Αρχική»e-Υπηρεσίες»Πολιτική Σχέσεων με Προμηθευτές

e-Υπηρεσίες

Σκοπός

Ο σκοπός για αυτήν την πολιτική είναι να εξασφαλίστεί η  προστασία  των πληροφοριών που είναι προσπελάσιμες από τους προμηθευτές και να διατηρηθεί ένα αμοιβαία συμφωνηθέν επίπεδο ασφαλείας πληροφοριών σε σχέση με τις συμβάσεις με τους προμηθευτές.

Πεδίο

Αυτή η πολιτική ισχύει για τις οντότητες και το προσωπικό του Δήμου Χερσονήσου (ΔΧ) και το Τμήμα Τεχνολογιών Πληροφορικής, Επικοινωνιών (ΤΠΕ) και Ηλεκτρονικής Διακυβέρνησης του Δήμου Χερσονήσου (ΤΠΕΗΔΔΧ), για όλα τα περιληφθέντα πρόσωπα ή οντότητες και όλα τα περιληφθέντα συστήματα σε όλες τις εγκαταστάσεις που χρησιμοποιούν στην υποδομή τεχνολογίας πληροφοριών του.

Το πεδίο της πολιτικής ασφαλείας πληροφοριών περιλαμβάνει την προστασία της εμπιστευτικότητας, της ακεραιότητας, και της διαθεσιμότητας των πληροφοριών.

Αυτή η πολιτική ισχύει για όλα τα στοιχεία, το υλικό, τις πληροφορίες, και τις πληροφορίες προσδιορισμού ταυτότητας (ΡΙΙ) και άλλες κατηγορίες προστατευμένων πληροφοριών με οποιαδήποτε μορφή (φυσικό, ηλεκτρονικό, προφορικό κ.λπ.) που ανήκει ή ελέγχεται από τον ΔΧ.

Δήλωση Πολιτικής

Ασφάλεια πληροφοριών σε σχέσεις με τους προμηθευτές

Οι απαιτήσεις ασφαλείας πληροφοριών για τους κινδύνους που συνδέονται με την πρόσβαση των προμηθευτών στα πληροφοριακά συστήματα του Δήμου Χερσονήσου (ΔΧ)  πρέπει να συμφωνηθούν με τον προμηθευτή και να τεκμηριωθούν. Οι έλεγχοι ασφαλείας σύμφωνα με τα πρότυπα πρέπει να εφαρμοστούν προτού ένας προμηθευτής να  έχει πρόσβαση στα πληροφοριακά συστήματα του ΔΧ. Οι έλεγχοι περιλαμβάνουν τις μεθόδους και τις διαδικασίες που εφαρμόζονται από τον ΔΧ και εκείνων που πρέπει να εφαρμοστούν από τον προμηθευτή.

Συμβάσεις με προμηθευτές που εμπεριέχουν, την πρόσβαση, την επεξεργασία, την αποθήκευση, την μεταβίβαση, ή τη διαχείριση των πληροφοριών του ΔΧ, των συστημάτων πληροφοριών ή των εγκαταστάσεων επεξεργασίας πληροφοριών πρέπει να βασιστούν σε μια επίσημη συμφωνία που να περιέχει τις απαραίτητες απαιτήσεις ασφάλειας.

Ο  Υπεύθυνος Ασφάλειας Πληροφοριών (ΥΑΠ) πρέπει να καθορίσει τις απαιτήσεις ασφαλείας πληροφοριών που ισχύουν για τα προϊόντα τεχνολογίας και επικοινωνιών ή την απόκτηση υπηρεσιών επιπλέον από τις γενικές απαιτήσεις ασφαλείας πληροφοριών για σχέσεις με προμηθευτές. Τουλάχιστον, αυτές πρέπει να περιλάβουν τις απαιτήσεις για την αντιμετώπιση κινδύνων που συνδέονται με τις υπηρεσίες πληροφοριών και τεχνολογίας επικοινωνιών και τις αλυσίδες εφοδιασμού προϊόντων.

Διαχείριση παροχής υπηρεσιών προμηθευτών

Οι ιδιοκτήτες πληροφοριών και οι ιδιοκτήτες υπηρεσιών πρέπει να παρακολουθούν και να αναθεωρούν τους σχετικούς με την ασφάλεια όρους σε αμοιβαία συμφωνία με τους προμηθευτές. Τα μη σχετικά  με την ασφάλεια στοιχεία πρέπει να αντιμετωπιστούν σύμφωνα με τις γενικές πολιτικές προμήθειας του ΔΧ. Οι διαδικασίες πρέπει να περιλάβουν:

  • Καθορισμό ευθύνης για παρακολούθηση σε έναν υπάλληλο.
  • Παρακολούθηση των επιπέδων απόδοσης των υπηρεσιών ώστε  να πιστοποιείται η προσήλωση στις συμφωνίες.
  • Έλεγχος των εκθέσεων υπηρεσιών που συντάσσονται από τον προμηθευτή.
  • Διεξαγωγή ελέγχων στους προμηθευτές και στη συνέχεια παρακολούθηση στα προσδιορισμένα ζητήματα.
  • Αντιμετώπιση συμβάντων ασφαλείας πληροφοριών σύμφωνα με τη διαχείριση συμβάντων ασφαλείας πληροφοριών και εφαρμόζοντας οποιουσδήποτε συνιστώμενους ελέγχους που προκύπτουν από την ανάλυση.
  • Επίλυση και διαχείριση οποιωνδήποτε άλλων προσδιορισμένων προβλημάτων  και
  • Εξασφάλιση ότι ο προμηθευτής διατηρεί ικανοποιητικές υπηρεσίες σύμφωνα με τα θέματα ασφάλειας της πολιτικής επιχειρησιακής συνέχειας όπου αυτή εφαρμόζεται.

Οι ιδιοκτήτες πληροφοριών και οι ιδιοκτήτες υπηρεσιών πρέπει να εξασφαλίσουν ότι οι συμβάσεις με τους προμηθευτές περιλαμβάνουν προβλέψεις για συμφωνίες τροποποίησης που έχουν να κάνουν με αλλαγές στη νομοθεσία, τον κανονισμό, τις επιχειρησιακές απαιτήσεις, τα πρότυπα, τις πολιτικές, ή την παροχή υπηρεσιών.

Οι ιδιοκτήτες πληροφοριών και οι ιδιοκτήτες υπηρεσιών πρέπει να εξασφαλίσουν ότι η σχετική με την ασφάλεια διαδικασία διαχείρισης αλλαγών για τις υπηρεσίες που παραδίδονται από τους προμηθευτές περιλαμβάνει:

  • Αναθεώρηση και ενημέρωση της αξιολόγησης της απειλής και κινδύνου (ή άλλης σχετικής αξιολόγησης της ασφάλειας) για να καθορίσει τον αντίκτυπο στα μέτρα ασφαλείας.
  • Εφαρμογή νέων ή ενισχυμένων μέτρων ασφαλείας όταν προσδιορίζεται από την αξιολόγηση του κινδύνου.
  • Αναθεώρηση και ενημέρωση της αξιολόγησης του αντίκτυπου εμπιστευτιότητας (αν εφαρμόζεται)  και
  • Έναρξη και εφαρμογή των αναθεωρήσεων στα πρότυπα, τις πολιτικές, και τις διαδικασίες.

Επηρεασθέντες άνθρωποι και οργανισμοί: Αυτή η πολιτική έχει επιπτώσεις σε όλους τους υπαλλήλους τού ΔΧ και των υποκαταστημάτων του, και όλους τους αναδόχους, τους συμβούλους, τους προσωρινούς υπαλλήλους, και τους συνέταιρους. Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται.

Επηρεασθέντα συστήματα: Αυτή η πολιτική ισχύει για όλα τα συστήματα υπολογιστών και επικοινωνιών που είναι στην κατοχή ή που χρησιμοποιούνται από το ΔΧ και τα υποκαταστήματά του. Ομοίως, αυτή η πολιτική ισχύει για όλες τις πλατφόρμες (λειτουργικά συστήματα) και όλα τα συστήματα εφαρμογής.

Συμμόρφωση: Ο  Υπεύθυνος Ασφάλειας Πληροφοριών θα ελέγξει τη συμμόρφωση σε αυτήν την πολιτική μέσω διάφορων μεθόδων, που περιλαμβάνουν αλλά που δεν περιορίζονται, στον περιοδικό επιτόπου έλεγχο, την τηλεοπτική παρακολούθηση, τις εκθέσεις από επιχειρησιακά εργαλεία, τους εσωτερικούς και εξωτερικούς ελέγχους, και θα ανατροφοδοτήσει την ανώτατη διοίκηση του ΔΧ. Οποιαδήποτε εξαίρεση στην πολιτική πρέπει να εγκριθεί εκ των προτέρων από την ομάδα ασφάλειας πληροφοριών (INFOSEC). Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται, συμπεριλαμβανομένης τη λήξη της απασχόλησης.

κορυφή