Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä
Liittyvät muut vaatimuskehikot ja vaatimukset:
28. Henkilötietojen käsittelijä
GDPR
15.1.3: Information and communication technology supply chain
ISO 27001

Toimittajan palveluja koskevien muutosten hallinta

Critical
High
Normal
Low

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

  • suorat muutokset toimittajasopimuksiin
  • palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
  • toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
  • tietojen fyysistä sijaintia koskevat muutokset
  • toimittajaketjun / alihankintaprosessin muutokset
Liittyvät muut vaatimuskehikot ja vaatimukset:
15.2.2: Managing changes to supplier services
ISO 27001
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
28. Henkilötietojen käsittelijä
GDPR
14.1.1: Information security requirements analysis and specification
ISO 27001
No items found.