Kuruluşa ait tedarikçiler tarafından erişilebilen varlıkların korunmasını sağlamalıdır.
Tedarikçi ilişkileri için bilgi güvenliği politikası
Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için 27001 bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir.
Kuruluş, politika da özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak 27001 bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır. Bu kontroller, kuruluş tarafından uygulanan prosesleri ve prosedürleri ele almalıdır, bununla birlikte kuruluşun bu prosesleri ve prosedürleri tedarikçilere aşağıdaki hususları da içerecek
şekilde uygulaması gerekir.
a) Tedarikçi türlerinin belirlenmesi ve yazılı hale getirilmesi, örneğin; kuruluşça bilgilere erişim izni verilen BT hizmetleri, lojistik araçları, finansal hizmetler, BT altyapı bileşenleri,
b) Tedarikçi ilişkilerini yönetmek için bir standart proses ve yaşam döngüsü,
c) Tedarikçilerin farklı türleri için tanımlanan bilgi erişim türlerine izin verilmesi ve erişimler izlenmesi ve kontrol edilmesi,
d) Kuruluşun iş ihtiyaçları ve gereksinimleri ve risk profili temel alınarak bireysel tedarikçi anlaşmaları için her bilgi türü ve erişim türü için asgari 27001 bilgi güvenliği gereksinimleri,
e) Üçüncü taraf gözden geçirme ve ürün doğrulama dâhil her tedarikçi türü ve erişim türü için kurulan 27001 bilgi güvenliği gereksinimleri uyumluluğunun izlenmesi için prosesler ve prosedürler,
f) Taraflarca sağlanan bilgi ya da bilgi işlemenin bütünlüğünü sağlamak amacıyla doğruluk ve bütünlük kontrolleri,
g) Kuruluşun bilgilerini korumak için tedarikçilere uygulanan yükümlülük türleri,
h) Hem kuruluş hem de tedarikçilerin sorumlulukları dâhil olmak üzere tedarikçi erişimi ile ilişkili acil durumların ve ihlal olaylarının işlenmesi,
i) Esneklik ve gerekirse, taraflarca sağlanan bilgi ve bilgi işleme kullanılabilirliğini sağlamak için kurtarma ve acil durum düzenlemeleri,
j) Kuruluşun satın almalar ile ilgili personeli için uygulanabilir politikalar, prosesler ve prosedürler ile ilgili farkındalık eğitimi,
k) Kuruluşun sistemleri ve bilgilerine tedarikçi erişim düzeyleri ve tedarikçi türlerine göre uygun katılım ve davranış kuralları konusunda tedarikçi personeli ile etkileşimde olan kuruluş personeli için farkındalık eğitimi,
l) 27001 bilgi güvenliği şartları ve kontrollerinin yazılı hale getirileceği her iki taraf tarafından bir anlaşmanın hangi şartlar altında imzalanacağı,
m) Bilgi, bilgi işleme tesisleri ve taşınması gereken herhangi bir şeyin gerekli geçiş işlemini yönetme, ve geçiş işlemi süresince bilgi güvenliğinin sürdürülmesi.
Bilgi, yetersiz ISO 27001 bilgi güvenliği yönetimi ile tedarikçi tarafından riske atılabilir. Bilgi işleme tesislerine tedarikçi erişimini yönetmek için kontroller tespit edilmeli ve uygulanmalıdır. Örneğin, bilgilerin gizliliği için özel bir ihtiyaç varsa, ifşa etmeme anlaşmaları kullanılabilir. Başka bir örnek, aktarımı, ya da erişimi, sınırlar ötesi bilgi aktarımını içeren tedarikçi anlaşmalarında veri koruma riskleridir. Kuruluş dâhilinde yer alan bilgilerin korunması için kuruluş, yasal ya da sözleşmeden doğan sorumluluklarının farkında olmalıdır.
Tedarikçi ilişkileri için bilgi güvenliği politikası
Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak için 27001 bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve yazılı hale getirilmelidir.
Kuruluş, politika da özellikle kuruluşun bilgilerine erişen tedarikçileri ele alarak 27001 bilgi güvenliği kontrollerini tanımlamalı ve zorlamalıdır. Bu kontroller, kuruluş tarafından uygulanan prosesleri ve prosedürleri ele almalıdır, bununla birlikte kuruluşun bu prosesleri ve prosedürleri tedarikçilere aşağıdaki hususları da içerecek
şekilde uygulaması gerekir.
a) Tedarikçi türlerinin belirlenmesi ve yazılı hale getirilmesi, örneğin; kuruluşça bilgilere erişim izni verilen BT hizmetleri, lojistik araçları, finansal hizmetler, BT altyapı bileşenleri,
b) Tedarikçi ilişkilerini yönetmek için bir standart proses ve yaşam döngüsü,
c) Tedarikçilerin farklı türleri için tanımlanan bilgi erişim türlerine izin verilmesi ve erişimler izlenmesi ve kontrol edilmesi,
d) Kuruluşun iş ihtiyaçları ve gereksinimleri ve risk profili temel alınarak bireysel tedarikçi anlaşmaları için her bilgi türü ve erişim türü için asgari 27001 bilgi güvenliği gereksinimleri,
e) Üçüncü taraf gözden geçirme ve ürün doğrulama dâhil her tedarikçi türü ve erişim türü için kurulan 27001 bilgi güvenliği gereksinimleri uyumluluğunun izlenmesi için prosesler ve prosedürler,
f) Taraflarca sağlanan bilgi ya da bilgi işlemenin bütünlüğünü sağlamak amacıyla doğruluk ve bütünlük kontrolleri,
g) Kuruluşun bilgilerini korumak için tedarikçilere uygulanan yükümlülük türleri,
h) Hem kuruluş hem de tedarikçilerin sorumlulukları dâhil olmak üzere tedarikçi erişimi ile ilişkili acil durumların ve ihlal olaylarının işlenmesi,
i) Esneklik ve gerekirse, taraflarca sağlanan bilgi ve bilgi işleme kullanılabilirliğini sağlamak için kurtarma ve acil durum düzenlemeleri,
j) Kuruluşun satın almalar ile ilgili personeli için uygulanabilir politikalar, prosesler ve prosedürler ile ilgili farkındalık eğitimi,
k) Kuruluşun sistemleri ve bilgilerine tedarikçi erişim düzeyleri ve tedarikçi türlerine göre uygun katılım ve davranış kuralları konusunda tedarikçi personeli ile etkileşimde olan kuruluş personeli için farkındalık eğitimi,
l) 27001 bilgi güvenliği şartları ve kontrollerinin yazılı hale getirileceği her iki taraf tarafından bir anlaşmanın hangi şartlar altında imzalanacağı,
m) Bilgi, bilgi işleme tesisleri ve taşınması gereken herhangi bir şeyin gerekli geçiş işlemini yönetme, ve geçiş işlemi süresince bilgi güvenliğinin sürdürülmesi.
Bilgi, yetersiz ISO 27001 bilgi güvenliği yönetimi ile tedarikçi tarafından riske atılabilir. Bilgi işleme tesislerine tedarikçi erişimini yönetmek için kontroller tespit edilmeli ve uygulanmalıdır. Örneğin, bilgilerin gizliliği için özel bir ihtiyaç varsa, ifşa etmeme anlaşmaları kullanılabilir. Başka bir örnek, aktarımı, ya da erişimi, sınırlar ötesi bilgi aktarımını içeren tedarikçi anlaşmalarında veri koruma riskleridir. Kuruluş dâhilinde yer alan bilgilerin korunması için kuruluş, yasal ya da sözleşmeden doğan sorumluluklarının farkında olmalıdır.
