Ir para o conteúdo
Página inicial
Política de segurança da informação para as relações com fornecedores

Política de segurança da informação para as relações com fornecedores

Políticas específicas de segurança da informação
5.2.15 Política de segurança da informação para as relações com fornecedores

5.2.15.1. As políticas e procedimentos de segurança da informação da Aranda Software devem ser cumpridos pelos fornecedores considerados críticos. 

5.2.15.2. É da responsabilidade dos colaboradores da Aranda que mantêm relações com os fornecedores conhecer e aplicar as políticas do SGSI no âmbito dessas relações e comunicar qualquer incumprimento das mesmas como um incidente de segurança. 

5.2.15.3. Devem ser elaborados Acordos de Confidencialidade e Acordos de Intercâmbio de Informações para todos os fornecedores classificados como Críticos, nos quais fiquem claramente estabelecidas as obrigações do contratante e seja garantido o cumprimento das políticas do SGSI. 

5.2.15.4. Os riscos de segurança da informação relacionados com os fornecedores devem ser identificados e avaliados antes do início da relação comercial e são monitorizados periodicamente desde o início. Esta monitorização é da responsabilidade da área de segurança da informação, que, em conjunto com o responsável pela relação com o fornecedor, determinará os riscos inerentes a essa relação. 

5.2.15.5. Os acessos solicitados pelos fornecedores às informações e à infraestrutura, independentemente do local onde estas se encontrem armazenadas, devem ser avaliados e aprovados formalmente, em conformidade com a Política de Controlo de Acesso da organização. 

5.2.15.6. Os fornecedores devem cumprir o disposto no ponto 5.2.2 Inventário de informações e ativos associados, que se encontram sob a sua responsabilidade; isto define ações como armazenamento, transmissão, impressão e processamento; de acordo com o Procedimento estabelecido para esse fim. 

5.2.15.7. Os fornecedores classificados como críticos devem assegurar a gestão das vulnerabilidades das plataformas sob a sua responsabilidade e que estejam envolvidas na relação com a Aranda. Isto inclui a comunicação atempada à Organização Aranda Software das vulnerabilidades identificadas e das medidas a implementar para mitigar os riscos associados. 

5.2.15.8. O fornecedor deve comunicar atempadamente os incidentes de segurança da informação que ponham em risco os serviços contratados. 

5.2.15.9. A área de Segurança da Informação deve monitorizar e avaliar regularmente (pelo menos uma vez por ano) as alterações nas práticas de segurança da informação dos fornecedores. 

5.2.15.10. Os fornecedores classificados como críticos devem dispor de um plano de continuidade de negócios.