ISO 27001 Kontrol A.5.20 Tedarikçi Sözleşmeleri Kapsamında Bilgi Güvenliğinin Ele Alınması
Temeller
ISO 27001 kontrolü A.5.20, bir şirketin tedarikçileriyle yaptığı sözleşmelere bilgi güvenliğiyle ilgili gerekli şartları eklemesini zorunlu kılar. Bu sayede güvenlik gereksinimleri her iki tarafça resmi olarak kabul edilir ve yasal geçerlilik kazanır. Bilgi güvenliğinin sözleşmelerle güvence altına alınması, tedarikçi kaynaklı risklerin azaltılması açısından kritik öneme sahiptir.
Belgeleme
-
Zorunlu: Tedarikçilerle yapılan sözleşmelere bilgi güvenliği şartlarının yazılması.
-
Tavsiye Edilen:
-
Tedarikçi Güvenlik Politikası hazırlanması,
-
Tedarikçi Güvenlik Risklerini Yönetme Prosedürü oluşturulması.
-
Uygulama
Bu kontrole uyum sağlamak için şirketlerin aşağıdaki adımları izlemesi önerilir:
-
Teknoloji:
Mevcut sözleşme yönetim araçları (MS Word, Google Docs, dijital imza yazılımları, sözleşme yönetim sistemleri vb.) kullanılarak bilgi güvenliği şartlarının eklenmesi sağlanır. -
Organizasyon / İşlemler:
Tedarikçi sözleşmelerinde hangi güvenlik gereksinimlerinin yer alacağına dair standart bir süreç oluşturulmalıdır.
Bu süreç:-
Bilgi Güvenliği Ekibi,
-
Tedarik Yönetimi,
-
Hukuk Departmanı iş birliğiyle belirlenmelidir.
-
-
İnsanlar:
Çalışanlar, tedarikçi sözleşmelerine bilgi güvenliği maddeleri eklemenin önemi ve uygulanacak prosedürler hakkında bilinçlendirilmelidir. Eğitimler düzenlenmelidir.
Denetim Kanıtı
Sertifikasyon denetimi sırasında denetçiler aşağıdaki kanıtları arar:
-
Tedarikçi sözleşmelerinde bilgi güvenliğine ilişkin maddelerin bulunması,
-
Sözleşmelerde güvenlik gerekliliklerinin açıkça tanımlanmış olması,
-
İmzalanmış ve yürürlükte olan sözleşmelerin gösterilebilmesi.
Eksik veya belirsiz maddeler uygunsuzluk olarak değerlendirilebilir.
Tedarikçi Sözleşmesi Bilgi Güvenliği Maddeleri (Örnek)
1. Gizlilik
Tedarikçi, sözleşme kapsamında edindiği tüm bilgi ve verileri gizli tutmayı ve yalnızca işin gerektirdiği ölçüde kullanmayı kabul eder. Bilgiler üçüncü taraflarla paylaşılmadan önce yazılı onay alınacaktır.
2. Bilgi Güvenliği Standartları
Tedarikçi, ISO/IEC 27001 standardına uyumlu bilgi güvenliği kontrollerini uygulamayı ve sürdürmeyi kabul eder.
3. Erişim Kontrolleri
Tedarikçi, sadece yetkili çalışanların verilere erişmesini sağlar ve erişim haklarını düzenli olarak gözden geçirir. Kullanıcı hesapları güçlü kimlik doğrulama yöntemleri ile korunacaktır.
4. Veri Koruma
Tedarikçi, saklanan veya iletilen verilerin güvenliğini sağlamak için uygun şifreleme ve güvenlik önlemleri uygulayacaktır.
5. Güvenlik İhlallerinin Bildirimi
Tedarikçi, bilgi güvenliğine ilişkin herhangi bir ihlali (örneğin veri sızıntısı, yetkisiz erişim) en geç 24 saat içinde Şirket’e bildirmekle yükümlüdür.
6. Alt Tedarikçiler
Tedarikçi, alt tedarikçilerini ancak Şirket’in yazılı onayı ile kullanabilir. Alt tedarikçiler de bu bilgi güvenliği yükümlülüklerine uymakla yükümlü kılınacaktır.
7. Denetim Hakkı
Şirket, bilgi güvenliği kontrollerinin uygulanmasını doğrulamak amacıyla tedarikçiyi denetleme veya tedarikçiden denetim raporu talep etme hakkına sahiptir.
8. Sözleşmenin Sona Ermesi
Sözleşmenin sona ermesi veya feshi durumunda tedarikçi, tüm gizli bilgileri ve verileri imha edecek veya talep üzerine şirkete geri teslim edecektir.
9. Yaptırımlar
Bu bilgi güvenliği gerekliliklerinin ihlali durumunda Şirket, sözleşmeyi derhal feshetme ve/veya zararın tazmini için yasal yollara başvurma hakkını saklı tutar.
