راهنمای اجرای الزامات ISO 27001 در خصوص اشخاص ثالث و تامین‌کنندگان

امنیت اطلاعات و ارتباط با تامین کنندگان

امروزه با عنایت به روند سریع و بی وقفه‌ی تخصصی شدن فعالیت‌ها و کاهش هزینه تمام شده آنها از یک سو و همچنین تنوع نیازمندی‌ها و فعالیت‌های موجود در سازمان‌ها از سوی دیگر، تقریبا می توان گفت اداره کسب و کارها در سازمان های متوسط و بزرگ و حتی در بسیاری موارد کوچک، با اتکا به نیروهای داخلی سازمان امکان پذیر به نظر نمی‌رسد. در این شرایط سازمان ها ترجیح می‌دهند تا منابع و تمرکز خود را بر روی فعالیت های استراتژیک و محوری خود معطوف نموده و دیگر فعالیت ها را به دست اشخاص ثالت (شامل تامین کنندگان، پیمانکاران، مشاوران و غیره) بسپارند. اما از سوی دیگر با وجود اینکه بهره گیری از توانمدی‌های اشخاص ثالث برای سازمان حیاتی و ضروری به نظر می رسد، این موضوع می تواند ریسک های زیادی را با خود به همراه داشته باشد که توجه به آنها نیز اجتناب ناپذیر است. از منظر امنیت اطلاعات، در صورتیکه اطلاعات و دارایی های ارزشمند و حساس به نحوی در اختیار اشخاص ثالث قرار گیرد و تمهیدات مناسبی برای آن درنظر گرفته نشود، یک ریسک بزرگ امنیتی با قدرت تاثیرگذاری بر روی تمامی المان‌های امنیتی شامل محرمانگی، دردسترس بودن و صحت و یکپارچگی سازمان را تهدید می نماید.

مبحث امنیت اطلاعات در روابط با تامین کنندگان و اشخاص ثالث به عنوان یک موضوع قابل بحث در پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) از اهمیت بسزایی برخوردار است، به طوریکه در نسخه 2013 استاندارد ISO 27001 (اگر تاکنون با استاندارد ISO 27001 آشنا نشده اید، در ابتدا توصیه می‌کنم مقالات معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید.) یکی از حوزه های کنترلی پیوست الف (A.15)، به طور کامل به این مبحث اختصاص داده شده است. در این مطلب سعی می شود با ارائه یک رویکرد مرحله ای، چگونگی پوشش و اجرای الزامات مذکور را تشریح نماییم.

منظور از تامین کنندگان در حوزه کنترلی A.15 استاندارد کیست؟

قبل از اینکه بخواهیم به مبحث امنیت اطلاعات در خصوص ارتباطات با تامین کنندگان (Supplier) بپردازیم، ابتدا باید معنا و مفهوم این کلمه را از منظر استاندارد شفاف نماییم. با توجه به ترجمه کلمه مذکور در زبان فارسی، این اشتباه معمولا شایع است که افردا معمولا تامین کننده را تنها آن دسته از پیمانکاران که مواد اولیه و یا زیرساخت‌ها را برای سازمان تهیه می‌کنند درنظر می‌گیرند، در صورتیکه که محدوده مدنظر از اعمال کنترل های ذکر شده در حوزه کنترلی A.15 استاندارد ISO 27001 تنها به این دسته از اشخاص ثالث خلاصه نمی شود. در این جا کلیه اشخاص ثالث با عناوین مختلف اعم از پیمانکاران، مشاوران، شرکت های همکار و حتی در بسیاری از موارد مشتریان نیز مدنظر هستند. به عنوان مثال فرض کنید یک شرکت قصد برگزاری یک مناقصه در حوزه بهینه سازی شبکه داخلی خود را دارد. در اینصورت از آنجاییکه مناقصه گران (شرکت های پیشنهاددهنده و داوطلب برای شرکت در مناقصه) به منظور ارائه پیشنهاد نیاز به دسترسی به برخی اطلاعات داخلی و بعضا محرمانه سازمان نظیر نقشه ها، زیرساخت ها، بازدید فیزیکی و غیره را دارند، باید تمهیدات مقتضی در خصوص نشت اطلاعات و محرمانگی مدنظر قرار گیرد. همان طور که در مثال مذکور مشخص است، مناقصه گران ممکن است در بازه زمانی کوتاهی با شرکت ارتباط داشته باشند و حتی به عنوان پیمانکار شرکت انتخاب نشوند، ولی می‌بایست از منظر استاندارد، الزامات کاربردپذیر تامین کنندگان برای آنها اعمال گردد. بدین ترتیب ملاحظه می شود که این حوزه از استاندارد می تواند محدوده وسیعی از اشخاص ثالث و تعامل‌کنندگان با سازمان را دربر گیرد.

الزامات استاندارد ISO 27001:2013 در ارتباط با تامین کنندگان

همان طور که اشاره گردید استاندارد مرجع سیستم مدیریت امنیت اطلاعات (ISMS) حوزه کنترلی 15ام (A.15) خود را به موضوع امنیت در ارتباط با تامین کنندگان اختصاص داده است. این حوزه به 2 هدف کنترلی شامل 5 کنترل، تقسیم می گردد. بدین ترتیب مجموعا 5 کنترل از 114 کنترل پیوست الف استاندارد در خصوص امنیت ارتباط با اشخاص ثالث می‌باشد. عناوین این کنترل ها به شرح ذیل است:

A.15.1 امنیت اطلاعات در روابط با تأمین کنندگان

هدف: اطمینان از حفاظت دارایی‌های سازمان که در دسترس تأمین کنندگان قرار دارد.

• 15.1.1 خطمشی امنیت اطلاعات برای روابط با تأمین کنندگان
• 15.1.2 اشاره به امنیت در قراردادهای تأمین کنندگان
• 15.1.3 زنجیره تأمین فناوری اطلاعات و ارتباطات

A.15.2 مدیریت تحویل خدمات تأمین کنندگان

هدف: حفظ سطح توافق شده امنیت اطلاعات و تحویل خدمات همسو با قراردادهای تأمین کنندگان .

• 15.2.1 پایش و بازنگری خدمات تأمین کنندگان
• 15.2.2 مدیریت تغییرات بر خدمات تأمین کنندگان

فرآیند اعمال الزامات امنیت اطلاعات در ارتباط با تامین کنندگان

به منظور پوشش الزامات حوزه A.15 در استاندارد که در بخش قبل بدان اشاره شد و همچنین حفظ یکپارچگی میان دیگر بخش های مرتبط به این موضوع در استاندارد مرجع، فرآیند ذیل به عنوان یک روش اعمال الزامات و کنترل های امنیتی، می تواند شما را در استقرار جنبه های امنیت اطلاعات مختص تامین کنندگان کمک نماید.

همان طور که ملاحظه می شود این فرآِیند از 6 مرحله ارزیابی ریسک، بررسی سوابق، تنظیم قرارداد، کنترل دسترسی، پایش و اختتام همکاری تشکیل شده است که در ادامه به آنها می پردازیم.

ارزیابی ریسک

به عنوان اولین مرحله و معیاری برای تصمیم گیری در خصوص نحوه اجرای دیگر مراحل این فرآیند، در صورت برونسپاری بخشی از فرآیندهای سازمانی و یا اعمال مجوز دسترسی به اطلاعات برای اشخاص ثالث ، شما باید به ارزیابی ریسک ناشی از مخدوش شدن محرمانگی، دردسترس بودن و صحت اطلاعات بپردازید. به عنوان مثال ممکن است شما از نتایج حاصل از ارزیابی ریسک متوجه شوید که احتمال فاش شدن برخی اطلاعات محرمانه سازمان وجود دارد و یا ممکن است با توجه به نوع برونسپاری یک فرآیند به پیمانکار، اطلاعات مهمی از بین برود. بر اساس خروجی ارزیابی ریسک شما می تواند ضرورت اجرا و یا عدم اجرای مراحل بعد را تعیین نمایید. از طرفی این نتایج می توانند شما را در خصوص نحوه اجرای الزامات و یا حتی تعیین نوع و قدرت راه کارهای پیشنهادی (سختگیرانه یا آسان) یاری کنند.

به عنوان مثال ممکن است اعمال مرحله بررسی سوابق و یا درنظر گرفتن برخی موضوعات امنیتی در قرارداد پیمانکار تهیه و تامین غذای سازمان ضروری نباشد ولی از سوی دیگر اعمال آنها با درنظر گرفتن تمهیدات خاص برای مشاور امنیت اطلاعات سازمان بسیار مهم و حیاتی باشد.

بررسی سوابق پیشین

همان طور که از نام این مرحله مشخص است، در این قسمت شما به مطالعه و بررسی سوابق قبلی پیمانکار یا تامین کننده ای می پردازید که قصد همکاری با وی را دارید. هرچه ریسک های بیشتر و مهم تری در مرحله قبل کشف شده باشد، نیاز است در این قسمت با دقت و موشکافی بیشتری بررسی های ارزیابی سوابق انجام شود. در این خصوص سازمان با توجه به موضوع همکاری و نوع فعالیت برونسپاری شده می تواند روش های مختلفی را مورد استفاده قرار داد. بررسی سوابق در کشور ما به صورت سنتی و به خصوص در سازمان ها و دستگاه های دولتی معمولا با عنوان بررسی عدم سوء سابقه و تنها محدود به بررسی سوء سابقه (کیفری) و یا استعلام از نهادهای امنیتی ذیربط می شود. در صورتیکه این موضوع می تواند بوسیله برقراری ارتباط (به صورت تلفنی یا حضوری) با محل های قبلی کار شخص ثالث و یا در خواست ارائه رضایت نامه از همکاری های گذشته وی از سوی سازمان، نیز پیگیری گردد. در این قسمت همچنین می توان به ممیزی و بررسی فرآیندها و کنترل های موجود امنیت اطلاعات که توسط شخص ثالث بکار گرفته شده اند (ممیزی مشتری) پرداخت.

انتخاب و اعمال بندهای مورد نیاز در قرارداد همکاری

زمانیکه شما ریسک ها را در مرحله اول شناسایی و بررسی نمودید و به خوبی به یک شناخت مناسب از شرایط و وضعیتی که منجر به برونسپاری فرآیند مورد نظر شده است، دست یافتید، قادر خواهید بود که الزامات، بندها و تمهیدات امنیتی مورد نیاز برای درج در قرارداد همکاری با شخص ثالث (مطابق با کنترل A.15.1.2) را مشخص نمایید واضح است که این بندها دقیقا وابسته به شرایط همکاری و ماهیت موضوع برونسپاری شده است و می تواند شامل موارد مختلفی همچون کنترل دسترسی، نوع نگهداری و برخورد با اطلاعات سازمان و یا حتی بکارگیری یک متد رمزنگاری خاص برای انتقال اطلاعات باشد. بمنظور اجتناب از فراموش شدن برخی موضوعات و بندهای امنیتی می توان از یک چک لیست از پیش تعیین شده و یا حتی کنترل های موجود در استاندارد به عنوان یک مرجع اولیه استفاده نمود. همچنین در این قسمت تدوین یک پیوست امنیتی ثابت و کلان برای درج در کلیه قراردادها و توافق نامه های (کاربردپذیر) سازمان نیز پیشنهاد می گردد.

کنترل دسترسی

همان طور که مستحضرید مبحث کنترل دسترسی در پیوست الف استاندارد ISO 27001:2013 دارای یک حوزه کنترلی مستقل (A.9) و مفصل است که با توجه به ماهیت آن به عنوان یک مبحث زیربنایی، ارتباط مستقیم با بسیاری از بخش های دیگر استاندارد من‌الجمله حوزه ارتباط با تامین کنندگان (A.15) دارد. واضح است که امضای قرارداد با یک تامین کننده به معنای این نیست که وی حق دسترسی به تمامی اطلاعات شما را دارد. در این قسمت باید مطمئن شوید که تنها آن دسته از اطلاعاتی که واقعا تامین کننده برای اجرای خدمات خود به آنها نیاز دارد با در نظر گرفتن الزامات مدنظر قرار گرفته در قرارداد که در مرحله قبل به آنها اشاره کردیم، در اختیار وی قرار می گیرد.

پایش عملکرد و کنترل انطباق

به طور کلی یکی از موضوعات مهم و اساسی در خصوص برونسپاری فعالیت ها مسئله نظارت و کنترل پیمانکار است. در این قسمت نیز می بایست (مطابق با کنترل A.15.2.1) از پایبند بودن تامین کننده نسبت به بندهای امنیتی درج شده در قرارداد اطمینان حاصل نماییم. برای همین منظور پیشنهاد می شود با بکارگیری شاخص های مشخص و دقیق و همچنین در نظر گرفتن معیارهای مشخص کننده تطابق در بازه های زمانی مشخص، میزان انطباق فعالیت های انجام شده توسط تامین کننده با بندهای امنیتی درنظر گرفته شده پایش گردد. پایش و نظارت بر روی پیمانکاران از منظر اجرای خدمات تعهد شده معمولا امری است که به صورت طبیعی در سازمان ها جریان دارد و سازوکارهای آن تبیین شده است. تمهیدات و ممیزی های امنیت اطلاعات از تامین کننده نیز باید مانند موارد مذکور قاعده‌مند شده و در دستور کار قرار گیرد.

اختتام همکاری و قرارداد

قرارداد همکاری می تواند به شکل های مختلفی به پایان برسد که معمول ترین نوع آن پایان زمان قرارداد و ارائه کامل خدمات مورد نیاز توسط تامین کننده است. با این وجود و جدا از اینکه این همکاری چگونه به پایان می رسد، این اطمینان باید حاصل گردد که تمامی دارایی های در اختیار تامین کننده به سازمان مسترد گردیده (مطابق با کنترل A.8.1.2) و همچنین تمامی حقوق دسترسی اختصاص داده شده حذف (مطابق با کنترل A.9.2.6) شده است. باید توجه داشت که برخی بندهای امنیتی موجود در قرارداد همکاری، حتی پس از پایان و اختتام قرارداد به قوت خود باقی خواهند ماند. الزامات مربوط به توافق‌نامه عدم افشای اطلاعات (NDA) را می توان به عنوان نمونه ای از این دست تعهدات نام برد.