Polityka Zarządzania Bezpieczeństwem Dostawców
Ocena ryzyka, wymogi kontraktowe, monitoring i audyty łańcucha dostaw
1. Zakres i Cel
Polityka obejmuje wszystkich dostawców, podwykonawców i partnerów zewnętrznych mających dostęp do systemów, danych lub lokalizacji organizacji. Szczególna uwaga dotyczy dostawców usług krytycznych (ICT, chmura, telekomunikacja, OT).
⚠️
Art. 21(2)(d) NIS2: Podmioty kluczowe i ważne muszą zarządzać bezpieczeństwem łańcucha dostaw, w tym oceną podatności i praktyk bezpieczeństwa dostawców. Incydent u dostawcy ICT może skutkować obowiązkiem zgłoszenia do CSIRT.
2. Klasyfikacja Dostawców
| Kategoria | Opis | Przykłady | Poziom kontroli |
|---|---|---|---|
| Krytyczny | Bezpośredni dostęp do systemów kluczowych lub danych tajnych | Dostawca chmury, operator telekomunikacyjny, dostawca SCADA, outsourcing IT | Pełna ocena bezpieczeństwa + audyt roczny |
| Ważny | Dostęp do systemów wewnętrznych lub danych poufnych | Firmy IT serwisowe, dostawcy oprogramowania, firmy kurierskie z dostępem do biura | Kwestionariusz bezpieczeństwa + przegląd umowy |
| Standardowy | Brak dostępu do systemów IT / ograniczony dostęp do biura | Dostawcy materiałów biurowych, serwis klimatyzacji | Standardowe warunki umowne |
3. Proces Oceny Bezpieczeństwa Dostawcy (przed podpisaniem umowy)
- Klasyfikacja dostawcy (Krytyczny / Ważny / Standardowy).
- Kwestionariusz bezpieczeństwa – wysłanie do dostawcy (szablon: Załącznik A).
- Ocena odpowiedzi – CISO ocenia poziom dojrzałości bezpieczeństwa dostawcy.
- Weryfikacja certyfikatów – np. ISO 27001, SOC 2, CSA STAR.
- Decyzja – zatwierdzenie / odrzucenie / zatwierdzenie warunkowe (z wymaganymi działaniami naprawczymi).
⚠ Krytyczne – rejestr dostawców
Rejestr dostawców krytycznych: ▸ [lokalizacja rejestru]
Liczba dostawców krytycznych: ▸ [liczba]
| Nazwa dostawcy | Usługa | Kategoria | Data oceny | Data kolejnej oceny | Status |
|---|---|---|---|---|---|
| ▸ | ▸ | ▸ Krytyczny | ▸ | ▸max. 12 mies. | ▸ |
| ▸ | ▸ | ▸ | ▸ | ▸ | ▸ |
4. Wymagane Klauzule Umowne
Każda umowa z dostawcą mającym dostęp do systemów lub danych organizacji musi zawierać:
| Klauzula | Obowiązkowa dla | Treść minimalna |
|---|---|---|
| Poufność (NDA) | Wszyscy | Zakaz ujawniania informacji poufnych, kary umowne |
| Wymagania bezpieczeństwa | Ważni i Krytyczni | Obowiązek stosowania środków bezpieczeństwa zgodnych z KSC/NIS2, prawo do audytu |
| Zgłaszanie incydentów | Krytyczni | Dostawca zgłasza incydenty dotyczące organizacji w ciągu ▸ [24h]max. 24h |
| Podprzetwarzanie (subprocessing) | Ważni i Krytyczni | Zakaz podprzetwarzania bez zgody organizacji; te same wymogi bezp. dla podwykonawców |
| Prawo do audytu | Krytyczni | Prawo organizacji do audytu bezpieczeństwa dostawcy ▸ [raz w roku] |
| SLA i kary | Krytyczni | ▸ [dostępność, czasy odpowiedzi, kary za naruszenia] |
| Zakończenie umowy | Wszyscy | Zwrot lub zniszczenie danych, odebranie dostępów w ciągu ▸ [24h od zakończenia] |
5. Monitoring Dostawców
| Aktywność | Częstotliwość | Odpowiedzialny |
|---|---|---|
| Przegląd bezpieczeństwa dostawców krytycznych | ▸ co 12 mies.min. 1×/rok | ▸ CISO |
| Audyt bezpieczeństwa u dostawcy (on-site lub remote) | ▸ co 2 lata (krytyczni)min. co 3 lata | ▸ CISO / Audytor |
| Monitoring dostępu dostawców do systemów | Ciągły | ▸ Admin IT / SIEM |
| Weryfikacja certyfikatów (ISO 27001, SOC2) | ▸ przy odnowieniu certyfikatu dostawcy | ▸ CISO |
Załącznik A – Kwestionariusz Bezpieczeństwa Dostawcy (fragment)
Wysyłany do nowych dostawców kategorii Ważny i Krytyczny przed zawarciem umowy.
| # | Pytanie | Oczekiwana odpowiedź |
|---|---|---|
| 1 | Czy organizacja posiada certyfikat ISO 27001 lub SOC 2? | ▸ [odpowiedź dostawcy + weryfikacja] |
| 2 | Czy stosowane jest szyfrowanie danych w spoczynku i w tranzycie? | ▸ |
| 3 | Jaki jest czas reakcji na incydenty bezpieczeństwa (SLA)? | ▸ |
| 4 | Czy przeprowadzane są testy penetracyjne? Jak często? | ▸ |
| 5 | Czy istnieje procedura zgłaszania incydentów do klientów? | ▸ |
| 6 | Czy dane organizacji są przechowywane w UE / EOG? | ▸ [wymóg RODO] |
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-015 Polityka Zarządzania Dostawcami | v1.0 | NIS2/KSC