Saltar para o conteúdo
Página inicial
Política de segurança da informação para as relações com os fornecedores

Política de segurança da informação para as relações com os fornecedores

Políticas específicas de segurança da informação
5.2.15 Política de segurança da informação para relações com fornecedores

5.2.15.1. As políticas e procedimentos de segurança da informação da Aranda Software devem ser cumpridos pelos fornecedores definidos como críticos. 

5.2.15.2. É responsabilidade dos funcionários da Aranda que têm relação com os fornecedores conhecer e aplicar as políticas do SGSI no âmbito dessa relação e alertar qualquer incumprimento das mesmas como um incidente de segurança. 

5.2.15.3. Devem ser gerados Acordos de Confidencialidade e Acordos de Intercâmbio de Informações para todos os fornecedores classificados como Críticos, nos quais fiquem claramente estabelecidas as obrigações do contratante e o cumprimento das políticas do SGSI. 

5.2.15.4. Os riscos de segurança da informação relacionados com os fornecedores devem ser identificados e avaliados antes do início da relação comercial e são monitorizados periodicamente desde o início. Este monitoramento é da responsabilidade da área de segurança da informação, que, em conjunto com o responsável pela relação com o fornecedor, determinará os riscos próprios dessa relação. 

5.2.15.5. Os acessos solicitados pelos fornecedores às informações e infraestruturas, independentemente do local de armazenamento, devem ser avaliados e aprovados formalmente, de acordo com a Política de Controlo de Acesso da organização. 

5.2.15.6. Os fornecedores devem cumprir o disposto no ponto 5.2.2 Inventário de informações e ativos associados, que ficam sob sua responsabilidade; isso define ações como armazenamento, transmissão, impressão e processamento; de acordo com o Procedimento estabelecido para tal fim. 

5.2.15.7. Os fornecedores definidos como críticos devem realizar a gestão das vulnerabilidades das plataformas sob sua responsabilidade e que estejam envolvidas na relação com a Aranda. Isso inclui o reporte oportuno à Organização Aranda Software das vulnerabilidades identificadas e as medidas a serem implementadas para mitigar os riscos associados. 

5.2.15.8. O fornecedor deve comunicar oportunamente os eventos de segurança da informação que coloquem em risco os serviços contratados. 

5.2.15.9. A área de Segurança da Informação deve monitorar e avaliar regularmente (pelo menos uma vez por ano) as mudanças nas práticas de segurança da informação dos fornecedores. 

5.2.15.10. Os fornecedores definidos como críticos devem contar com a existência de um plano de continuidade de negócios.