Ceļvedis

Trešo pušu (vendor) riska pārvaldība

Kā novērtēt un pārvaldīt riskus piegādātāju ķēdē.

NIS2 uzsver piegādātāju ķēdes drošību kā daļu no kiberdrošības risku pārvaldības. Organizācijai jāvērtē ne tikai savas sistēmas, bet arī tiešie piegādātāji un pakalpojumu sniedzēji.

  1. Piegādātāju uzskaite
    Uztur aktuālu piegādātāju sarakstu, norādot to piekļuvi sistēmām, datiem un kritiskajiem procesiem.
  2. Riska klasifikācija
    Klasificē piegādātājus pēc ietekmes līmeņa: kritisks, augsts, vidējs vai zems.
  3. Drošības novērtējums
    Pārbauda piegādātāja drošības praksi, ievainojamību pārvaldību, sertifikācijas, piemēram, ISO 27001 vai SOC 2, un drošas izstrādes procedūras.
  4. Līgumiskās prasības
    Līgumos iekļauj prasības par konfidencialitāti, datu aizsardzību, incidentu ziņošanu, audita tiesībām un piekļuves kontroli.
  5. Nepārtraukta uzraudzība
    Regulāri pārskata piegādātāju drošības stāvokli, incidentus, jaunas ievainojamības un atbilstību prasībām.
  6. Sadarbības izbeigšana
    Nodrošina datu atgūšanu vai dzēšanu, piekļuves tiesību atsaukšanu un integrāciju pārtraukšanu.

Būtiski: NIS2 kontekstā piegādātāju drošība nav vienreizēja pārbaude, bet nepārtraukts riska pārvaldības process.