审计供应商人员和控制相关的协议;
n) 缺陷解决和冲突解决的过程;
o) 供应商有义务定期地提交控制有效性的独立报告,在报告中体现相关问题协商一致的纠正时间;
p) 供应商有义务遵从组织的安全要求。
其它信息
协议会随不同的组织和不同类型的供应商型存在很大的差异。因此,应注意要在协议中包括的所有信息安全风险和要求。供应商协议也包含其它方(如,子供应商)。在协议中,需要考虑当供应商不能提供处理事件的产品或服务时的连续处理程序,以避免在安排替代产品或服务时的任何延迟。
 
15.1.3 ICT 供应链(新增)
控制措施
与供应商的协议应包括与信息、通信技术服务和产品供应链相关的信息安全风险解决的要求。
实施指南
有关供应链安全,下列条款应被考虑包含在供应商协议中:
a) 除了供应商关系基本的信息安全要求外,适用于信息和通讯技术产品或服务获取的信息安全要求应被定义;
b) 对于信息和通讯技术服务,如果供应商分包部分信息和通讯技术服务,要求供应商传播组织的安全要求到整个供应链;
c) 对于信息和通讯技术产品,如果这些产品包含向其它供应商购买组件,要求供应商传播适当的安全惯例到整个供应链;
d) 实施一种监视过程和适当的方法,来验证所交付的信息和通讯技术产品和服务遵循规定的安全要求;
e) 实施一个过程,来识别产品或服务组件处于维持功能的临界状态,因此,要求提高注意和监督,尤其是组织外购时,顶层供应商向其它供应商外购产品或服务组件时;
f) 确保危险的组件和他们的源头能被跟踪贯穿整个供应链;
g) 确保交付的信息和通讯技术产品期望的功能被保证,没有任何的意外或有缺点的特性;
h) 在组织和供应商内定义一个规则,共享有关供应链和任何潜在的问题和妥协;
i) 实施特定的过程,管理信息和通讯技术组件生命周期和可用性并与安全风险关联。包括:管理由于供应商不再经营或由于技术发展不再提供这些组件而造成的组件不再可用的风险。
其它信息
具体的信息和通信技术供应链风险管理实践建立在一般的信息安全、质量、项目管理和系统工程基础之上,但不能代替他们的做法。组织应与供应商一起来了解信息和通信技术供应链,提供的信息和通讯技术产品或服
务产生重大影响的任何事情。组织可以影响信息和通信技术供应链信息安全的做法,在与他们的供应商协议中,明确在信息和通信技术供应链中应该由其它供应商处理的事项。信息和通信技术供应链同样被应用解决云计算服务。
 
15.2 供应商服务交付管理
目标:维持与供应商协议中商定的信息安全和服务交付的水平。
 
15.2.1监测和评审供应商服务(原 10.2.2)
控制措施
组织应定期监测、评审和审计供应商服务交付。
实施指南
供应商服务的监测和评审应确保协商一致的信息安全条款和条件被遵循,信息安全事件和问题被适当的管理。在组织和供应商之间应包括一个服务管理关系过程:
a) 监视服务执行级别以检查对协议的符合度;
b) 评审由供应商产生的服务报告,安排由协议要求的定期的进展会议;
c) 与独立审计员报告的评审配合实施对供应商的审计,如果可行,把识别出的问题进一步的采取行动;
d) 提供信息安全事件的信息,并在任何支持指南和程序中评审这个信息作为协议的要求;
e) 评审供应商有关服务交付中对信息安全事态、操作问题、故障、原因追查和中断的记录和审计跟踪;
f) 解决和管理任何已识别的问题;
g) 评审供应商与它拥有的供应商关系的情况;
h) 确保供应商维持足够的服务能力与可行的计划一起被设计,来确保主要的服务失败或灾难发生时协商一致的服务连续性水平被维持(见 17)。管理与供应商关系的职责应分配给指定人员或服务管理组。另外,组织应确保供应商分配了检查符合性和执行协议要求的职责。应获得足够的技术技能和资源来监视满足协议的要求,特别是信息安全要求。当在服务交付中发现不足时,应采取适当的措施。组织应对供应商访问、处理或管理的敏感或关键信息或信息处理设施的所有安全方面保持充分的、全面的控制和可见度。组织应确保他们对安全活动留有可见度,例如,通过一个被定义的报告过程,管理变更、识别脆弱性和报告/响应信息安全事件。
 
15.2.2 供应商服务变更管理(原 10.2.3)
控制措施
应管理供应商提供的变更,包括维护、改进现有的信息安全策略、程序和控制,应将商业信息的关键性、系统、流程和风险的重新评估考虑在内。
实施指南
应考虑下列方面:
a) 供应商协议的变更;
b) 组织要实施的变更:
1)对提供的现有服务的加强;
2)任何新应用和系统的开发;
3)组织方针策略和程序的更改或更新;
4)解决信息安全事件、改进安全的新的或的控制措施。
c) 供应商服务实施的变更:
1)对网络的变更和加强;
2)新技术的使用;
3)新产品或新版本的采用;
4)新的开发工具和环境;
5)服务设施的物理位置的变更;
6)供应商的变更;
7)外包给其它的供应商。
 
 
 
***************************************************************************************************************************************************************************************************************************************

深圳市安信达咨询公司——23年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 

因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

 

目前开展的ISO系列认证有:ISO9001认证ISO14001认证IATF16949认证ISO13485认证OHSAS18001认证QC080000认证AS9100认证HACCP认证ISO22000认证ISO27001认证ISO20000认证FSSC22000认证SA8000认证、ISO26000认证、ISO17025认证QS认证咨询英国BRC认证美国AIB认证TAPA认证ICTI认证ISO14604认证ISO50001认证等。点击标准查看详细信

为您服务的电话:0755-82800259,0755-82800087,24小时咨询电话:13714167519,甘先生,您的一个电话,我们将全力以赴!


联系我们
深圳市安信达咨询有限公司 (始于1996)          
0755-82800259      0755-82800087
值班经理:13714167519(微信) 甘经理
邮       箱:anxinda888@126.com  
Feedback我要留言
姓名 *
电话
Email
其他联系 如QQ等
留言内容 *
验证码
  
CHOOSE THE ANGEL STAR 企业管理咨询机构鱼龙混杂,如何选择适合自己企业的专业机构,日益成为企业发展道路上一个重要的课题!安信达咨询机构具有二十年中小企业管理诊断、咨询、培训、辅导一条龙服务经验。在当下急功近利社会环境,安信达不忘初衷、始终如一坚持 “提升管理,为客户创造价值”的理念,真正关注客户的需求,关注咨询给客户带来的价值。安信达咨询是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌咨询机构!安信达咨询机构是您最佳的企业管理顾问!