iT邦幫忙

2021 iThome 鐵人賽

DAY 27
0
IT管理

稽核師的挑戰系列 第 27

[Day27]ISO 27001 附錄 A.15 供應者關係

https://ithelp.ithome.com.tw/upload/images/20211015/201036477bxhYsLBnj.png

規劃

組織要有委外管理的政策,在規劃時應考量安全

合約

相關責任是否都納入合約,包含分包、轉包

執行

執行時是否合規

交付

交付方式,確保完整性

佈署

變更管理、安全測試

運作

持續監控、事件管理

驗收

驗收的基準

A.15 供應者關係

A.15.1 供應者關係中之資訊安全

目標:確保對供應者可存取之組織資產的保護。

A.15.1.1 供應者關係之資訊安全政策

應與供應者議定並文件化,降低與供應者存取組織資產關聯之風險的資訊安全要求事項。

  • 組織要有委外管理的政策,在規劃時應考量安全

A.15.1.2 於供應者協議中闡明安全性

應與每個可能存取、處理、儲存或傳達資訊,或提供IT 基礎建設組件資訊之供應者,建立及議定所有相關資訊安全要求事項。

  • 依組織的委外政策,在與供應商的合約中應要有安全性相關的條文,如:保密切結書

A.15.1.3 資訊及通訊技術供應鏈

與供應者之協議,應包含因應與資訊及通訊技術服務及產品供應鏈關聯之資訊安全風險。

  • 對供應商協議的安全要求延伸到相關之供應鏈,如:供應商分包斷更、廠商技術人員離職、產品停止支援

A.15.2 供應者服務交付管理

目標:維持資訊安全及服務交付之議定等級與供應者協議一致。

A.15.2.1 供應者服務之監視及審查

組織應定期監視、審查及稽核供應者服務交付。

  • 對供應商監督的展現,依協議的內容定義,如:技術服務維護紀錄、去供應商現場查核、定期提供監控報告等等

A.15.2.2 管理供應者服務之變更

應管理供應者所提供服務之變更,包括維持及改善既有的資訊安全政策、程序及控制措施 ,並考量所涉及之營運資訊、系統及過程的關鍵性,以及風險之重新評鑑。

  • 如果供應商原提供的服務改變,如:改變授權範圍、版本重大更新等等,導致系統在二個月後不能再提供服務,應要先讓委託方知曉,進行必要的風險評估與其他處理。

參考文獻

國家標準(CNS)網路服務系統:https://www.cnsonline.com.tw/

恐怖遊戲推薦:

晚班(Late Shift)

《Late Shift》 遊戲講述一個數學專業的大學生——馬特,莫名其妙被捲入一場拍賣所的盜竊中,並試圖證明自己的清白。遊戲中玩家將會面臨一系列的抉擇,有些決定甚是微小,但卻會導致截然不同的結果。本作劇本由《大偵探福爾摩斯》(2009年電影)作者創作,玩家將面臨180多種選擇,體驗扣人心弦的劇情。你是選擇偷車還是逃跑?是選擇乖乖配合還是從中破壞?在遊戲劇情推進的同時,玩家要在指定時間內進行抉擇。影片為高清製作,玩家能享受到電影、遊戲、互動敘事三者混合的超凡體驗。一切的選擇都在於你

STEAM:https://store.steampowered.com/app/584980/Late_Shift/
似乎是從電影改編而來,但還沒時間玩 Q"Q


上一篇
[Day26]ISO 27001 附錄 A.14 系統獲取、開發及維護
下一篇
[Day28]ISO 27001 附錄 A.16 資訊安全事故管理
系列文
稽核師的挑戰31

尚未有邦友留言

立即登入留言