Anasayfa Bilgi Güvenliği Minimum Bilgi Güvenliği Kontrolleri

Minimum Bilgi Güvenliği Kontrolleri

Tedarikçi, güvenlik endüstrisi standartlarına uygun kurumsal güvenlik politikaları ve standartları uygulayacak ve bunlara uyumu sağlayacaktır. Tedarikçi, bu sözleşmede ve Tedarikçinin kendi politikalarında belirtilen güvenlik ve gizlilik kontrollerine teknik ve organizasyonel uyumu sağlamak için hesap verebilirliği sağlamak için uygun bir kişi tayin etmesini sağlayacaktır. . Süreklilik Tedarikçi, felaket durumunda, Novartis verilerini saklayan veya işleyen veya Novartis’e sağlanan hizmetleri destekleyen BT sistemlerini zamanında geri kazanmayı engellemek ve / veya işlemek için yerinde BT felaket kurtarma dahil olmak üzere uygun iş sürekliliği planlarına sahip olacaktır. . Tedarikçi, felaket kurtarma planlarının güncel ve etkili olmalarını sağlamak için düzenli olarak test edilmesini ve güncellenmesini sağlayacaktır. Tedarikçi, kararlaştırılan yedekleme politikasına uygun olarak düzenli olarak alınacak ve test edilecek olan bilgi ve yazılımların yedek kopyalarını alarak bilgi ve bilgi işleme tesislerinin bütünlüğünü ve kullanılabilirliğini koruyacaktır. . Medya Kullanımı Bilgilerin taşınması ve depolanması ile ilgili prosedürler, bilgileri yetkisiz ifşa veya yanlış kullanımlardan korumak için Tedarikçi tarafından belirlenir. Tedarikçi, gerekmediğinde, resmi prosedürleri kullanarak medyanın güvenli ve emniyetli bir şekilde imha edilmesini sağlayacaktır. Tedarikçi, sistem dokümantasyonunun yetkisiz erişime karşı korunmasını sağlamalıdır. .

Bilgi Güvenliği Kontrolleri Nasıl Olmalı ?

Bilgi Alışverişi Tedarikçisi, kendi bünyesinde ve herhangi bir harici varlık içinde değiştirilen bilgi ve yazılım güvenliğini koruyacaktır; Buna değişim anlaşmaları, aktarılan fiziksel medya, elektronik mesajlaşma ve işletme bilgi sistemlerinin birbirine bağlanması ile ilgili bilgilerin korunması dahildir. . Erişim Kontrolü Tedarikçisi, kullanıcılara yetkili erişimi sağlamak ve özellikle hassas kişisel verilere yetkisiz erişimi önlemek için bir erişim kontrolü politikası oluşturmalı ve uygulamalıdır. Tedarikçi, imtiyazların tahsis ve kullanımının kontrol edilmesini ve gerektiğinde sınırlandırılmasını sağlamak için kullanıcı erişim haklarını gözden geçirir. . Kriptografik Kontrol Yüksek riskli durumlarda, Tedarikçi mevcut erişim kontrollerine hem geçiş halindeyken hem de istirahat halindeki veriler için şifreleme çözümlerini destekleyecektir. Daha yüksek risk aşağıdakilerle ilgili olabilir: Bu belgede kullanılan büyük harfli ifadeler, Novartis Tedarikçi Kodundakiyle aynı anlama sahiptir. Ekli sözlüğe açıkça tanımlanmış, aksi belirtilmiş veya bağlam aksini gerektiriyor. Bilgi Güvenliği ve Risk Yönetimi Kamu – veri türü (örneğin hassas kişisel bilgiler veya bilgiler maddi olarak etkileyebilir Novartis, kişisel bilgi olmayan veya başka türlü gizli olmayan verilerden daha iyi koruma gerektirir) – ilgili güvenlik açıkları (örn. İnternet’e bakan sistemde depolanan veriler daha fazladır) Özel ağ içinde depolanan verilerden sonra savunmasız olanlar) – ilgili tehditler (örneğin açık bir ağ üzerinden aktarılan veriler daha fazla tehlikeye duyarlıdır). Tedarikçi, uygulanan ve takip edilen bilgilerin korunması için şifreleme kontrollerinin kullanımı konusunda bir politikaya sahip olacaktır. . Ağ Kontrol Tedarikçisi, ağların tehditlere karşı korunmak ve transit geçen bilgiler dahil olmak üzere ağı kullanan sistemler ve uygulamalar için güvenliği sağlamak amacıyla uygun şekilde yönetilmesini ve kontrol edilmesini sağlamalıdır. . Güvenlik Eğitimi ve Farkındalık Tedarikçisi, tüm çalışanların, yüklenicilerin ve üçüncü taraf kullanıcılarının bilgi güvenliği tehditleri ve kaygıları, sorumlulukları ve yükümlülükleri hakkında bilgi sahibi olmalarını ve çalışmaları sırasında örgütsel güvenlik politikasını destekleyecek donanıma sahip olmasını sağlamalıdır.

Bilgi Güvenliğinde Dikkat Edilmesi Gerekenler

Tedarikçi, çalışanlarının, yüklenicilerin ve kişisel bilgileri (kodlu dahil) ele alan üçüncü tarafların, kişisel verilerin tanımını ve Avrupa Komisyonu ve ilgili diğer ilgili makamlarca belirtilen hassas kişisel bilgilerin farkında olmasını sağlamalıdır. Tedarikçi, ilgili olduğu yerde, tüm çalışanların, yüklenicilerin ve üçüncü taraf kullanıcılarının uygun bilinçlendirme eğitimi almasını sağlayacaktır. Tedarikçi, çalışanlarının veri ve / veya kişisel verileri iletirken veya aktarırken kurumsal e-posta adreslerini kullanmalarını sağlayacaktır. . Fiziksel ve Çevresel Güvenlik Tedarikçisi, Tedarikçinin tesislerine ve tüm son kullanıcı cihazlarını içeren bilgilere yetkisiz fiziksel erişimi, hasarı ve müdahaleyi önlemek için uygun güvenlik sınırlarının ve giriş kontrollerinin yapılmasını sağlamalıdır. Tedarikçi, kullanılabilirliğini ve bütünlüğünü devam ettirmek için ekipmanın doğru şekilde muhafaza edilmesini sağlayacaktır. 0. Organizasyonel Kayıtların Korunması Tedarikçi, güvenlik politikalarının veri saklama ve veri imha politikalarını ve güvenlik standartlarını içermesini sağlayacaktır.

Tedarikçi, kayıtların saklama sürelerinde kayıp, imha veya tahrifattan korunmasını önlemek için uygun kontrollerin uygulanmasını sağlayacaktır. Tedarikçi, Novartis’in talebi üzerine veya Anlaşmanın sona ermesi üzerine, Tedarikçinin, Bağlı Kuruluşlarının veya taşeronlarının sahip olduğu tüm Novartis verilerini (Elde ettiği tüm Novartis verilerinin ve tüm kopyaları hariç) elden çıkaracak (örneğin silme, imha etme veya okunaksız hale getirme) kabul eder. Tedarikçinin standart yedekleme medyasında, bu yedekleme medyasının tanınan ve güncel veri gizliliği ve veri güvenliği en iyi uygulamalarına göre güvence altına alınması koşuluyla). Tedarikçi, Novartis’in talebi üzerine, Novartis’e ek bir ücret ödemeden Novartis’in talebi üzerine yedekleme ortamında depolanan Novartis verileri hakkında uygun ayrıntı düzeyini sağlayacaktır. Novartis tarafından talep edildiği takdirde, Tedarikçi bu işlemlerin tamamlandığını yazılı olarak onaylayacaktır. Bertaraf gereksiniminin istisnaları aşağıdakiler olarak kabul edilir: – Tedarikçi, Novartis verilerini yasal veya düzenleyici amaçlar için dosyada tutmalıdır; Bu tür Novartis verileri yasal saklama sürelerinin dolmasından hemen sonra kaldırılacaktır – Novartis’in Tedarikçiden yasal bekletme amacıyla arşivlenmesini istemediği Novartis verileri Bilgi Güvenliği ve Risk Yönetimi Kamu .Teknik Güvenlik Açığı Yönetimi Tedarikçisi sömürüden kaynaklanan riskleri azaltmaya çalışacaktır. yayınlanan teknik açıklar. Tedarikçi, örneğin İnternet Güvenliği Merkezi (BDT) standartlarında (https://www.cisecurity.org/) tanımlanmış uygulanabilir en iyi endüstri uygulamalarını uygulayacaktır.

Bilgi Güvenliği Arıza Yönetimi

Bilgi Güvenliği Arıza Yönetimi Tedarikçisi, yönetim sorumluluklarının ve prosedürlerinin sağlanması için kurulmasını sağlayacaktır. Güvenlik olaylarına hızlı, etkili ve düzenli bir yanıt vermek ve bilgi güvenliği olaylarını ve zayıflıklarını rapor etmek ve yönetmek. İzleme Tedarikçisi yetkisiz bilgi işlem faaliyetlerini tespit etmek için uygun sistemleri ve kontrolleri kullanacaktır. Yapılandırma Yönetimi Tedarikçi, güncellemelerin ve yama sistemlerinin yeterli şekilde uygulandığını gösteren politikalar oluşturmalı ve sürdürmelidir. Tedarikçi, donanım ve yazılım envanterleri oluşturmalı ve sürdürmeli ve düzenli güvenlik açıkları taraması yapmalıdır. Tedarikçi, iş süreçlerinde aksama riskini en aza indirirken, operasyonel sistemlerde uygun denetim verilerinin bağımsız denetimini / testini sağlamak için denetim kontrollerinin uygulanmasını sağlayacaktır. Zararlı Kod Önleme Tedarikçi, iş süreçleri için riskleri zararlı kodlardan yöneten ve kötü amaçlı yazılımdan koruma önlemleri içeren politikalar geliştirir. Bilgi Risk Yönetimi Tedarikçi, risk yönetimini sağlayacak ve destekleyecek risk yönetimi politikalarını destekleyen bir yönetişim çerçevesi oluşturacaktır. Bilgi Güvenliği ve Risk Yönetimi Kamusal Terimler Sözlüğü “Sözleşme”, Tedarikçi ve / veya İştirakleri ile Novartis ve / veya İştirakleri arasında referans veya başka bir şekilde Novartis Tedarikçi Kodunu (sürüm) içeren (bu amaçla gizlilik hariç olmak üzere) imzalanan herhangi bir resmi yazılı sözleşme anlamına gelir. / altında hiçbir ürün / mal veya hizmet bulunmadığı gizlilik sözleşmesi).

Daha fazla içerik getir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunları Beğenebilirsiniz.

Siber Güvenliğiniz ne kadar iyi ? Siber Tehditlerden Nasıl Korunulur ?

Gölgelerin dışından, siber güvenlik açığıyla ilgili gerçek ve algılanan sorun, halkı, poli…