Sécurité de l'information dans les accords conclus avec les fournisseurs
| a5.20 (mes) | |
|---|---|
| Code | a5.20 |
| Statut | Programmée |
| Justification | Traitement de risques |
| Capacités | Sécurité des relations fournisseurs |
| Echéance | 25T2 |
Attendus
Il convient d'identifier et d'appliquer des mesures pour gérer l'accès des fournisseurs aux moyens de traitement de l'information.
Lors de l'élaboration des contrats avec les fournisseurs, les clauses suivantes doivent être envisagées:
- Le contexte
- Exigences légales et réglementaires s'appliquant aux deux parties
- Le système de management de la sécurité
- Mise en correspondance des schémas de classification des informations
- Gestion des incidents
- Les informations protégées partagées avec le fournisseur
- Description, classification
- Modalités d'accès
- Les règles de fonctionnement
- Règles d'utilisation acceptable des informations et des actifs
- Contacts et procédés de communication
- Attribution des droits
- Gestion des changements
- Utilisation et modification de sous-traitance ultérieure
- Les mesures de sécurité devant être mises en œuvre par le fournisseur
- Les mesures de reprise en cas de sinistre
- Les mesures de surveillance
- Certificats du fournisseur
- Possibilités et modalités d'audit
- Rapports du fournisseur
- Le processus de réversibilité en fin de contrat
Mise en œuvre
Preuves
Scénarios liés
| # | Libellé |
|---|---|
| schds01 | Défaillance des supports matériels de l'information |
| schds03_d | Rupture d'un flux d'information interne ou externe |
| schds04d | Accès occasionnel lors des audits et tests d'intrusion |
| schds05 | Défaillance de la maîtrise des interventions |
| schds07 | Reprise impossible après un défaut |
| schds08 | Sujétion à des législations extra-européennes |