Pravilnik o upravljanju dobavljačima i trećim stranama
| Polje |
Vrijednost |
| Oznaka |
PR-INF-TREC-v1_0 |
| Tip |
Pravilnik |
| Verzija |
1.0 |
| Datum usvajanja |
05.12.2024. |
| Format |
DOCX |
| ISO 27001:2022 |
5.19, 5.20, 5.21 |
| Status |
Aktivan |
| Preuzimanje |
PR-INF-TREC-v1.0.docx |
Opis
Pravilnik definira način upravljanja rizicima povezanim s vanjskim dobavljačima i partnerima TPA d.o.o., osobito u pogledu pristupa podacima, informacijskim sustavima i infrastrukturi. Usklađen je s ISO/IEC 27001:2022 i DORA (Digital Operational Resilience Act). Obuhvaća IT dobavljače, vanjske konzultante, dobavljače softvera/hardvera, cloud davatelje i telekomunikacijske operatere.
Sadržaj dokumenta
- Svrha i područje primjene — sve treće strane s pristupom IS-u, podacima ili mrežama; usklađenost s ISO 27001 kontrolom A.15 i DORA-om
- Odgovornosti — Služba informatike (sigurnosni zahtjevi), Nabava/pravni tim (ugovorni zahtjevi), Uprava (nadzor kritičnih dobavljača)
- Procjena rizika trećih strana — identifikacija podataka i sustava kojima pristupaju; procjena utjecaja na sigurnost i kontinuitet; provjera sigurnosnih kontrola; procjena sukladnosti sa ZOR i DORA; kontinuirano ažuriranje
- Sigurnosni zahtjevi za treće strane:
- Kontrola pristupa — ograničen pristup, MFA, redovita revizija prava
- Enkripcija podataka — svi podaci Društva moraju biti kriptirani u prijenosu i mirovanju
- Upravljanje incidentima — dokumentiran plan; prijava incidenta u roku 24 sata
- Plan oporavka od katastrofa — testiran BCP/DRP usklađen s ISO 27001 i DORA
- Praćenje i nadzor — redovita izvješća o aktivnostima pristupa
- Ugovorne obveze — sigurnosni zahtjevi, klauzule povjerljivosti, pravo revizije, pravo raskida pri nesukladnosti
- Kontinuirano praćenje — redovite procjene rizika, periodična testiranja IT otpornosti, praćenje incidenata, evaluacijski sastanci
- Izvještavanje i eskalacija — prijava incidenta u 24h; prijava regulatorima u 72h sukladno DORA-i
Povezani dokumenti
- PO-INF-SIG-v2_0 — Politika informacijske sigurnosti (nadređeni dokument)
- RE-INF-IMOVINA-v1_0 — Registar informacijske imovine (imovina kojoj pristupaju treće strane)
- PC-INF-INC-v1_0 — Procedura odgovora na incidente (koordinacija s trećim stranama)
Povijest izmjena
| Verzija |
Datum |
Opis |
| 1.0 |
05.12.2024. |
Inicijalno usvajanje |